DLC NLC網(wǎng)絡(luò)照明控制系統(tǒng)安全標(biāo)準(zhǔn)近三年的更新如下表：

2022年12月21日更新-CSA/ANSI T200,，通過(guò)研究,，DLC確定了滿足NLC5技術(shù)要求中網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的若干網(wǎng)絡(luò)安全標(biāo)準(zhǔn),。為了幫助制造商和其他用戶為其網(wǎng)絡(luò)照明控制系統(tǒng)找到合適的標(biāo)準(zhǔn)，該資源提供了有關(guān)每個(gè)標(biāo)準(zhǔn)的附加信息并總結(jié)了它們的應(yīng)用,。

本表描述了DLC NLC5技術(shù)要求表CS-1中列出的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)認(rèn)證的主要應(yīng)用程序和時(shí)間表,。

ANSI/UL 2900-1

ANSI/UL 2900系列標(biāo)準(zhǔn)是作為UL網(wǎng)絡(luò)安全保證計(jì)劃（UL CAP）的一部分制定的，該計(jì)劃為制造商提供了可測(cè)試和可測(cè)量的標(biāo)準(zhǔn),，以評(píng)估產(chǎn)品弱點(diǎn),、漏洞和安全風(fēng)險(xiǎn)控制。ANSI/UL 2900-1適用于應(yīng)評(píng)估和測(cè)試漏洞,、軟件弱點(diǎn)和惡意軟件的網(wǎng)絡(luò)可連接產(chǎn)品,。本標(biāo)準(zhǔn)描述了：

?軟件開發(fā)人員（供應(yīng)商或其他供應(yīng)鏈成員）的要求及其產(chǎn)品的風(fēng)險(xiǎn)管理流程。

?評(píng)估和測(cè)試產(chǎn)品是否存在漏洞,、軟件弱點(diǎn)和惡意軟件的方法,。

產(chǎn)品架構(gòu)和設(shè)計(jì)中存在安全風(fēng)險(xiǎn)控制的要求。ANSI/UL 2900-1適用于一般網(wǎng)絡(luò)可連接產(chǎn)品,，包括網(wǎng)絡(luò)照明控制,。UL 2900-2系列具有醫(yī)療保健、工業(yè)控制,、建筑和生命安全的特定標(biāo)準(zhǔn),。

CSA/ANSI T200

CSA/ANSI T200是CSA集團(tuán)發(fā)布的一項(xiàng)雙國(guó)家（加拿大和美國(guó)）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)描述了評(píng)估組織產(chǎn)品軟件和網(wǎng)絡(luò)安全控制成熟度的方法,。本標(biāo)準(zhǔn)為評(píng)估人員和供應(yīng)商提供了一種方法,，以確定組織和正在開發(fā)的產(chǎn)品/解決方案的控制成熟度，而不考慮解決方案的縱向,。它涵蓋了整個(gè)產(chǎn)品系統(tǒng)的生命周期,，從構(gòu)思到全面調(diào)試，直至生命周期結(jié)束,。本標(biāo)準(zhǔn)適用于所有物聯(lián)網(wǎng)和相關(guān)產(chǎn)品/解決方案,。評(píng)估每個(gè)網(wǎng)絡(luò)安全活動(dòng)的成熟度水平,，以便組織能夠根據(jù)最佳實(shí)踐確定其安全成熟度,。CVP的成熟度級(jí)別從0級(jí)到3級(jí)，其中0級(jí)意味著沒(méi)有證據(jù)表明保護(hù)組織或其產(chǎn)品所需的基本控制措施,，而3級(jí)則確認(rèn)了一個(gè)完善的安全實(shí)施過(guò)程,，并提供了持續(xù)的支持和安全增強(qiáng)。

IEC 62443標(biāo)準(zhǔn)

IEC 62443系列標(biāo)準(zhǔn)最初是為自動(dòng)化和控制系統(tǒng)開發(fā)的,。今天,，IEC 62443標(biāo)準(zhǔn)被分析用作技術(shù)水平標(biāo)準(zhǔn)，正式適用于多個(gè)行業(yè)部門,。該系列中的每一份文件都涵蓋了網(wǎng)絡(luò)安全的一個(gè)方面,，并獨(dú)立更新,。各種文件涵蓋組件技術(shù)要求、系統(tǒng)技術(shù)要求,、產(chǎn)品供應(yīng)商開發(fā)生命周期實(shí)踐,、集成商實(shí)踐以及最終用戶管理和現(xiàn)場(chǎng)網(wǎng)絡(luò)安全計(jì)劃的運(yùn)行。

?第4-1部分：產(chǎn)品安全開發(fā)生命周期需求描述了產(chǎn)品開發(fā)人員安全開發(fā)生命期的需求,。主要受眾包括控制系統(tǒng)和部件產(chǎn)品的供應(yīng)商,。

