美國網路安全暨基礎設施安全局（CISA）發布《工控資安基礎：適用於擁有者與營運者的資產清冊指引》

美國網路安全暨基礎設施安全局（CISA）於2025年8月13日發布該機關與美國、澳洲、加拿大、德國、荷蘭、紐西蘭等國共計八個國安資安相關機構，合作訂定之《工控資安基礎：適用於擁有者與營運者的資產清冊指引》文件，旨在針對易受惡意網路行為攻擊且提供重要服務的能源、水務、製造業及其他領域關鍵基礎設施營運技術（Operational Technology，OT）系統，協助其資產擁有者與營運者建置與維護完整的OT資產清冊，並輔以OT分類體系（Taxonomy）。

OT資產清冊範圍涵蓋組織OT系統與相關軟、硬體，該指引主要說明OT資產擁有者與營運者建置與維護OT資產清冊的流程，包含：

1. 定義清冊範疇與目標（Define Scope and Objectives）

2. 辨識資產及蒐集屬性資料（Identify Assets and Collect Attributes）

3. 建立分類體系（Create a Taxonomy to Categorize Assets）

4. 管理與蒐集資料（Manage and Collect Data）

5. 實現資產全生命週期管理（Implement Life Cycle Management）；

此外透過OT分類體系可幫助區分優先序、管理所有OT資產，有助於風險識別、漏洞管理，以及資安事件應變；有關如何建立OT分類體系，該指引亦提供流程建議如：

1. 根據功能及關鍵性執行資產分類（Classify Assets）

2. 對資產功能類型與其通訊路徑進行分類（Categorize (Organize) Assets and their Communications Pathways）

3. 建構體系架構與互動關係（Organize Structure and Relationships）

4. 驗證資產清冊資料準確度與圖像化（Validate and Visualize）

5. 定期檢查並更新（Periodically Review and Update）

該指引認為，建置OT資產清冊並輔以OT分類體系對期望建立現代化防禦架構的擁有者與營運者而言至關重要。透過上述作為，資產擁有者與營運者得以識別其環境中應加以防護及管控的關鍵資產，並據以調整防禦架構，建構相應的資安防禦措施，以降低資安事件對組織任務（Mission）與服務持續性（Service Continuity）的風險與影響。該指引亦強調關鍵基礎設施之OT與IT（資訊技術）部門間之跨部門協作，並鼓勵各產業組織參考指引步驟落實OT資產盤點與分類，以提升整體關鍵基礎設施資安韌性。

相關連結

Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators, Cybersecurity and Infrastructure Security Agency

你可能會想參加

※ 美國網路安全暨基礎設施安全局（CISA）發布《工控資安基礎：適用於擁有者與營運者的資產清冊指引》，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?d=9410&no=65&tp=1 （最後瀏覽日：2025/12/08）

引註此篇文章