TUV NORD Taiwan新氣象 深化永續發展與資訊安全服務

      創始於1988年的「香港商漢德技術監督服務亞太有限公司台灣分公司」,從2022年6月起,正式更名為「台灣德國北德技術監護顧問股份有限公司」(以下簡稱「北德」),英文名稱則變更為「TUV NORD Taiwan」。

       北德總經理特助鍾睿珍指出,此次更名的主要動機,一方面是為了因應市場發展趨勢,另一方面讓客戶對TUV NORD Taiwan的認知更具一致性,促使整體業務發展更順利。她強調儘管名稱改變,但北德與過去的漢德一脈相承,沿襲在台灣累積33年的專業檢驗服務經驗,在組織架構、高階主管、技術團隊等各方面皆無異動,100%技術能量都傳承自德國TUV NORD總部。

       從2022年開始,北德將「永續」列為未來5~10年長期發展的首要策略目標,底下涵蓋管理系統、產品安規、資訊安全、永續發展及功能安全等五大營運策略方針。此外展望未來5年,北德亦把「Safety for Security」列為另一項策略發展主軸,將上述五大方針中的永續發展、資訊安全列入深耕重點。

       德國TUV NORD集團旗下子公司TUViT,專門負責資訊安全相關檢測業務,而在台灣對應於TUViT的角色,即是北德內部的IT事業群。以往IT事業群側重經營CB(Certification Body驗證機構)發證服務,截至2021年設有CC(Common Criteria)、FIPS 140-3密碼模組等兩個CB實驗室;自2022年起,IT事業群在經營方向上出現兩大變革,一是新增FIDO實驗室,聚焦在FIDO Alliance定義的Authenticator Certification Level標準,為涉及無密碼認證、多重認證的服務流程,提供檢測與發證服務;另一是在既有CB發證服務外,加強經營前端顧問服務。

  • 深化資安顧問能量,形塑一條龍服務價值

       北德IT事業群協理林家弘表示,市場上已有不少提供資安顧問服務的業者,但許多客戶擔心顧問與CB稽核員之間的概念不同,對標準的理解也不同,導致彼此在溝通協調上花費較長時間,可能為專案投下不確定性變數。

       反觀北德IT事業群,顧問、稽核服務分屬兩單位,彼此各司其職,角色上並無重疊;但由於隸屬同一集團,兩單位不僅概念一致,協調流程也更為順暢。因此隨著IT事業群拉高顧問服務能量,更有助於為車用、工控或其他與資安間接相關的產業客戶,營造一條龍服務優勢,確保能在客戶預設的時間內達成取證目標。

       林家弘說,近年承作半導體廠委託的CC檢測案件時,發現客戶面臨的自駕車或工控安全合規需求持續升高,IT事業群深覺應可善用累積多年的穩定發展基礎,將資安顧問服務能量疊加上去,幫助客戶縮短從申請到取得證書的週期。

       談到FIDO實驗室,與早先啟動的密碼模組實驗相同,都是國內率先成立、且唯一的檢測服務,使台廠無需大費周章到國外受測。

       北德IT事業群資深經理崔存得指出,根據FIDO定義,針對涉及身分驗證技術的服務,包括最上層存放公鑰的伺服器,直到採用的生物辦識方法與裝置,不論哪一個環節,或是整體服務架構,各自需要接受Functional Level、Biometric Component Level或Authenticator Level或等不同認證;而北德專注提供Authenticator認證服務,區分為1~4等級、數字越大階層越高,旨在驗證整體服務流程是否符合FIDO國際規範,讓最終使用者獲得可信賴的資安保障。像是金融機構、第三方支付業者或相關軟體開發商,甚至擴及門禁、保全、識別卡等服務供應商,皆為目標客戶。

  • 依客戶的預算與需求範疇,助力實現最佳資安效果

       林家弘說,從IoT到AIoT,其中講究的資安議題,已從基礎架構層面不斷往外延伸,惟理論上不管針對工控、5G、自駕車等領域,基本資安架構皆相同,差別只在最後使用端呈現的產品類型。北德期望立足在國標準規範上,協助這些新興服務或技術相關參與者,如晶片製造商、車商...等等取得認證,確保銷售到市場上產品與模組受到安全保障。

        針對各界度關注的工控與車用相關資安議題,北德IT事業群資深經理鄭雯真補充說,在工控部份,國際公認的遵循規範為IEC 62443,可區分為流程、產品及系統等不同標準。至於車輛網路安全標準ISO/SAE 21434,在2021年8~9月出爐,對業界算是新規範,因此北德近期接獲較多的詢問需求;ISO/SAE 21434內含組織、產品層級等不同標準,現階段大多台廠優先鎖定組織層級標準、列為取證目標,係因取證時間平均8~12個月,算是相對較短,反觀產品層級標準牽涉SDLC(Software Development Life Cycle),要求研發團隊需具備安全漏洞修補能力,且有完善的外包管理機制,因門檻較高故列為未來挑戰目標。

       鄭雯真說,隨著IT事業群增強顧問服務能量,可望為客戶提供更完善的服務體驗。在專案未Kick off前,即可根據客戶的預算、需求狀況,建議取得哪方面的認證;一旦成案,顧問團隊就與客戶訪談,分析實況與標準的落差,據此協助客戶進行補強,接著以內稽方式檢視導入成效,釐清哪邊已做好、哪邊還未做好,再引導客戶端資安代表瞭解現狀,編列預算購置必要工具與人力資源,將尚未做足的部份改善完畢。此後北德會協助安排外稽、取證程序,也將持續協助改善外稽人員評定的缺失,直到獲取證書為止。

       總括而論,北德認定資安是攸關企業永續經營的風項項目之一,因此論及永續議題,不宜僅單純涵蓋綠色產品及能源。鑒於此,今後北德基於永續發展策略,除提供ISO 50001能源管理系統、社會責任報告書、ESG等相關盤查服務外,亦將持續強化資安顧問與認證服務內容。

新聞來源:Digitimes