在2025台湾资安大会的产品安全论坛上,身为国际自动化协会 (ISA) 台湾分会会长的林上智,也是IEC 62443-4-1流程标准的主要修订者,他揭露IEC 62443-4-1改版作业正在进行,并剖析这次修订重点所聚焦的3大重点面向。(摄影/罗正汉)
产品资安的态势在2025年有重大转变,在全球资安法规与标准的快速演进下,安全软体开发生命周期(SSDLC)更成为台面上的焦点,重要性显著提升,成为应对资安挑战并确保产品合规的关键要求。例如,大家可能没想过的是,这一两年,包括造船产业、医疗器材产业等,已经积极透过建立严格的资安规范,让SSDLC成为必备条件。
此外,我们这几年持续报导物联网安全法规、软体供应链等议题时,经常介绍Security by Default(预设即安全)、SBOM(软体物料清单)、开源软体安全等新兴资安概念,如今这些概念也成为产品安全合规的实质要求。
安全产品开发流程受重视,IEC 62443-4-1正被产业纳入必需要求
过去经常在台湾资安大会发表演说的国际自动化协会(ISA)台湾分会会长林上智,他今年特别强调SSDLC、IEC 62443-4-1流程标准的重要性,原因在于这些领域出现了显著的新进展,而他之所以能掌握第一手资讯,正是因为他目前正主导IEC 62443-4-1流程标准的修订工作。
简单来说,IEC 62443标准,是国际广泛采纳与认可的工业自动化及控制系统标准,而IEC 62443-4-1的部分,主要聚焦在「安全产品开发生命周期(Secure Product Development Lifecycle(SPDLC)requirements」的要求。而上述SPDLC其实与SSDLC具有相同的概念,强调:从产品的需求分析、设计、实作与测试,以及产品上线后的缺陷管理、更新,还有使用者手册等相关文件,一直到产品生命周期结束,都必须将资安要素融入每一个阶段。
在这次演说中,林上智特别阐释了IEC 62443-4-1的最新发展现况,揭示其影响性与最新变化。
从影响性来看,林上智指出,近年造船产业、医疗产业都已经将IEC 62443-4-1纳入强制要求,让SSDLC要求成为必备。
因此我们可以看出,IEC 62443-4-1似乎在产业间变得越来越重要,过去厂商导入可能多是自我要求或供应链要求,现在有些产业规范则是明确定义这方面的要求。
林上智进一步解释,以造船产业而言,国际船级协会联合会(IACS)去年7月正式实施了UR E26与UR E27规范,这是网路安全首次强制要求纳入船级规则,换言之,新造船舶若没有符合UR E26或UR E27的要求,将无法通过验船,等于无法投保与下水营运,因此,其实质效力已等同于法律法规。
其中UR E27最为重要,当中针对船上设备与系统提出具体要求,并明确规范软体开发流程必须遵循SDLC(软体开发生命周期)的要求。林上智指出,在UR E27中更是直接引用了IEC 62443-4-1标准,甚至详细列出相关章节编号,包括SM-8与SUM-2,这突显了该规范已针对对船舶设备具关键影响的开发流程进行了精选,并将其纳入强制性要求。
以医疗产业而言,包括美国、欧盟、台湾等食品药物监管单位,也都针对生产血压计、MRI等医疗设备制造商提出网路安全要求,上市前都必须通过资安相关的检验。这当中最受瞩目的一例,是美国食品药物管理局(FDA)2023年9月发布的医疗器材资安指引,当中清楚载明需参考IEC 62443标准,并直接点名IEC 62443-4-1。由此可见,在其他产业的开发流程中,IEC 62443-4-1标准也被广泛采用。
受重视,国际间也有诸多重要参考资源,包括,以及OWASP SAMM等。
近年还有美国CISA与多国网路安全单位,亦发布的消息。
在这次演说中,林上智抢先公开了IEC 62443-4-1的最新变化,揭露这项标准的现行修订方向,首先就是强调对齐国际标准与法规态势而来,另也指出Security by Default、SBOM等面向的强化,在此我们整理出未来3大改版重点:
●改版重点一:对应国际框架与准则
目前市面上有众多标准与框架,这对产品与系统开发商造成了一定的困扰。因此,林上智指出,修订IEC 62443-4-1的首要任务,就是要与其他国际标准及法规进行全面的比较与对应,以确保更有效对应当前的资安挑战。
例如,他们的4-1工作小组,已检视美国NIST SSDF软体开发安全框架(NIST SP 800-218),以了解IEC 62443-4-1是否需要补充或调整,这方面已有成果展现。林上智表示,今年3月他们已发布相关