DLC NLC網(wǎng)絡照明控制系統(tǒng)安全標準近三年的更新如下表：

2022年12月21日更新-CSA/ANSI T200，通過研究，DLC確定了滿足NLC5技術(shù)要求中網(wǎng)絡安全標準的若干網(wǎng)絡安全標準。為了幫助制造商和其他用戶為其網(wǎng)絡照明控制系統(tǒng)找到合適的標準，該資源提供了有關(guān)每個標準的附加信息并總結(jié)了它們的應用。

本表描述了DLC NLC5技術(shù)要求表CS-1中列出的網(wǎng)絡安全標準認證的主要應用程序和時間表。

ANSI/UL 2900-1

ANSI/UL 2900系列標準是作為UL網(wǎng)絡安全保證計劃（UL CAP）的一部分制定的，該計劃為制造商提供了可測試和可測量的標準，以評估產(chǎn)品弱點、漏洞和安全風險控制。ANSI/UL 2900-1適用于應評估和測試漏洞、軟件弱點和惡意軟件的網(wǎng)絡可連接產(chǎn)品。本標準描述了：

?軟件開發(fā)人員（供應商或其他供應鏈成員）的要求及其產(chǎn)品的風險管理流程。

?評估和測試產(chǎn)品是否存在漏洞、軟件弱點和惡意軟件的方法。

產(chǎn)品架構(gòu)和設(shè)計中存在安全風險控制的要求。ANSI/UL 2900-1適用于一般網(wǎng)絡可連接產(chǎn)品，包括網(wǎng)絡照明控制。UL 2900-2系列具有醫(yī)療保健、工業(yè)控制、建筑和生命安全的特定標準。

CSA/ANSI T200

CSA/ANSI T200是CSA集團發(fā)布的一項雙國家（加拿大和美國）網(wǎng)絡安全標準。本標準描述了評估組織產(chǎn)品軟件和網(wǎng)絡安全控制成熟度的方法。本標準為評估人員和供應商提供了一種方法，以確定組織和正在開發(fā)的產(chǎn)品/解決方案的控制成熟度，而不考慮解決方案的縱向。它涵蓋了整個產(chǎn)品系統(tǒng)的生命周期，從構(gòu)思到全面調(diào)試，直至生命周期結(jié)束。本標準適用于所有物聯(lián)網(wǎng)和相關(guān)產(chǎn)品/解決方案。評估每個網(wǎng)絡安全活動的成熟度水平，以便組織能夠根據(jù)最佳實踐確定其安全成熟度。CVP的成熟度級別從0級到3級，其中0級意味著沒有證據(jù)表明保護組織或其產(chǎn)品所需的基本控制措施，而3級則確認了一個完善的安全實施過程，并提供了持續(xù)的支持和安全增強。

IEC 62443標準

IEC 62443系列標準最初是為自動化和控制系統(tǒng)開發(fā)的。今天，IEC 62443標準被分析用作技術(shù)水平標準，正式適用于多個行業(yè)部門。該系列中的每一份文件都涵蓋了網(wǎng)絡安全的一個方面，并獨立更新。各種文件涵蓋組件技術(shù)要求、系統(tǒng)技術(shù)要求、產(chǎn)品供應商開發(fā)生命周期實踐、集成商實踐以及最終用戶管理和現(xiàn)場網(wǎng)絡安全計劃的運行。

?第4-1部分：產(chǎn)品安全開發(fā)生命周期需求描述了產(chǎn)品開發(fā)人員安全開發(fā)生命期的需求。主要受眾包括控制系統(tǒng)和部件產(chǎn)品的供應商。

?第4-2部分：IACS（工業(yè)自動化和控制系統(tǒng)）組件的技術(shù)安全要求描述了基于安全級別的IACS組件的要求。組件包括嵌入式設(shè)備、主機設(shè)備、網(wǎng)絡設(shè)備和軟件應用程序。主要受眾包括控制系統(tǒng)中使用的組件產(chǎn)品的供應商。

?第3-3部分：系統(tǒng)安全要求和安全級別描述了基于安全級別的IACS系統(tǒng)的要求。主要受眾包括控制系統(tǒng)供應商、系統(tǒng)集成商和資產(chǎn)所有者。

IEC 62443標準的認證由國際自動化協(xié)會（ISA）提供，該協(xié)會是62443系列標準的作者，其品牌為ISASecure?。ISASecure認證通過ISO 17011認證機構(gòu)根據(jù)ISASecure CB要求認證的ISO 17065認證機構(gòu)的全球網(wǎng)絡提供。

SOC 2（服務組織控制2）

SOC 2報告旨在滿足廣泛用戶的需求，并針對每個服務組織的需求（不同的原則、控制和控制測試）進行定制。這些報告可以在監(jiān)督組織、供應商管理計劃、內(nèi)部公司治理和風險管理流程以及監(jiān)管監(jiān)督方面發(fā)揮重要作用。SOC 2報告由注冊會計師管理，并提供服務機構(gòu)系統(tǒng)的描述。本報告包含以下方面的詳細信息：

