ISO/IEC 27019 er et sett med veiledende prinsipper for informasjonssikkerhetsstyring av prosesskontrollsystemene (PCS) som brukes i energiforsyningssektoren.
Hovedmålet med dokumentet er å øke bredden av ISO/IEC til automatiseringsteknologi og PCS-domenet. Dette er for å gi en spesifikk og standardisert Informasjonssikkerhetsstyringssystem (ISMS) å beskytte maskinvare- og programvareteknologisystemene som er ansvarlige for å overvåke og kontrollere generering, overføring, lagring og distribusjon av olje, gass, elektrisk kraft og varme, blant andre energiverktøy.
Den globale energiindustrien har vært ansvarlig for noen av de mest katastrofale katastrofene menneskeheten har opplevd.
Eksempler på destruktiv feilhåndtering av energiressurser inkluderer:
Det kommer ikke som noen overraskelse at det er en sterk kultur for sikkerhetskontroller i energiforsyningsindustrien. Denne etosen kommer fra bevissthet om langsiktige effekter av enkelte operasjoner og programmer som går galt.
Energiforsyningsindustrien er en av de største fordelene med automatisering. De fleste av systemene som brukes er sterkt avhengige av elektroniske PCS-er som:
Disse er sammen med andre tilhørende prosedyrer og nettverk ansvarlige for:
Kort sagt, svikt eller forstyrrelser i de elektroniske prosesskontrollsystemene som brukes vil føre til at hele systemet går ned.
For eksempel vil svikt i en monitor i et geotermisk kraftverk føre til overoppheting, og i verste fall en katastrofal eksplosjon.
Mens ISO / IEC 27002 standarder beskriver viktige retningslinjer for å kontrollere beskyttelsen av informasjonssikkerhetsressurser, dens omfang dykker ikke dypt nok inn i beskyttelsen av energiverktøysprosesser.
Dette er grunnen til at ISO/IEC 27019:2017 eksisterer.
ISO og IEC publiserte først ISO 27019 i 2013 som en teknisk rapport (TR), laget ved å spore en DIN-standard. I 2017 ble en andre utgave av standarden publisert, noe som gjorde den til en fullstendig internasjonal standard i harmoni med 2013-versjonen av ISO 27001 og ISO 27002. Så hvorfor er ISO 27019 så viktig?
ISMS.online er en
one-stop-løsning som radikalt fremskyndet implementeringen vår.
Med ISMS.online er utfordringer rundt versjonskontroll, policygodkjenning og policydeling en saga blott.
Uten energiindustrien ville vi ikke hatt det teknologiske fremskritt som vi gjør nå. I hjertet av sektoren er de elektroniske prosesskontrollsystemene og nettverkene som er ansvarlige for å holde systemet funksjonelt, uten hvilke det ville vært massive og til og med katastrofale feil. Ta for eksempel det elektriske nettet. På grunn av begrenset energilagring i stor skala, er effektiv distribusjon av elektrisk energi til husholdnings- og industriforbruk avhengig av å holde en balanse mellom energien som produseres og den som forbrukes.
Hvis PCS-ene som ble brukt skulle svikte, ville det ikke vært mulig å kontrollere energiflyten i sanntid, og resultatet ville være utfall og overbelastning, noe som resulterer i avbrudd i strømfordelingen. Hvis den elektriske infrastrukturen i et hvilket som helst land skulle gå ned, ville nesten alle andre sektorer følge etter på grunn av hvor sterkt avhengige av automasjonsteknologi, de fleste av dem er.
Du får en klar ide om hvor viktig ISO/IEC 27019 er når du tar hensyn til truslene, sårbarhetene og virkningene av trusler på energiselskaper
Trusler mot energiverktøy
Noen av truslene energiressursene står overfor inkluderer naturkatastrofer og bevisste sabotasjer fra sosiale ingeniører, Advanced Persistent Threats (APTs), hackere, innsidere, terrorister, fremmede stater og pressgrupper. Det er andre mer verdslige trusler som de fra elektromekaniske feil, konkurrenter, ulykker, skadelig programvare, etc.
