IEC 62443-3：系統安全要求與安全等級

IEC 62443-3 是國際電工委員會（IEC）針對工業自動化與控制系統（IACS）網路安全所制定的一系列標準中的核心部分，其全稱為《IEC 62443-3-3: 系統安全要求與安全等級》。此標準旨在提供一個系統化的框架，將風險評估結果轉化為具體的技術安全要求。其核心定義了七項基礎要求（Foundational Requirements, FRs），涵蓋身份與驗證控制（IAC）、使用控制（UC）、系統完整性（SI）、資料機密性（DC）、限制資料流（RDF）、事件及時回應（TRE）及資源可用性（RA）。此外，標準定義了四個安全等級（Security Levels, SL 1-4），用以衡量系統抵禦不同威脅（從無意犯錯到國家級攻擊）的能力。相較於專注於資訊科技（IT）的 ISO/IEC 27001，IEC 62443-3 更側重於營運技術（OT）環境中對可用性與安全性的高度要求，使其成為關鍵基礎設施與製造業網路安全的關鍵指引。

企業應用 IEC 62443-3 通常遵循一個結構化流程，以確保 OT 環境的安全性。第一步是「系統分區與管道劃分」，依據 IEC 62443-3-2 的指引，將整個工業控制系統依據功能與風險等級劃分成不同的安全區域（Zones），並識別區域間的通訊管道（Conduits）。第二步是「設定目標安全等級（SL-T）」，針對每個區域進行風險評估，根據潛在衝擊決定其應達成的目標安全等級（從 SL1 到 SL4）。第三步是「導入安全要求與驗證」，根據各區域的 SL-T，從七大基礎要求中選擇並導入對應的技術控制措施，例如部署工業防火牆、強化存取控制、建立入侵偵測系統等。最終，需驗證系統達成的安全等級（SL-A）是否大於或等於目標等級（SL-T）。例如，台灣某半導體廠透過此方法，將其關鍵廠務系統區域設定為 SL-3，成功將生產中斷風險降低了50%，並通過國際客戶的供應鏈安全稽核。

台灣企業導入 IEC 62443-3 時，主要面臨三大挑戰。首先是「IT 與 OT 的文化鴻溝」，IT 人員優先考慮機密性，而 OT 人員則更重視系統可用性與生產安全，導致資安政策推動困難。其次是「老舊系統的技術限制」，許多工廠仍在使用無法輕易更新或安裝防護軟體的傳統設備（Legacy Systems）。最後是「缺乏跨領域專業人才」，同時精通工業製程與網路安全的專家極為稀少。為克服這些挑戰，建議的對策如下：一、成立由 IT、OT 及高階主管組成的「跨職能治理委員會」，共同制定符合營運需求的資安策略。二、針對老舊系統，採用「補償性控制措施」，如網路隔離、虛擬補丁及異常流量監控，在不更動主機的情況下提升防護。三、採取「分階段導入並尋求外部專家」，先從非核心系統進行試點，並與積穗科研等專業顧問合作，以90天為目標完成初步風險評估與區域劃分，加速知識轉移與體系建置。

積穗科研股份有限公司專注台灣企業IEC 62443-3相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact