DLC NLC網(wǎng)絡(luò)照明控制系統(tǒng)安全標(biāo)準(zhǔn)近三年的更新如下表：

2022年12月21日更新-CSA/ANSI T200，通過研究，DLC確定了滿足NLC5技術(shù)要求中網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的若干網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。為了幫助制造商和其他用戶為其網(wǎng)絡(luò)照明控制系統(tǒng)找到合適的標(biāo)準(zhǔn)，該資源提供了有關(guān)每個(gè)標(biāo)準(zhǔn)的附加信息并總結(jié)了它們的應(yīng)用。

本表描述了DLC NLC5技術(shù)要求表CS-1中列出的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)認(rèn)證的主要應(yīng)用程序和時(shí)間表。

ANSI/UL 2900-1

ANSI/UL 2900系列標(biāo)準(zhǔn)是作為UL網(wǎng)絡(luò)安全保證計(jì)劃（UL CAP）的一部分制定的，該計(jì)劃為制造商提供了可測試和可測量的標(biāo)準(zhǔn)，以評(píng)估產(chǎn)品弱點(diǎn)、漏洞和安全風(fēng)險(xiǎn)控制。ANSI/UL 2900-1適用于應(yīng)評(píng)估和測試漏洞、軟件弱點(diǎn)和惡意軟件的網(wǎng)絡(luò)可連接產(chǎn)品。本標(biāo)準(zhǔn)描述了：

• 軟件開發(fā)人員（供應(yīng)商或其他供應(yīng)鏈成員）的要求及其產(chǎn)品的風(fēng)險(xiǎn)管理流程。

• 評(píng)估和測試產(chǎn)品是否存在漏洞、軟件弱點(diǎn)和惡意軟件的方法。

產(chǎn)品架構(gòu)和設(shè)計(jì)中存在安全風(fēng)險(xiǎn)控制的要求。ANSI/UL 2900-1適用于一般網(wǎng)絡(luò)可連接產(chǎn)品，包括網(wǎng)絡(luò)照明控制。UL 2900-2系列具有醫(yī)療保健、工業(yè)控制、建筑和生命安全的特定標(biāo)準(zhǔn)。

CSA/ANSI T200

CSA/ANSI T200是CSA集團(tuán)發(fā)布的一項(xiàng)雙國家（加拿大和美國）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)描述了評(píng)估組織產(chǎn)品軟件和網(wǎng)絡(luò)安全控制成熟度的方法。本標(biāo)準(zhǔn)為評(píng)估人員和供應(yīng)商提供了一種方法，以確定組織和正在開發(fā)的產(chǎn)品/解決方案的控制成熟度，而不考慮解決方案的縱向。它涵蓋了整個(gè)產(chǎn)品系統(tǒng)的生命周期，從構(gòu)思到全面調(diào)試，直至生命周期結(jié)束。本標(biāo)準(zhǔn)適用于所有物聯(lián)網(wǎng)和相關(guān)產(chǎn)品/解決方案。評(píng)估每個(gè)網(wǎng)絡(luò)安全活動(dòng)的成熟度水平，以便組織能夠根據(jù)最佳實(shí)踐確定其安全成熟度。CVP的成熟度級(jí)別從0級(jí)到3級(jí)，其中0級(jí)意味著沒有證據(jù)表明保護(hù)組織或其產(chǎn)品所需的基本控制措施，而3級(jí)則確認(rèn)了一個(gè)完善的安全實(shí)施過程，并提供了持續(xù)的支持和安全增強(qiáng)。

IEC 62443標(biāo)準(zhǔn)

IEC 62443系列標(biāo)準(zhǔn)最初是為自動(dòng)化和控制系統(tǒng)開發(fā)的。今天，IEC 62443標(biāo)準(zhǔn)被分析用作技術(shù)水平標(biāo)準(zhǔn)，正式適用于多個(gè)行業(yè)部門。該系列中的每一份文件都涵蓋了網(wǎng)絡(luò)安全的一個(gè)方面，并獨(dú)立更新。各種文件涵蓋組件技術(shù)要求、系統(tǒng)技術(shù)要求、產(chǎn)品供應(yīng)商開發(fā)生命周期實(shí)踐、集成商實(shí)踐以及最終用戶管理和現(xiàn)場網(wǎng)絡(luò)安全計(jì)劃的運(yùn)行。

• 第4-1部分：產(chǎn)品安全開發(fā)生命周期需求描述了產(chǎn)品開發(fā)人員安全開發(fā)生命期的需求。主要受眾包括控制系統(tǒng)和部件產(chǎn)品的供應(yīng)商。

• 第4-2部分：IACS（工業(yè)自動(dòng)化和控制系統(tǒng)）組件的技術(shù)安全要求描述了基于安全級(jí)別的IACS組件的要求。組件包括嵌入式設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和軟件應(yīng)用程序。主要受眾包括控制系統(tǒng)中使用的組件產(chǎn)品的供應(yīng)商。

• 第3-3部分：系統(tǒng)安全要求和安全級(jí)別描述了基于安全級(jí)別的IACS系統(tǒng)的要求。主要受眾包括控制系統(tǒng)供應(yīng)商、系統(tǒng)集成商和資產(chǎn)所有者。

IEC 62443標(biāo)準(zhǔn)的認(rèn)證由國際自動(dòng)化協(xié)會(huì)（ISA）提供，該協(xié)會(huì)是62443系列標(biāo)準(zhǔn)的作者，其品牌為ISASecure?。ISASecure認(rèn)證通過ISO 17011認(rèn)證機(jī)構(gòu)根據(jù)ISASecure CB要求認(rèn)證的ISO 17065認(rèn)證機(jī)構(gòu)的全球網(wǎng)絡(luò)提供。

SOC 2（服務(wù)組織控制2）

SOC 2報(bào)告旨在滿足廣泛用戶的需求，并針對(duì)每個(gè)服務(wù)組織的需求（不同的原則、控制和控制測試）進(jìn)行定制。這些報(bào)告可以在監(jiān)督組織、供應(yīng)商管理計(jì)劃、內(nèi)部公司治理和風(fēng)險(xiǎn)管理流程以及監(jiān)管監(jiān)督方面發(fā)揮重要作用。SOC 2報(bào)告由注冊(cè)會(huì)計(jì)師管理，并提供服務(wù)機(jī)構(gòu)系統(tǒng)的描述。本報(bào)告包含以下方面的詳細(xì)信息：

• 服務(wù)機(jī)構(gòu)系統(tǒng)的描述是按照描述標(biāo)準(zhǔn)進(jìn)行的，以及

• 描述中所述的控制措施經(jīng)過適當(dāng)設(shè)計(jì)并有效運(yùn)行，以合理保證服務(wù)組織的服務(wù)承諾和系統(tǒng)要求基于適用的信托服務(wù)標(biāo)準(zhǔn)得以實(shí)現(xiàn)（用于處理用戶數(shù)據(jù)的系統(tǒng)的安全性、可用性和處理完整性以及這些系統(tǒng)處理的信息的保密性和隱私性）。

ISO/IEC 27001標(biāo)準(zhǔn)

本國際標(biāo)準(zhǔn)規(guī)定了建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理系統(tǒng)（ISMS）的要求。它包括根據(jù)組織需要評(píng)估和處理信息安全風(fēng)險(xiǎn)的要求。

ISO/IEC 27001認(rèn)證通常涉及ISO/IEC 17021和ISO/IEC 27006標(biāo)準(zhǔn)定義的三階段外部審核過程：

• 第1階段是對(duì)ISMS的初步、非正式審查；例如，檢查關(guān)鍵文檔的存在性和完整性，如組織的信息安全政策、適用性聲明（SoA）和風(fēng)險(xiǎn)處理計(jì)劃（RTP）。該階段用于使審計(jì)員熟悉組織，反之亦然。

• 第2階段是更詳細(xì)和正式的合規(guī)性審計(jì)，根據(jù)ISO/IEC 27001中規(guī)定的要求獨(dú)立測試ISMS。審計(jì)員將尋求證據(jù)，以確認(rèn)管理系統(tǒng)已正確設(shè)計(jì)和實(shí)施，目前正在運(yùn)行。認(rèn)證審核通常由ISO/IEC 27001首席審核員進(jìn)行。通過此階段，ISMS將獲得符合ISO/IEC 27001的認(rèn)證。

• 持續(xù)進(jìn)行包括后續(xù)審查或?qū)徲?jì)，以確認(rèn)組織仍然符合標(biāo)準(zhǔn)。認(rèn)證維護(hù)需要定期重新評(píng)估審計(jì)，以確認(rèn)ISMS繼續(xù)按照規(guī)定和預(yù)期運(yùn)行。這些審計(jì)應(yīng)至少每年進(jìn)行一次，但通常更頻繁地進(jìn)行（與管理層達(dá)成協(xié)議），特別是在ISMS仍在成熟的時(shí)候。

ISO/IEC 27017標(biāo)準(zhǔn)

本國際標(biāo)準(zhǔn)提供了支持云服務(wù)客戶和云服務(wù)提供商實(shí)施信息安全控制的指南。一些指南適用于實(shí)施控制的云服務(wù)客戶，以及其他的是云服務(wù)提供商來支持這些控件的實(shí)現(xiàn)。適當(dāng)?shù)男畔踩刂拼胧┑倪x擇和提供的實(shí)施指南的應(yīng)用將取決于風(fēng)險(xiǎn)評(píng)估和任何法律、合同、監(jiān)管或其他云部門特定的信息安全要求。

本標(biāo)準(zhǔn)提供了適用于云服務(wù)提供和使用的信息安全控制指南，包括：

• ISO/IEC 27002中規(guī)定的相關(guān)控制的附加實(shí)施指南，以及

• 具有與云服務(wù)具體相關(guān)的實(shí)施指南的附加控制。

FedRAMP（聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃）FedRAMP計(jì)劃為美國政府使用的云產(chǎn)品和服務(wù)提供了安全評(píng)估、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法。FedRAMP對(duì)于低、中、高風(fēng)險(xiǎn)影響級(jí)別的聯(lián)邦機(jī)構(gòu)云部署和服務(wù)模型是強(qiáng)制性的。FedRAMP安全控制基于NIST SP 800-53修訂版4基線，包含高于NIST基線的控制，以解決云計(jì)算的獨(dú)特元素。FedRAMP的目的是：

• 確保政府實(shí)體使用的云系統(tǒng)有足夠的保障措施；

• 消除重復(fù)工作并降低風(fēng)險(xiǎn)管理成本，以及

• 使政府能夠快速和具有成本效益地采購信息系統(tǒng)/服務(wù)。

CSA STAR? （云安全聯(lián)盟安全信任、保證和風(fēng)險(xiǎn)）CSA STAR以透明、嚴(yán)格審計(jì)和標(biāo)準(zhǔn)統(tǒng)一的原則解決云安全保證問題。CSA云控制矩陣（CCM）工具提供了云特定安全控制的元框架；映射到針對(duì)云計(jì)算的信息安全的領(lǐng)先標(biāo)準(zhǔn)、最佳實(shí)踐和法規(guī)。

STAR使云服務(wù)解決方案提供商能夠驗(yàn)證其云安全性，并向當(dāng)前和未來客戶提供適當(dāng)控制的證據(jù)。STAR使云客戶能夠評(píng)估哪些組織滿足其所需的保證級(jí)別，并深入了解保護(hù)其數(shù)據(jù)的控制措施。

ioXt公司

ioXt聯(lián)盟的使命是通過多利益相關(guān)者、國際、統(tǒng)一和標(biāo)準(zhǔn)化的安全和隱私要求、產(chǎn)品合規(guī)計(jì)劃以及這些要求和計(jì)劃的公共透明度，建立對(duì)物聯(lián)網(wǎng)（IoT）產(chǎn)品的信心。聯(lián)盟成員為消費(fèi)電子、移動(dòng)、汽車和商業(yè)建筑控制等市場提供產(chǎn)品和服務(wù)。多個(gè)實(shí)驗(yàn)室提供測試。

該計(jì)劃基于八項(xiàng)原則，可追溯到美國和歐盟法規(guī)。這些原則被進(jìn)一步細(xì)分為每個(gè)原則的多個(gè)層次，60多個(gè)測試用例涵蓋了安全性、可升級(jí)性和透明度等主題。正在開發(fā)設(shè)備配置文件，以滿足特定設(shè)備和市場的獨(dú)特安全要求。流程、組件和系統(tǒng)已涵蓋，未來的擴(kuò)展將涵蓋云服務(wù)。

ioXt基本配置文件自2020年年中開始提供。為商業(yè)建筑中的網(wǎng)絡(luò)照明控制網(wǎng)關(guān)設(shè)備量身定制的配置文件正在開發(fā)中，除了基本配置文件之外，還有其他要求，預(yù)計(jì)將于21年年中發(fā)布。

PSA認(rèn)證

PSA認(rèn)證為保護(hù)連接設(shè)備提供了一個(gè)框架，從分析到安全評(píng)估和認(rèn)證。該框架提供標(biāo)準(zhǔn)化資源，幫助解決物聯(lián)網(wǎng)需求日益分散的問題，并確保安全不再是產(chǎn)品開發(fā)的障礙。