?服務機構(gòu)系統(tǒng)的描述是按照描述標準進行的，以及

?描述中所述的控制措施經(jīng)過適當設(shè)計并有效運行，以合理保證服務組織的服務承諾和系統(tǒng)要求基于適用的信托服務標準得以實現(xiàn)（用于處理用戶數(shù)據(jù)的系統(tǒng)的安全性、可用性和處理完整性以及這些系統(tǒng)處理的信息的保密性和隱私性）。

ISO/IEC 27001標準

本國際標準規(guī)定了建立、實施、維護和持續(xù)改進信息安全管理系統(tǒng)（ISMS）的要求。它包括根據(jù)組織需要評估和處理信息安全風險的要求。

ISO/IEC 27001認證通常涉及ISO/IEC 17021和ISO/IEC 27006標準定義的三階段外部審核過程：

?第1階段是對ISMS的初步、非正式審查；例如，檢查關(guān)鍵文檔的存在性和完整性，如組織的信息安全政策、適用性聲明（SoA）和風險處理計劃（RTP）。該階段用于使審計員熟悉組織，反之亦然。

?第2階段是更詳細和正式的合規(guī)性審計，根據(jù)ISO/IEC 27001中規(guī)定的要求獨立測試ISMS。審計員將尋求證據(jù)，以確認管理系統(tǒng)已正確設(shè)計和實施，目前正在運行。認證審核通常由ISO/IEC 27001首席審核員進行。通過此階段，ISMS將獲得符合ISO/IEC 27001的認證。

?持續(xù)進行包括后續(xù)審查或?qū)徲?，以確認組織仍然符合標準。認證維護需要定期重新評估審計，以確認ISMS繼續(xù)按照規(guī)定和預期運行。這些審計應至少每年進行一次，但通常更頻繁地進行（與管理層達成協(xié)議），特別是在ISMS仍在成熟的時候。

ISO/IEC 27017標準

本國際標準提供了支持云服務客戶和云服務提供商實施信息安全控制的指南。一些指南適用于實施控制的云服務客戶，以及其他的是云服務提供商來支持這些控件的實現(xiàn)。適當?shù)男畔踩刂拼胧┑倪x擇和提供的實施指南的應用將取決于風險評估和任何法律、合同、監(jiān)管或其他云部門特定的信息安全要求。

本標準提供了適用于云服務提供和使用的信息安全控制指南，包括：

?ISO/IEC 27002中規(guī)定的相關(guān)控制的附加實施指南，以及

?具有與云服務具體相關(guān)的實施指南的附加控制。

FedRAMP（聯(lián)邦風險和授權(quán)管理計劃）FedRAMP計劃為美國政府使用的云產(chǎn)品和服務提供了安全評估、授權(quán)和持續(xù)監(jiān)控的標準化方法。FedRAMP對于低、中、高風險影響級別的聯(lián)邦機構(gòu)云部署和服務模型是強制性的。FedRAMP安全控制基于NIST SP 800-53修訂版4基線，包含高于NIST基線的控制，以解決云計算的獨特元素。FedRAMP的目的是：

?確保政府實體使用的云系統(tǒng)有足夠的保障措施，

?消除重復工作并降低風險管理成本，以及

?使政府能夠快速和具有成本效益地采購信息系統(tǒng)/服務。

CSA STAR? （云安全聯(lián)盟安全信任、保證和風險）CSA STAR以透明、嚴格審計和標準統(tǒng)一的原則解決云安全保證問題。CSA云控制矩陣（CCM）工具提供了云特定安全控制的元框架；映射到針對云計算的信息安全的領(lǐng)先標準、最佳實踐和法規(guī)。

STAR使云服務解決方案提供商能夠驗證其云安全性，并向當前和未來客戶提供適當控制的證據(jù)。STAR使云客戶能夠評估哪些組織滿足其所需的保證級別，并深入了解保護其數(shù)據(jù)的控制措施。

ioXt公司

ioXt聯(lián)盟的使命是通過多利益相關(guān)者、國際、統(tǒng)一和標準化的安全和隱私要求、產(chǎn)品合規(guī)計劃以及這些要求和計劃的公共透明度，建立對物聯(lián)網(wǎng)（IoT）產(chǎn)品的信心。聯(lián)盟成員為消費電子、移動、汽車和商業(yè)建筑控制等市場提供產(chǎn)品和服務。多個實驗室提供測試。

該計劃基于八項原則，可追溯到美國和歐盟法規(guī)。這些原則被進一步細分為每個原則的多個層次，60多個測試用例涵蓋了安全性、可升級性和透明度等主題。正在開發(fā)設(shè)備配置文件，以滿足特定設(shè)備和市場的獨特安全要求。流程、組件和系統(tǒng)已涵蓋，未來的擴展將涵蓋云服務。

ioXt基本配置文件自2020年年中開始提供。為商業(yè)建筑中的網(wǎng)絡照明控制網(wǎng)關(guān)設(shè)備量身定制的配置文件正在開發(fā)中，除了基本配置文件之外，還有其他要求，預計將于21年年中發(fā)布。

PSA認證

PSA認證為保護連接設(shè)備提供了一個框架，從分析到安全評估和認證。該框架提供標準化資源，幫助解決物聯(lián)網(wǎng)需求日益分散的問題，并確保安全不再是產(chǎn)品開發(fā)的障礙。

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務。