הבנת ISO 27019

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

בקרות ניהול אבטחת מידע עבור בקרות תהליך של שירות אנרגיה

עמיתים לעבודה,עבודה,מודרני,סטודיו.ייצור,מנהלים,צוות,עובד,חדש,פרויקט.צעיר,עסק

coworkers,work,modern,studio.production,managers,team,working,new,project.young,business

מה זה ISO/IEC 27019:2017?

ISO/IEC 27019 הוא אוסף של עקרונות מנחים לניהול אבטחת מידע של מערכות בקרת התהליך (PCS) המשמשות במגזר שירותי האנרגיה.

המטרה העיקרית של המסמך היא להגדיל את רוחב ה-ISO/IEC לתחום טכנולוגיית האוטומציה ו-PCS. זה כדי לספק ספציפי וסטנדרטי מערכת ניהול אבטחת מידע (ISMS) להגן על מערכות טכנולוגיות החומרה והתוכנה האחראיות לניטור ובקרה על היצור, ההולכה, האחסון וההפצה של נפט, גז, חשמל וחום, בין שאר שירותי האנרגיה.

בקרות מידע עבור תעשיית השירותים לאנרגיה

תעשיית האנרגיה העולמית הייתה אחראית לכמה מהאסונות הכי קטקליזים שחוותה המין האנושי.

דוגמאות לטיפול שגוי הרסני במשאבי אנרגיה כוללות:

אין זה מפתיע שקיימת תרבות חזקה של בקרות בטיחות בתעשיית שירותי האנרגיה. האתוס הזה מגיע מה- מודעות להשפעות ארוכות הטווח של כמה פעולות ותוכניות משתבשות.

תעשיית שירותי האנרגיה היא אחד הנהנים הגדולים ביותר מאוטומציה. רוב המערכות המשמשות מסתמכות במידה רבה על PCS אלקטרוניים כגון:

האינטרנט התעשייתי של הדברים (IIoT)
בקרי לוגיקה ניתנים לתכנות (PLC)
בקרת פיקוח ורכישת נתונים (SCDA)
מערכות בקרה תעשייתיות (ICS)

יחד עם נהלים ורשתות קשורות אחרות, אלה אחראים על:

זמן אמת מעקב אחר פעילות הייצור
ניהול פעילויות ההפקה
בקרה על פעילות הייצור.

בקיצור, תקלה או שיבושים במערכות בקרת התהליך האלקטרונית המשמשות יגרמו לירידה של כל המערכת.

לדוגמה, כשל של צג בתחנת כוח גיאותרמית יוביל להתחממות יתר, ובמקרה הגרוע ביותר, לפיצוץ אסון.

בעוד ISO / IEC 27002 הסטנדרטים מתארים קווים מנחים חשובים לשליטה בהגנה על נכסי אבטחת מידע, היקפו אינו צולל מספיק עמוק לתוך ההגנה על תהליכים של שירותי אנרגיה.

זו הסיבה ש-ISO/IEC 27019:2017 קיים.

ההיסטוריה של ISO 27019

ISO וחברת החשמל פרסמו לראשונה את ISO 27019 בשנת 2013 כדוח טכני (TR), שנעשה על ידי מעקב מהיר אחר תקן DIN. בשנת 2017, פורסמה מהדורה שנייה של התקן, שהפכה אותו לתקן בינלאומי מלא בהרמוניה עם גרסת 2013 של ISO 27001 ו ISO 27002. אז למה ISO 27019 כל כך חשוב?

ISMS.online הוא א
פתרון חד פעמי שהאיץ באופן קיצוני את היישום שלנו.

אוון האריס

מייסד ו-COO, מרגיז

הזמן את ההדגמה שלך

עם ISMS.online, אתגרים סביב בקרת גרסאות, אישור מדיניות ושיתוף מדיניות הם נחלת העבר.

דין פילדס

מנהל IT אנשי מקצוע של NHS

100% מהמשתמשים שלנו עוברים הסמכה בפעם הראשונה

הזמן את ההדגמה שלך

מהם היתרונות של ISO 27019?

ללא תעשיית האנרגיה, לא הייתה לנו את רמת הקידמה הטכנולוגית שיש לנו כעת. בלב התחום עומדות מערכות בקרת התהליך האלקטרוני והרשתות האחראיות לשמירה על תפקוד המערכת, שבלעדיהם יהיו תקלות מסיביות ואף קטסטרופליות. קח, למשל, את רשת החשמל. בשל אחסון אנרגיה מוגבל בקנה מידה גדול, החלוקה האפקטיבית של אנרגיה חשמלית לצריכה ביתית ותעשייתית תלויה בשמירה על איזון בין האנרגיה המופקת לבין זו הנצרכת.

