【日本資安】日本推出 JC-STAR 物聯網安全評級制度,歐恩壹全力提供協助。
JC-STAR 物聯網安全評級制度
日本資訊處理推進機構 (IPA) 近期推出了一項名為 JC-STAR (Japan Cyber-Security Technical Assessment Requirements) 的物聯網安全評級制度,旨在提升物聯網產品的安全性,並為消費者提供清晰的產品安全資訊。 該制度與 ETSI EN 303 645 和 NISTIR 8425 等國際標準相協調,為日本國內物聯網產品的安全建立了一套獨有的評估標準。
JC-STAR 制度簡介
JC-STAR 制度是一個基於安全技術要求,用以評估和標示物聯網產品符合安全基準的制度。 該制度根據不同的安全水準設定了不同的安全技術要求,並透過標籤 (labeling) 的方式,讓消費者可以直觀地了解產品的安全程度。
- 目前推出的 「★1」等級是該制度的入門級別,旨在建立一個廣泛適用於各種物聯網產品的基本安全標準,確保這些產品具備最低限度的防禦能力,以抵禦常見的網路攻擊。
- 「★1」等級的重點是防止物聯網設備感染惡意軟體並成為殭屍網路的一部分,抵禦來自網際網路的遠程攻擊,並明確說明產品缺陷和漏洞的應對和支援政策。
- 此外,「★1」等級也確保在設備報廢或轉售時,可以適當地刪除設備運行過程中產生的數據。
制度適用產品
JC-STAR 「★1」等級主要適用於以下所有條件都滿足的物聯網產品:
- 產品包含硬體設備,標籤將貼在設備上,不包含設備的軟體或雲端服務。
- 設備具有使用網際協定 (IP) 發送和接收數據的功能。
- 設備無論是直接還是間接連接,都可能連接到網際網路。
- 設備難以或無法在購買後添加新的安全功能(除了通過更新添加的功能)。
例如常見設備如個人電腦、智慧型手機和平板電腦通常不符合第四條件 ,因此原則上不屬於「★1」等級的適用範圍。 此外,透過物理隔離或完全邏輯斷開與網際網路隔離的設備,亦不屬於「★1」等級的適用範圍。
制度申請要求及流程
「★1」等級的評估採用自我宣告的方式,製造商需要自行評估產品是否符合安全標準。 申請流程如下:
- 準備證明文件: 雖然提交申請時不需要提供證明文件,但在評估過程中,需要準備證明文件,以證明產品符合安全標準。 這些文件可以是技術文件、內部文件、規章制度等。
- 填寫「適合評估清單」: 根據準備好的證明文件,仔細填寫「適合評估清單」,確保每個評估項目的評估結果準確無誤。
- 提交「適合評估清單」: 填寫完成後,只需提交「適合評估清單」即可完成申請。
- IPA 審核: IPA 收到申請後,會對「適合評估清單」進行審核。
- 可能需要提交證明文件: 在評級有效期內,或者 IPA 對申請內容產生疑問時,可能需要提交證明文件以供審核。
在申請過程中,您可以選擇使用外部機構 (例如 JC-STAR 評估機構或 JC-STAR 驗證事業者) 協助您進行評估和填寫「適合評估清單」。 此外,即使簽署了保密協議 (NDA),IPA 仍然保留要求申請者提供證明文件的權利。 製造商需要確保所提供的資料真實準確,並積極配合 IPA 的審核要求。
歐恩壹為您提供★1服務
歐恩壹可以為您的產品提供申請的服務。
- 協助文件準備
- 進行產品評估
- 按照制度要求來執行需要的測試以便作為評估證明。
- 提出申請
如有任何需求或查詢,歡迎賜函給我們。
Mail: Charles.liao@theonelab.co
Phone: 02-8601-2828
