ISO/IEC 27019 er et sæt vejledende principper for informationssikkerhedsstyring af proceskontrolsystemerne (PCS), der anvendes i energiforsyningssektoren.
Hovedformålet med dokumentet er at øge bredden af ISO/IEC til automationsteknologien og PCS-domænet. Dette er for at give en specifik og standardiseret Information Security Management System (ISMS) at beskytte hardware- og softwareteknologisystemerne, der er ansvarlige for at overvåge og kontrollere produktion, transmission, lagring og distribution af olie, gas, elektrisk kraft og varme, blandt andre energiforsyninger.
Den globale energiindustri har været ansvarlig for nogle af de mest katastrofale katastrofer, menneskeheden har oplevet.
Eksempler på destruktiv fejlhåndtering af energiressourcer omfatter:
Det kommer ikke som nogen overraskelse, at der er en stærk kultur for sikkerhedskontrol i energiforsyningsindustrien. Denne etos kommer fra bevidsthed om de langsigtede virkninger nogle operationer og programmer går galt.
Energiforsyningsindustrien er en af de største fordele ved automatisering. De fleste af de anvendte systemer er stærkt afhængige af elektroniske PCS'er såsom:
Disse er sammen med andre tilknyttede procedurer og netværk ansvarlige for:
Kort sagt vil fejl eller afbrydelser i de anvendte elektroniske processtyringssystemer få hele systemet til at gå ned.
For eksempel vil svigt af en monitor i et geotermisk kraftværk føre til overophedning og i værste fald en katastrofal eksplosion.
Mens ISO / IEC 27002 standarder beskriver vigtige retningslinjer for at kontrollere beskyttelsen af informationssikkerhedsaktiver, dens omfang dykker ikke dybt nok ned i beskyttelsen af energiforsyningsprocesser.
Det er derfor ISO/IEC 27019:2017 eksisterer.
ISO og IEC udgav først ISO 27019 i 2013 som en teknisk rapport (TR), lavet ved at fast-tracke en DIN-standard. I 2017 udkom en anden udgave af standarden, hvilket gør den til en fuld international standard i harmoni med 2013-versionen af ISO 27001 og ISO 27002. Så hvorfor er ISO 27019 så vigtig?
ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Uden energiindustrien ville vi ikke have det teknologiske fremskridt, vi har nu. Kernen i sektoren er de elektroniske processtyringssystemer og netværk, der er ansvarlige for at holde systemet funktionelt, uden hvilke der ville være massive og endda katastrofale fejl. Tag for eksempel elnettet. På grund af begrænset energilagring i stor skala afhænger den effektive fordeling af elektrisk energi til husholdnings- og industriforbrug af at holde en balance mellem den producerede og den forbrugte energi.
Hvis de anvendte PCS'er skulle fejle, ville der ikke være nogen måde at kontrollere energistrømmen i realtid, og resultatet ville være udfald og overbelastninger, hvilket resulterede i afbrydelser i fordelingen af strøm. Hvis den elektriske infrastruktur i et hvilket som helst land skulle gå ned, ville næsten alle andre sektorer følge trop på grund af, hvor stærkt afhængige af automationsteknologi, de fleste af dem er.
Du får en klar idé om, hvor vigtig ISO/IEC 27019 er, når du tager trusler, sårbarheder og påvirkninger af trusler på energiforsyninger i betragtning.
Trusler mod energiforsyninger
Nogle af de trusler, som energiressourcerne står over for, omfatter naturkatastrofer og bevidste sabotage fra sociale ingeniører, Advanced Persistent Threats (APT'er), hackere, insidere, terrorister, fremmede stater og presgrupper. Der er andre mere verdslige trusler såsom dem fra elektromekaniske fejl, konkurrenter, ulykker, malware osv.
Sårbarheder i energiindustrien
Der er nogle uundgåelige sårbarheder iboende i processerne og systemerne. Et eksempel på sådanne svagheder er proceskontrolsystemerne, der er tilgængelige fra, forbundet til eller udsat for internettet og andre netværk. Dette gør dem sårbare over for en form for cybertrusler, inklusive dem, der skyldes softwarefejl og designfejl forårsaget af dårligt design, styring eller vedligeholdelse. Disse sårbarheder er især udbredt, da man udfører en sikkerhedspatch til sikkerhedskritiske systemer kunne være udfordrende.