Sårbarheter i energiindustrien
Det er noen uunngåelige sårbarheter som ligger i prosessene og systemene. Et eksempel på slike svakheter er prosesskontrollsystemene som er tilgjengelige fra, koblet til eller eksponert for internett og andre nettverk. Dette gjør dem sårbare for en måte av cybertrusler, inkludert de som skyldes programvarefeil og designfeil forårsaket av dårlig design, administrasjon eller vedlikehold. Disse sårbarhetene er spesielt utbredt siden du utfører en sikkerhetsoppdatering for sikkerhetskritiske systemer kan være utfordrende.
Virkningen av trusler på energiressurser
Konsekvensene av svikt i energiverk er godt forstått. Noen av de mest alvorlige konsekvensene inkluderer:
Den strategiske betydningen av både offentlige og private organisasjoner i energiforsyningsbransjen har ført til at de er klassifisert som en del av kritisk nasjonal infrastruktur. Dette er grunnen til at alle organisasjoner som omfattes av ISO/IEC 27019 bør ta alle mulige tiltak for å implementere standarden for å sikre deres prosesskontrollsystemer som brukes.
ISO utviklet ISO/IEC 27019 for å sikre at den overholder språket i ISO/IEC 27001 og ISO 27002. Etablering av standarden på denne måten sikrer at du kan implementere ISO 27001 og ISO 27002 internasjonalt som et akseptert veiledningssystem for å sikre PCSene som brukes i energiforsyningsindustrien.
ISO/IEC 27019 følger strukturen til IEC 27002 tett, med ytterligere veiledning der det er nødvendig. Under implementeringen må en organisasjon i energiforsyningsbransjen bruke ISO/IEC 27019 sammen med ISO/IEC 27002 siden førstnevnte ikke inneholder innholdet i 27002.
Når du implementerer ISO 27019, bør organisasjoner også referere til ISO/IEC 27001 for å fylle ut den bredere konteksten for ditt ISMS. Systemet ditt bør inkludere ikke bare prosesskontrollen, men også andre generelle kommersielle nettverk, systemer som brukes og prosesser som gjelder for energiforsyningsindustrien.
Du bør også vurdere andre standarder, som f.eks ISO / IEC 27005 ved implementering av ISO 27019 for å imøtekomme informasjonsrisikostyringspraksis som brukes av energiforsyningsindustrien.
Last ned din gratis guide til rask og bærekraftig sertifisering
Vi trenger bare noen få detaljer slik at vi kan sende deg en e-post med guiden din for å oppnå ISO 27001 første gang
Last ned din gratis guide nå, og hvis du har noen spørsmål i det hele tatt Bestill en demo or Kontakt oss. Vi hjelper deg gjerne.
Følgende er de spesifikke områdene der implementeringen av ISO/IEC 27019:2017 kontroller er avgjørende for å beskytte og sikre sikkerheten til kritisk energiinfrastruktur:
Etter å ha gjennomført en sikkerhetsvurdering og komme med sikkerhetsrisikoer og mål og beslutninger om hvordan man skal håndtere den identifiserte risikoen, bør nødvendig kontroll velges og implementeres for å sikre at risikoene reduseres til et akseptabelt nivå.
I tillegg til kontrollene som tilbys av et omfattende ISMS, gir ISO 27019 ytterligere sektorspesifikke tiltak og assistanse for å hjelpe til med prosesskontrollen som brukes av energiforsyningsindustrien, angående de spesielle kravene til de spesifikke miljøene. Om nødvendig kan en organisasjon iverksette ytterligere tiltak for å oppfylle individuelle krav.
Kontrollene som en organisasjon vil bestemme seg for avhenger av:
I tillegg til tiltakene og sikkerhetsretningslinjene som er presentert i ISO/IEC 27002:2013, har prosesskontrollsystemene for energileverandører og energiverk tilleggskrav. Sammenlignet med andre konvensjonelle IKT-miljøer som energihandelssystemer og kontorinformasjonsteknologi, har energiforsyningssektoren grunnleggende forskjeller når det gjelder drift, utvikling, vedlikehold, reparasjon og driftsmiljø for PCS.
Siden noen av prosesskontrollteknologiene beskrevet i ISO/IEC 27019:2017 beskriver integrerte komponenter i noen kritiske infrastrukturer, er de derfor avgjørende for å sikre pålitelig og sikker drift av slike infrastrukturer.