?第4-2部分：IACS（工業(yè)自動(dòng)化和控制系統(tǒng)）組件的技術(shù)安全要求描述了基于安全級(jí)別的IACS組件的要求。組件包括嵌入式設(shè)備,、主機(jī)設(shè)備,、網(wǎng)絡(luò)設(shè)備和軟件應(yīng)用程序。主要受眾包括控制系統(tǒng)中使用的組件產(chǎn)品的供應(yīng)商,。

?第3-3部分：系統(tǒng)安全要求和安全級(jí)別描述了基于安全級(jí)別的IACS系統(tǒng)的要求,。主要受眾包括控制系統(tǒng)供應(yīng)商、系統(tǒng)集成商和資產(chǎn)所有者,。

IEC 62443標(biāo)準(zhǔn)的認(rèn)證由國(guó)際自動(dòng)化協(xié)會(huì)（ISA）提供,，該協(xié)會(huì)是62443系列標(biāo)準(zhǔn)的作者，其品牌為ISASecure?,。ISASecure認(rèn)證通過(guò)ISO 17011認(rèn)證機(jī)構(gòu)根據(jù)ISASecure CB要求認(rèn)證的ISO 17065認(rèn)證機(jī)構(gòu)的全球網(wǎng)絡(luò)提供,。

SOC 2（服務(wù)組織控制2）

SOC 2報(bào)告旨在滿足廣泛用戶的需求，并針對(duì)每個(gè)服務(wù)組織的需求（不同的原則,、控制和控制測(cè)試）進(jìn)行定制,。這些報(bào)告可以在監(jiān)督組織、供應(yīng)商管理計(jì)劃,、內(nèi)部公司治理和風(fēng)險(xiǎn)管理流程以及監(jiān)管監(jiān)督方面發(fā)揮重要作用,。SOC 2報(bào)告由注冊(cè)會(huì)計(jì)師管理，并提供服務(wù)機(jī)構(gòu)系統(tǒng)的描述,。本報(bào)告包含以下方面的詳細(xì)信息：

?服務(wù)機(jī)構(gòu)系統(tǒng)的描述是按照描述標(biāo)準(zhǔn)進(jìn)行的,，以及

?描述中所述的控制措施經(jīng)過(guò)適當(dāng)設(shè)計(jì)并有效運(yùn)行，以合理保證服務(wù)組織的服務(wù)承諾和系統(tǒng)要求基于適用的信托服務(wù)標(biāo)準(zhǔn)得以實(shí)現(xiàn)（用于處理用戶數(shù)據(jù)的系統(tǒng)的安全性,、可用性和處理完整性以及這些系統(tǒng)處理的信息的保密性和隱私性）,。

ISO/IEC 27001標(biāo)準(zhǔn)

本國(guó)際標(biāo)準(zhǔn)規(guī)定了建立、實(shí)施,、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)（ISMS）的要求,。它包括根據(jù)組織需要評(píng)估和處理信息安全風(fēng)險(xiǎn)的要求。

ISO/IEC 27001認(rèn)證通常涉及ISO/IEC 17021和ISO/IEC 27006標(biāo)準(zhǔn)定義的三階段外部審核過(guò)程：

?第1階段是對(duì)ISMS的初步,、非正式審查,；例如，檢查關(guān)鍵文檔的存在性和完整性，如組織的信息安全政策,、適用性聲明（SoA）和風(fēng)險(xiǎn)處理計(jì)劃（RTP）,。該階段用于使審計(jì)員熟悉組織，反之亦然,。

?第2階段是更詳細(xì)和正式的合規(guī)性審計(jì),，根據(jù)ISO/IEC 27001中規(guī)定的要求獨(dú)立測(cè)試ISMS。審計(jì)員將尋求證據(jù),，以確認(rèn)管理系統(tǒng)已正確設(shè)計(jì)和實(shí)施,，目前正在運(yùn)行。認(rèn)證審核通常由ISO/IEC 27001首席審核員進(jìn)行,。通過(guò)此階段,，ISMS將獲得符合ISO/IEC 27001的認(rèn)證。

?持續(xù)進(jìn)行包括后續(xù)審查或?qū)徲?jì),，以確認(rèn)組織仍然符合標(biāo)準(zhǔn),。認(rèn)證維護(hù)需要定期重新評(píng)估審計(jì)，以確認(rèn)ISMS繼續(xù)按照規(guī)定和預(yù)期運(yùn)行,。這些審計(jì)應(yīng)至少每年進(jìn)行一次,，但通常更頻繁地進(jìn)行（與管理層達(dá)成協(xié)議），特別是在ISMS仍在成熟的時(shí)候,。

ISO/IEC 27017標(biāo)準(zhǔn)

本國(guó)際標(biāo)準(zhǔn)提供了支持云服務(wù)客戶和云服務(wù)提供商實(shí)施信息安全控制的指南,。一些指南適用于實(shí)施控制的云服務(wù)客戶，以及其他的是云服務(wù)提供商來(lái)支持這些控件的實(shí)現(xiàn),。適當(dāng)?shù)男畔踩刂拼胧┑倪x擇和提供的實(shí)施指南的應(yīng)用將取決于風(fēng)險(xiǎn)評(píng)估和任何法律,、合同、監(jiān)管或其他云部門特定的信息安全要求,。

本標(biāo)準(zhǔn)提供了適用于云服務(wù)提供和使用的信息安全控制指南,，包括：

?ISO/IEC 27002中規(guī)定的相關(guān)控制的附加實(shí)施指南，以及

?具有與云服務(wù)具體相關(guān)的實(shí)施指南的附加控制,。

FedRAMP（聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃）FedRAMP計(jì)劃為美國(guó)政府使用的云產(chǎn)品和服務(wù)提供了安全評(píng)估,、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法。FedRAMP對(duì)于低,、中,、高風(fēng)險(xiǎn)影響級(jí)別的聯(lián)邦機(jī)構(gòu)云部署和服務(wù)模型是強(qiáng)制性的。FedRAMP安全控制基于NIST SP 800-53修訂版4基線,，包含高于NIST基線的控制,，以解決云計(jì)算的獨(dú)特元素,。FedRAMP的目的是：

?確保政府實(shí)體使用的云系統(tǒng)有足夠的保障措施,，

?消除重復(fù)工作并降低風(fēng)險(xiǎn)管理成本，以及

?使政府能夠快速和具有成本效益地采購(gòu)信息系統(tǒng)/服務(wù)。

CSA STAR? （云安全聯(lián)盟安全信任,、保證和風(fēng)險(xiǎn)）CSA STAR以透明,、嚴(yán)格審計(jì)和標(biāo)準(zhǔn)統(tǒng)一的原則解決云安全保證問(wèn)題。CSA云控制矩陣（CCM）工具提供了云特定安全控制的元框架,；映射到針對(duì)云計(jì)算的信息安全的領(lǐng)先標(biāo)準(zhǔn),、最佳實(shí)踐和法規(guī)。

STAR使云服務(wù)解決方案提供商能夠驗(yàn)證其云安全性,，并向當(dāng)前和未來(lái)客戶提供適當(dāng)控制的證據(jù),。STAR使云客戶能夠評(píng)估哪些組織滿足其所需的保證級(jí)別，并深入了解保護(hù)其數(shù)據(jù)的控制措施,。

ioXt公司

ioXt聯(lián)盟的使命是通過(guò)多利益相關(guān)者,、國(guó)際、統(tǒng)一和標(biāo)準(zhǔn)化的安全和隱私要求,、產(chǎn)品合規(guī)計(jì)劃以及這些要求和計(jì)劃的公共透明度,，建立對(duì)物聯(lián)網(wǎng)（IoT）產(chǎn)品的信心。聯(lián)盟成員為消費(fèi)電子,、移動(dòng),、汽車和商業(yè)建筑控制等市場(chǎng)提供產(chǎn)品和服務(wù)。多個(gè)實(shí)驗(yàn)室提供測(cè)試,。

該計(jì)劃基于八項(xiàng)原則,，可追溯到美國(guó)和歐盟法規(guī)。這些原則被進(jìn)一步細(xì)分為每個(gè)原則的多個(gè)層次,，60多個(gè)測(cè)試用例涵蓋了安全性,、可升級(jí)性和透明度等主題。正在開發(fā)設(shè)備配置文件,，以滿足特定設(shè)備和市場(chǎng)的獨(dú)特安全要求,。流程、組件和系統(tǒng)已涵蓋,，未來(lái)的擴(kuò)展將涵蓋云服務(wù),。

ioXt基本配置文件自2020年年中開始提供。為商業(yè)建筑中的網(wǎng)絡(luò)照明控制網(wǎng)關(guān)設(shè)備量身定制的配置文件正在開發(fā)中,，除了基本配置文件之外,，還有其他要求，預(yù)計(jì)將于21年年中發(fā)布,。

PSA認(rèn)證

PSA認(rèn)證為保護(hù)連接設(shè)備提供了一個(gè)框架,，從分析到安全評(píng)估和認(rèn)證。該框架提供標(biāo)準(zhǔn)化資源,，幫助解決物聯(lián)網(wǎng)需求日益分散的問(wèn)題,，并確保安全不再是產(chǎn)品開發(fā)的障礙,。

關(guān)注“廣東技術(shù)性貿(mào)易措施”，獲取更多服務(wù),。