Indvirkningen af trusler på energiressourcer
Konsekvenserne af energiforsyningssvigt er godt forstået. Nogle af de mest alvorlige påvirkninger omfatter:
Den strategiske betydning af både offentlige og private organisationer i energiforsyningsindustrien har ført til, at de er blevet klassificeret som en del af kritiske nationale infrastrukturer. Det er grunden til, at alle organisationer, der er omfattet af ISO/IEC 27019, bør træffe alle mulige foranstaltninger for at implementere standarden for at sikre deres anvendte proceskontrolsystemer.
ISO udviklede ISO/IEC 27019 for at sikre, at den overholder sproget i ISO/IEC 27001 og ISO 27002. Etablering af standarden på denne måde sikrer, at du kan implementere ISO 27001 og ISO 27002 internationalt som et accepteret vejledningssystem til sikring af PCS'er, der anvendes i energiforsyningsindustrien.
ISO/IEC 27019 følger strukturen i IEC 27002 tæt, med yderligere vejledning, hvor det er nødvendigt. Under implementeringen skal en organisation i energiforsyningsbranchen anvende ISO/IEC 27019 sammen med ISO/IEC 27002, da førstnævnte ikke inkorporerer indholdet af 27002.
Når de implementerer ISO 27019, bør organisationer også henvise til ISO/IEC 27001 for at udfylde den bredere kontekst for dit ISMS. Dit system bør ikke kun omfatte processtyringen, men også andre generelle kommercielle netværk, anvendte systemer og processer, der gælder for energiforsyningsindustrien.
Du bør også overveje andre standarder, som f.eks ISO / IEC 27005 ved implementering af ISO 27019 for at imødekomme informationsrisikostyringspraksis, der anvendes af energiforsyningsindustrien.
Download din gratis guide til hurtig og bæredygtig certificering
Vi har bare brug for et par detaljer, så vi kan e-maile dig din guide til at opnå ISO 27001 første gang
Download din gratis guide nu, og hvis du overhovedet har spørgsmål Book en demo or Kontakt Os. Vi hjælper gerne.
Følgende er de specifikke områder, hvor implementeringen af ISO/IEC 27019:2017 kontroller er afgørende for at beskytte og sikre sikkerheden af kritisk energiinfrastruktur:
Efter at have gennemført en sikkerhedsvurdering og komme med sikkerhedsrisici og mål og beslutninger om, hvordan den identificerede risiko skal håndteres, bør den nødvendige kontrol udvælges og implementeres for at sikre, at risiciene reduceres til et acceptabelt niveau.
Ud over de kontroller, der tilbydes af et omfattende ISMS, giver ISO 27019 yderligere sektorspecifikke foranstaltninger og assistance til at hjælpe med processtyringen, der bruges af energiforsyningsindustrien, vedrørende de særlige krav i de specifikke miljøer. Hvis det er nødvendigt, kan en organisation træffe yderligere foranstaltninger for at opfylde individuelle krav.
De kontroller, som en organisation vil tage stilling til, afhænger af:
Udover de foranstaltninger og sikkerhedsretningslinjer, der er præsenteret i ISO/IEC 27002:2013, har processtyringssystemerne for energileverandører og energiselskaber yderligere krav. Sammenlignet med andre konventionelle IKT-miljøer, såsom energihandelssystemer og kontorinformationsteknologi, har energiforsyningssektoren fundamentale forskelle med hensyn til drift, udvikling, vedligeholdelse, reparation og driftsmiljø for PCS'er.
Da nogle af processtyringsteknologierne beskrevet i ISO/IEC 27019:2017 beskriver integrerede komponenter i nogle kritiske infrastrukturer, er de derfor væsentlige for at sikre pålidelig og sikker drift af sådanne infrastrukturer.
Når du tager deres funktion og design i betragtning, bør du betragte energiforsyningssektorens PCS'er som informationsbehandlingssystemer. Data om status for de fysiske processer overvåges ved hjælp af sensorer. Disse data behandles derefter, og styreoutput genereres for at regulere handlingerne ved hjælp af aktuatorer. Selvom processen er automatisk, kan driftspersonalet manuelt gribe ind, når det er nødvendigt.
Da informations- og informationsbehandlingssystemer er en væsentlig del af energiforsyningernes drift, skal organisationer træffe de nødvendige beskyttelsesforanstaltninger for at sikre deres information ligesom andre organisatoriske enheder.
Energiforsyningens proceskontrolmiljøer bruger i stigende grad hardware- og softwarekomponenter. Et eksempel på dette er programmerbar logik baseret på standard IKT-teknologi. Talrige sammenkoblinger danner også komplekse systemer. Det ville hjælpe, hvis du overvejede disse nye risici under en risikovurdering og de nødvendige foranstaltninger, der er truffet for at rette op på det.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
For at komme i gang med 27019 bør organisationer i energiforsyningsindustrien foretage en risikovurdering af deres systemer, der bruges til at kende deres trusler, sårbarheder og mulige konsekvenser af risici. Afhængigt af den specifikke hardware- og softwareautomatiseringsteknologi, der bruges af energiforsyningsorganisationerne, bør de vælge de relevante retningslinjer og kontroller for at sikre deres systemers sikkerhed.
Tilgængeligheden af informationssikkerhedssoftware og -værktøjer gør det nemt for organisationer at benchmarke deres overholdelse af ISO 27019. Ved hjælp af sådanne værktøjer vil de involverede i sikkerhedsstyringen eller processtyringen, der anvendes af energiforsyningsindustrien, få et klarere billede af, hvordan deres politikker og kontroller sammenlignet med de fastsatte ISMS-krav. At kende de områder, der skal forbedres, gør det muligt at anvende de relevante kontroller baseret på ISO 27019-standarderne.
For at opnå ISO-certificering bør en organisation følge en specifik procedure for at sikre, at alle de adresserer risici, som de vedrører de særlige forretningsmiljøer.
Det første skridt til at opnå certificering er at identificere kerneforretningsprocessen og dokumentere den til de relevante medlemmer af organisationen. Dokumentationen skal angive procedurerne og den foranstaltning, der er truffet beskytte de forskellige informationssystemer og automationsteknologi.
Næste trin er at implementere procedurerne som beskrevet i dokumentationen og sikre, at alle medarbejdere er kvalificerede til at udføre de opgaver, som kræves af dem. Der bør være et effektivt rapporteringssystem til at tage højde for testning, inspektion, forebyggende handlinger, korrigerende handlinger, statistiske teknikker, ledelsesgennemgangsmøder, overvågning af målsætning mv.
Effektiviteten af disse processer bør da være overvåges ved hjælp af målbare data hvor det er muligt. Energiforsyningsorganisationer bør også udføre nødvendig gennemgang og systemrevision.
Disse audits sikrer, at du implementerer alle de kontroller og retningslinjer, som er foreslået af ISO 27019 korrekt. Systemrevision skal:
Det sidste trin for organisationer i energiforsyningsindustrien, der ønsker at opnå ISO/IEC 27019-certificering, er at vælge et uafhængigt revisionsorgan, der beskæftiger sig med ekstern registrering.
Ledelsessystemets dokumentation skal derefter indsendes til gennemgang for at sikre overholdelse af de gældende standarder.
For at overholde ISO/IEC 2019, energiforsyning organisationer skal identificere deres sikkerhedskrav baseret på deres automatiseringsteknologi. Disse krav kommer hovedsageligt fra:
Energiforsyningsorganisationer bør sørge for, at alle PCS's sikkerhedskrav er korrekt analyseret og dækket af deres informationssikkerhedspolitikker. Nogle af overvejelserne på plads inkluderer:
Book en skræddersyet hands-on session baseret på dine behov og mål.
100 % af vores brugere opnår ISO 27001-certificering første gang