Når du tar i betraktning deres funksjon og design, bør du betrakte PCS-er for energiforsyningssektoren som informasjonsbehandlingssystemer. Data om status for de fysiske prosessene overvåkes ved hjelp av sensorer. Disse dataene blir deretter behandlet og kontrollutganger generert for å regulere handlingene ved hjelp av aktuatorer. Selv om prosessen er automatisk, kan driftspersonell manuelt gripe inn ved behov.
Siden informasjons- og informasjonsbehandlingssystemer er en vesentlig del av hvordan energiselskapene opererer, må organisasjoner iverksette nødvendige beskyttelsestiltak for å ivareta sin informasjon som andre organisatoriske enheter.
Prosesskontrollmiljøene for energiverktøy bruker i økende grad maskinvare- og programvarekomponenter. Et eksempel på dette er programmerbar logikk basert på standard IKT-teknologi. Tallrike sammenkoblinger danner også komplekse systemer. Det ville hjelpe om du vurderte disse nye risiko under en risikovurdering og nødvendige tiltak for å rette opp det.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
For å komme i gang med 27019, bør organisasjoner i energiforsyningsbransjen gjennomføre en risikovurdering av systemene deres som brukes for å kjenne deres trusler, sårbarheter og mulige konsekvenser av risiko. Avhengig av den spesifikke maskinvare- og programvareautomatiseringsteknologien som brukes av energiselskapene, bør de velge de riktige retningslinjene og kontrollene for å sikre sikkerheten til systemene deres.
Tilgjengeligheten av programvare og verktøy for informasjonssikkerhet gjør det enkelt for organisasjoner å måle etterlevelsen av ISO 27019. Ved hjelp av slike verktøy vil de som er involvert i sikkerhetsstyring eller prosesskontroll som brukes av energiforsyningsindustrien få et klarere bilde av hvordan deres retningslinjer og kontroller sammenlignet med de fastsatte ISMS-kravene. Å kjenne til områdene som trenger forbedring gjør det mulig å bruke de relevante kontrollene basert på ISO 27019-standardene.
For å oppnå ISO-sertifisering, bør en organisasjon følge en spesifikk prosedyre for å sikre at alle de tar opp risikoer når de er relatert til de bestemte forretningsmiljøene.
Det første trinnet for å oppnå sertifisering er å identifisere kjernevirksomhetsprosessen, dokumentere den til relevante medlemmer av organisasjonen. Dokumentasjonen skal angi prosedyrer og tiltak som er iverksatt beskytte de ulike informasjonssystemene og automatiseringsteknologi.
Neste steg er å implementere prosedyrene som beskrevet i dokumentasjonen, og sikre at alle ansatte er kvalifisert til å utføre oppgavene som kreves av dem. Det bør være et effektivt rapporteringssystem for å ivareta testing, inspeksjon, forebyggende tiltak, korrigerende tiltak, statistiske teknikker, ledergjennomgangsmøter, overvåking av mål, etc.
Effektiviteten til disse prosessene bør da være overvåkes ved hjelp av målbare data Hvor mulig. Energiselskaper bør også gjennomføre nødvendig gjennomgang og systemrevisjon.
Disse revisjonene sikrer at du implementerer alle kontrollene og retningslinjene som er foreslått av ISO 27019 på riktig måte. Systemrevisjoner bør:
Det siste trinnet for organisasjoner i energiforsyningsindustrien som ønsker å oppnå ISO/IEC 27019-sertifisering er å velge et uavhengig revisjonsorgan som driver med ekstern registrering.
Ledelsessystemets dokumentasjon bør deretter sendes inn for gjennomgang for å sikre samsvar med gjeldende standarder.
For å overholde ISO/IEC 2019, energiverk organisasjoner må identifisere sine sikkerhetskrav basert på deres automatiseringsteknologi. Disse kravene er hovedsakelig fra:
Energiselskaper bør sørge for at alle PCSs sikkerhetskrav er ordentlig analysert og dekket i deres retningslinjer for informasjonssikkerhet. Noen av hensynene på plass inkluderer:
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang