IEC 62351

IEC 62351 是由國際電信委員會（IEC）發布的電力系統資訊安全標準系列，旨在解決電力系統在數位化過程中面臨的網路攻擊風險。該標準並非單一規則，而是一套涵蓋多個技術領域的規範，包括通信加密（IEC 62351-3）、身份驗證（IEC 62351-8）、系統完整性與事件報告等多個子部分。與 ISO 27701 或 GDPR 專注於個人資料保護不同，IEC 62351 聚焦於工業控制系統（ICS）的可用性、完整性與可信賴性。在臺灣電力市場，隨著智慧電網與再生能源併網的普及，IEC 62351 已成為電力業者評估 OT 安全風險的必要參考框架，與臺灣《電力法》及《電信管理法》的資通安全要求相呼應。

實務導入通常分為三個階段：第一步是資產識別與風險評估，依據 IEC 62443 進行系統化風險評級；第二步是技術控制措施的部署，包括啟用 IEC 62351-3 的 TLS 協議加密通信、IEC 62351-8 的角色存取控制（RBAC）以及 IEC 62351-9 的事件日誌記錄；第三步是持續監控與應變演練。以臺灣某大型電力供應商為例，導入 IEC 62351 規範的通信加密機制後，其 OT 網路的未授權訪問事件減少了 70%，系統可用性指標（Uptime）從 99.9% 提升至 99.99%。量化效益方面，企業可將合規率提升至 95% 以上，並在年度資安稽覈中獲得無重大缺失的評等，有效降低因資安事件導致的停電風險與潛在罰款。

臺灣企業導入 IEC 62351 主要面臨三大挑戰：第一是舊有設備（Legacy Systems）的技術限制，許多既有電力設備不支持現代加密協議，解決方案是透過安全閘門（Security Gateway）或防火牆進行代代代理加密。第二是人才缺口，OT 安全人才同時需要電力工程與資訊安全知識，企業應建立跨部門專責小組，並與臺灣電力研究或相關學術機構合作培訓。第三是合規成本考量，初期投資較高，建議採用分階段導入策略，優先保護關鍵控制環路（如變電所控制層），再逐步擴展至監控層。預計完整導入需 12-24 個月，初期可先完成 40% 關鍵節點的合規覆蓋，以平衡預算與風險。

積穗科研股份有限公司專注臺灣企業IEC 62351相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家企業。申請免費機制診斷：https://winners.com.tw/contact