營運技術資安(OT Cyber Security,Operational Technology Cyber Security)，本課程將會分成框架總覽、IT資安框架與規範指引、OT資安框架與規範指引、結尾4個部分為大家介紹。

1.框架總覽

資安防護如同國防防務，有戰略、戰術、實戰實務等不同層面的規畫與工作指導，不同層次的要求不能一概而論。IT資安框架層次，其實可以分成很多層次，最基層的資安初階主管/資安技術人員著重在技術層面的部分；往上一層是資安中階主管，著重在過程層面的部分；再上一層的資安高階主管，著重在流程層面的部分；最上層的資安長著重於高層層面的規畫。這次我們會針對技術層面、過程層面與流程層面討論。

2.IT資安框架與規範指引

要討論OT資安，就必須先從IT資安談起，IT資安是OT資安的基礎，深入認識NIST Cyber Security Framework、ISO27001、NIST SP 800-53 Rev5、CIS Controls、MITRE ATT&CK、MITRE Engage與Cyber Defense Matrix從技術面、流程面與過程面深入了解IT資安的框架與規範。

3.OT資安框架與規範指引

OT資安嚴格來說並非單一工作，而是包含了許多不同類型的資安規範，有國區型、產業型等等，尚未統一，且部分仍在增加中；並介紹最近開始受重視的工控領域的IEC62443，由於是新標準，各章節持續擴充中，其中針對業主、系統整合者、供應商各自都有細部的規範與要求。陸續建立認證體系與認證程序。之後對於業者、產品與服務作認證。另外就企業、行動與工空三個領域，分別建立與維護MITRE ATT&CK矩陣。

4.結尾

OT 資安防護須以掌握 IT 資安為基礎進行延伸，各階層各類框架指引還是要有其對應層次之別；目前尚未有一致依循的 OT 資安規範，也不容易實現；近年來各類型矩陣的提出已使防護工作的溝通較容易，日後可以廣泛推廣相關各類防護矩陣有利於溝通。