אם ה-PCSs המשמשים היו נכשלים, לא תהיה דרך לשלוט בזרימת האנרגיה בזמן אמת, והתוצאה תהיה הפסקות ועומס יתר, וכתוצאה מכך להפרעות בחלוקת הכוח. אם התשתית החשמלית של מדינה כלשהי הייתה נופלת, כמעט כל מגזר אחר היה הולך בעקבותיו בגלל מידת ההסתמכות הרבה על טכנולוגיית אוטומציה, רובם.

אתה מקבל מושג ברור עד כמה חשוב ISO/IEC 27019 כאשר אתה לוקח בחשבון את האיומים, הפגיעויות וההשפעות של איומים על שירותי אנרגיה

איומים העומדים בפני שירותי אנרגיה

חלק מהאיומים העומדים בפני משאבי האנרגיה כוללים אסונות טבע וחבלות מכוונות של מהנדסים חברתיים, איומים מתמשכים מתקדמים (APTs), האקרים, מקורבים, טרוריסטים, מדינות זרות וקבוצות לחץ. ישנם איומים אחרים יותר ארציים כמו אלה של כשלים אלקטרו-מכניים, מתחרים, תאונות, תוכנות זדוניות וכו'.

נקודות תורפה של תעשיית האנרגיה

ישנן כמה פגיעויות בלתי נמנעות הגלומות בתהליכים ובמערכות. דוגמה לחולשות כאלה היא מערכות בקרת התהליך הנגישות, מחוברות או חשופות לאינטרנט ולרשתות אחרות. זה הופך אותם לפגיעים לסוג של איומי סייבר, כולל כאלה הנובעים מבאגים בתוכנה ופגמי עיצוב שנגרמים מתכנון, ניהול או תחזוקה לקויים. פגיעויות אלו נפוצות במיוחד מאז ביצוע א תיקון אבטחה למערכות קריטיות לבטיחות יכול להיות מאתגר.

השפעת האיומים על משאבי אנרגיה

ההשלכות של הכישלון של שירותי אנרגיה מובנות היטב. כמה מההשפעות החמורות ביותר כוללות:

היעדר, או התפשרות של מידע עסקי ובטוח קריטי, שיגרום בתורו להפרעות באספקת החשמל,
אספקה שאינה מחוץ למפרט; כמו תת/מתח יתר.
שחרור של כמות קטסטרופלית או עצומה של אירועי אנרגיה וסביבתיים כגון דליפות כימיקלים ונפט.

המשמעות האסטרטגית של ארגונים ציבוריים ופרטיים כאחד בתעשיית שירותי האנרגיה הביאה לסיווגם כחלק מתשתיות לאומיות קריטיות. זו הסיבה שכל הארגונים המכוסים בהיקף של ISO/IEC 27019 צריכים לנקוט בכל האמצעים האפשריים כדי ליישם את התקן כדי לאבטח את מערכות בקרת התהליך שלהם.

קשר עם תקנים אחרים

ISO פיתחה את ISO/IEC 27019 כדי להבטיח שהוא עומד בשפה של ISO/IEC 27001 ו-ISO 27002. הקמת התקן בצורה זו מבטיחה שתוכלו ליישם את ISO 27001 ו-ISO 27002 בינלאומית כמערכת הנחיה מקובלת לאבטחת ה-PCS המשמשים בתעשיית שירות האנרגיה.

ISO 27019 ו-ISO 27002

ISO/IEC 27019 עוקב מקרוב אחר המבנה של IEC 27002, עם הנחיות נוספות מסופקות במידת הצורך. במהלך היישום, ארגון בתעשיית שירות האנרגיה חייב להשתמש ב-ISO/IEC 27019 יחד עם ISO/IEC 27002 מאחר והראשון אינו משלב את התוכן של 27002.

ISO 27019 ו-ISO/IEC 27001

בעת יישום ISO 27019, ארגונים צריכים גם להתייחס ל-ISO/IEC 27001 כדי למלא את ההקשר הרחב יותר עבור ה-ISMS שלך. המערכת שלך צריכה לכלול לא רק את בקרת התהליך אלא גם רשתות מסחריות כלליות אחרות, מערכות בשימוש ותהליכים הרלוונטיים לתעשיית שירות האנרגיה.

תקני ISO אחרים

כדאי לשקול גם תקנים אחרים, כגון ISO / IEC 27005 בעת יישום תקן ISO 27019 כדי לתת מענה לשיטות ניהול סיכוני מידע המשמשות את תעשיית שירותי האנרגיה.

השג את ISO 27001 הראשון שלך

הורד את המדריך בחינם שלך להסמכה מהירה ובר קיימא

ראה את הפלטפורמה הפשוטה והחזקה שלנו בפעולה

למידע נוסף

מי יכול ליישם את ISO 27019?

