欧盟RED网络安全标准EN 18031-2的要求
欧盟RED网络安全标准EN 18031-2的要求
欧盟RED网络安全标准EN 18031-2的要求
适用产品范围:
能够处理个人隐私数据的可联网无线电设备。
不具备联网能力的三类无线电设备:玩具、儿童护理类设备、可穿戴类设备。
主要测试与评估内容:
EN 18031-2涉及两类资产:安全资产与隐私资产,主要测试与评估内容如下:
通用评估条款:
访问控制机制:验证设备是否实现了适当的访问控制机制,确保只有授权人员能够访问和处理敏感数据。此外,对于儿童护理或玩具类设备,还要求实现不可绕过的家长/监护人权限管理,以保护儿童的隐私和安全。
安全更新机制:设备应至少具备一种可用于更新其资产相关软件的机制,如通过配套APP、Web管理界面或USB本地更新接口实现。确保设备的软件和固件能够安全、可靠的进行更新。
安全存储机制:设备应通过访问权限控制或数据加密等手段保护持久保存在本地的资产,保证其完整性与机密性。测试人员将确认相关加密措施是否有效,包括加密算法的强度、密钥管理的安全性等,以防止数据被未授权访问或篡改。
安全通信机制:设备在涉及到和网络资产和安全资产有关的通信时,应采用适当的手段保障通信的完整性、真实性和机密性。例如,采用TLS1.2及以上版本的安全通信协议,采用符合当下密码学最佳实践的加密套件。
隐私资产的特定评估条款:
日志记录机制:设备应具备有效的事件记录能力来记录与安全、隐私数据访问相关的关键事件。设备在运行过程中与安全、隐私数据访问等相关的重要行为或状态变化,这些行为或状态需要被记录在日志中以便于后续追踪、分析或审计。
删除机制:设备应具备删除机制,确保用户或授权实体可删除设备上存储的个人数据或敏感安全参数
用户通知机制:对于隐私资产保护方式的变更,设备应实施至少一种相应的用户通知机制。该机制应包含对于变更造成影响的描述。
一站式EN 18031-2测试与评估服务:
标准解读:由经验丰富的专家团队提供一对一咨询服务,深度解读EN 18031-2标准,帮助企业理解每一项要求的细节,包括访问控制与数据加密、日志记录与用户通知等方面的具体规定。
测试与评估服务:遵循EN 18031-2标准针对处理个人数据的无线电设备的专业测试要求,从安全、网络、隐私等方面全面评估设备的网络安全特性。此外,专家团队还将与企业紧密合作,协助准备技术文档、优化产品设计,助力产品实现快速合规。
