关于美国物联网安全标签计划,笔者在之前的多篇文章中已经系统介绍过。本文重点从该项目的管理和检测认证体系来探讨该项目实施后的运行情况。
物联网安全标签计划的定位:自愿项目
在FCC公布的美国物联网安全标签计划框架中,强调该计划是一个自愿项目,企业可以根据自身需求自愿参与。 FCC还认为,自愿参与将使标签计划比强制参与更容易实施。随着计划的进展,物联网安全标签有助于区分市场上满足最低要求的产品,并为消费者提供选择。
可见,FCC在建立这一计划框架时,考虑到推动强制参与会带来一刀切的风险,因此参考了类似“能源之星”的计划,并首先形成了一定的规模和规模。通过自愿参与扩大规模。消费者的认可让消费者自发决定是否选择带有安全标签的产品,让消费者“用脚投票”,最终可能达到事实上的标准。
物联网安全标签计划管理机制:公私部门充分合作
在制定该计划时,FCC充分认识到,自愿性物联网安全标签计划要取得成功,必须包括联邦政府、行业和其他利益相关者之间的密切伙伴关系和合作,因此FCC引入了多个第三方私营部门形式管理结构。
早在去年7月,白宫就授权FCC作为物联网安全标签计划的牵头机构,负责该计划的整体监督和管理。 FCC委托其公共安全和国土安全局(PSHSB)促进监管。该机构接受第三方安全标签管理机构(CLA)的申请,选择多个CLA推进日常管理,并从中确定首席管理员,形成美国物联网安全标签管理架构。
其中,安全标签管理局(CLA)(多为民间机构)将对企业物联网产品安全标签申请进行评估,确保制造商的产品能够获取必要的安全信息,并在标签投放市场后进行持续监管。可以说,CLA主要负责标签计划认证的具体工作,因此其作用非常关键。
除了承担 CLA 的角色外,首席行政官还充当各个 CLA 之间的联络和协调员。其职责包括:
代表 CLA 与 FCC 进行沟通,包括但不限于向 FCC 提交有关不符合标签授予标准但已获得标签的产品的投诉;
酌情开展利益相关者外展活动;
接受、审查、批准或拒绝被授权进行合规性测试的实验室的申请,以支持 FCC IoT 标签的申请,并管理认可和拒绝认可实验室的列表;
在首席行政官公布的 90 天公告期内,首席行政官应酌情与 CLA 和其他利益相关者(例如行业、政府和学术界的专家)进行接触,包括向监管机构提供有关认可的建议标准和程序、不同类别物联网产品的标签授权频率、CLA对标签上市后监管的建议、物联网安全标签设计的建议等。
物联网安全标签两阶段认证流程
在FCC计划中,建立了两阶段的物联网安全标签认证流程。第一步是由授权实验室进行产品安全符合性测试,第二步是由CLA进行产品安全标签认证。
在产品安全合规性测试的第一步中,FCC要求测试实验室按照特定的标准和程序进行测试。 FCC 不承认供应商自行做出的符合性声明的形式。所有产品必须在授权的第三方实验室进行测试。 。
在认证的第二步中,使用安全标签的制造商需要向CLA提交认证申请,其中包括由授权实验室进行的合规测试的详细报告。 CLA 可能会收取合理的费用,以支付审核申请的费用以及 CLA 所需的其他任务的费用。
CLA 将详细审查申请和支持文件,确保其完整且合规,并发布批准或拒绝申请的结论。如果申请被拒绝并且需要说明拒绝的原因,申请人将有机会纠正 CLA 发现的缺陷并重新提交申请。对于有争议的决议有专门的审查流程。
公共安全和国土安全部将发布公告,提供有关如何申请和使用物联网安全标签的更多详细信息,包括但不限于申请的信息元素、备案要求和标签使用信息,例如描述或照片标签的位置以及如何将其粘贴到产品上的何处,包括如何要求对所提交的信息保密。
授权实验室是认证过程中的关键机构,负责进行物联网产品安全合规性测试并生成报告。 FCC接受各类实验室作为物联网安全标签测试实验室,包括现有的网络安全测试实验室、CLA运营的实验室等。FCC还认可获得ISO/IEC 17025标准认证的测试实验室。进行合规性测试。公共安全和国土安全部发布了认可实验室的要求和标准,这些实验室可能位于美国境外,但可能有其他标准和程序。首席行政官将对所有经过认证和认可的授权实验室进行定期审核和审查。
标签计划遵循 NIST 标准
FCC 采用 NIST 推荐的物联网标准作为物联网安全标签计划的基础,即 NIST IR 8425 标准“消费物联网产品核心基线文件”。该标准包括以下产品功能:资产识别、产品配置、数据保护、接口访问控制、软件更新、网络安全国家意识。
FCC 将与利益相关者合作,确定涵盖核心基线或提供等效要求的公认标准。 FCC将指导首席管理员根据8425所包含的消费物联网产品核心基线制定具体标准。NIST标准是一个通用指南,但必须进一步发展为产品规范和相应的测试程序,以确保一致性测试可以执行。首席管理员可以识别市场上已有的现有标准或计划,并可以随时对其进行调整以用于标签计划。例如,计划提到,在咨询阶段,多个组织建议欧洲和新加坡的物联网安全标签计划遵循欧洲电信标准协会(ETSI)发布的EN 303 645标准。未来不排除ETIS相关标准与NIST合并组建美国。欧洲通用标准。
首席管理员积累了长期经验
UL作为第三方认证公司,对多种技术解决方案进行认证,物联网安全认证也是其重要业务之一。 UL被选为物联网安全标签计划的总管理者,得益于其在物联网测试和认证方面的长期积累。例如,早在2020年,UL就推出了物联网安全评级服务,这是专门针对物联网产品设计的安全验证和标签解决方案,将产品按照青铜、银、金、白金和钻石五个级别进行分类。通过验证的产品将获得相应的UL物联网安全评级验证标签(表明产品已达到的安全级别),并将接受UL的持续评估。
UL进入中国已有40多年的历史,在中国开展了广泛的业务。目前在全国拥有12个分公司和8个大型实验室,以及多家UL认可的第三方合作实验室和客户实验室。 2016年在东莞松山湖成立的物联网实验室是国内八个大型实验室之一。其中最重要的任务之一就是对公司生产的智能产品进行多方面的测试,包括互操作性、兼容性、可用性等。 、数据安全、网络安全、快充、电磁兼容等,涵盖智能家居、车载信息娱乐设备、可穿戴设备、机器人、VR等多个领域。
作为美国物联网安全标签计划的总管理者,UL在物联网安全认证方面的经验和流程可能会逐步推荐到标签计划中,进一步扩大物联网安全认证的范围。
目前,国内已对物联网安全标签计划进行深入研究,并加快推出中国版物联网安全标签计划,提高国内物联网产品的安全水平。当然,美国物联网安全标签计划是通过总统行政命令推动的,明确了安全标签计划的标准、原则、责任机构和时间表要求。物联网涉及多个领域,中国版物联网安全标签计划也需要顶层设计和规划,明确要求,形成分工协作的管理机制,建立标准体系和标准体系。与全球主要经济体可互操作的测试实验室。此外,国内物联网企业尤其是面向海外市场的消费物联网厂商,必须加强对物联网安全标签计划的研究,与有资质的检测认证机构合作,深入跟进标签计划的实施细节,以完善物联网安全标签计划。产品走出去的竞争力。
本文来自微信公众号,作者:赵晓飞,36氪经授权发布。
本站候鸟号已成立3年,主要围绕财经资讯类,分享日常的保险、基金、期货、理财、股票等资讯,帮助您成为一个优秀的财经爱好者。本站温馨提示:股市有风险,入市需谨慎。
暂无评论