להלן התחומים הספציפיים שבהם היישום של בקרות ISO/IEC 27019:2017 הוא קריטי כדי להגן ולהבטיח את האבטחה של תשתית אנרגיה קריטית:

טכנולוגיה מרכזית ומבוזרת לניהול, ניטור ואוטומציה של תהליכי התפעול ומערכות המידע המשמשות כגון פרמטריזציה ותכנות המקלים עליהם.
רכיבי אוטומציה ובקרים דיגיטליים כגון Controller Logic Programmable (PLC), יחד עם רכיבי מפעיל וחיישנים דיגיטליים.
כל מערכות המידע התומכות האחרות המיושמות בבקרת תהליכים כגון אלו המשלימות את ההדמיה של נתונים וכאלה מעורב במטרות ניטור, בקרה, רישום היסטוריונים, ארכיון נתונים, תיעוד ודיווח.
טכנולוגיות התקשורת המיושמות בתחום בקרת תהליכים כגון טלמטריה, רשתות, טכנולוגיית שליטה מרחוק ויישומי שליטה מרחוק.
רכיבים של תשתית מדידה מתקדמת (AMI) כגון מונים חכמים.
מכשירי המדידה כגון אלו המשמשים בערכי פליטה.
מערכות הגנה ובטיחות דיגיטליות כגון PLCs בטיחות, ממסרי הגנה ומנגנוני מושל חירום.
מערכות לניהול אנרגיה כגון תשתית לטעינה חשמלית, משאבי אנרגיה מבוזרת (DER), התקנות לקוחות תעשייתיים, מבני מגורים ואפילו במשקי בית פרטיים.
סביבת רשת חכמה מבוזרת רכיבים כמו במשקי בית פרטיים, רשתות אנרגיה, התקנות לקוחות תעשייתיים ובנייני מגורים.
כל הקושחה, האפליקציות והתוכנות המותקנות במערכות הנזכרות לעיל, לרבות מערכות ניהול הפסקות (OMS), מערכת ניהול הפצה (DMS) וכו'.
כל מקום שבו נמצאים המערכות והציוד שהוזכרו לעיל.
מערכות התחזוקה מרחוק למערכות שהוזכרו לעיל.

כיצד ליישם את ISO 27019

לאחר ביצוע א הערכת אבטחה והתמודדות עם סיכונים ביטחוניים ומטרות והחלטות כיצד להתמודד עם הסיכון שזוהה, יש לבחור וליישם את הבקרה הדרושה כדי להבטיח שהסיכונים יצטמצמו לרמה מקובלת.

נוסף על הבקרות המוצעות על ידי ISMS מקיף, ISO 27019 מספק אמצעים וסיוע ספציפיים למגזר נוספים לסיוע בבקרה התהליך המשמשת את תעשיית השירותים לאנרגיה, הנוגעים לדרישות המיוחדות של הסביבות הספציפיות. במידת הצורך, ארגון יוכל לנקוט צעדים נוספים כדי לעמוד בדרישות הפרטניות.

הבקרות שעליהן יחליט ארגון תלויות ב:

גישת ניהול הסיכונים של הארגון וקבלת הסיכונים שלהם
חוקים, תקנות ופקודות משפטיות בינלאומיות ולאומיות רלוונטיות אחרות

אבטחת מידע עבור חברות אנרגיה

מלבד האמצעים והנחיות האבטחה המוצגים ב-ISO/IEC 27002:2013, למערכות בקרת התהליך עבור ספקי אנרגיה ושירותי אנרגיה יש דרישות נוספות. בהשוואה לסביבות ICT קונבנציונליות אחרות, כגון מערכות סחר באנרגיה וטכנולוגיית מידע משרדית, למגזר שירותי האנרגיה יש הבדלים מהותיים בנוגע לתפעול, פיתוח, תחזוקה, תיקון וסביבת תפעול של PCS.

מכיוון שחלק מטכנולוגיות בקרת התהליך המתוארות ב-ISO/IEC 27019:2017 מתארות רכיבים אינטגרליים של כמה תשתיות קריטיות, לכן הן חיוניות בהבטחת תפעול אמין ומאובטח של תשתיות כאלה.

כאשר אתה לוקח בחשבון את התפקוד והעיצוב שלהם, אתה צריך להתייחס ל-PCS של מגזר שירותי האנרגיה כמערכות עיבוד מידע. נתונים על מצב התהליכים הפיזיים מנוטרים באמצעות חיישנים. לאחר מכן, הנתונים הללו מעובדים ותפוקות הבקרה מופקות כדי להסדיר את הפעולות באמצעות מפעילים. למרות שהתהליך הוא אוטומטי, אנשי ההפעלה יכולים להתערב באופן ידני בעת הצורך.

מכיוון שמערכות מידע ועיבוד מידע הן חלק מהותי מהאופן שבו פועלות חברות האנרגיה, ארגונים חייבים לנקוט באמצעי ההגנה הדרושים כדי להגן על המידע שלהם כמו יחידות ארגוניות אחרות.

סביבות בקרת תהליך מערכות האנרגיה משתמשות יותר ויותר ברכיבי חומרה ותוכנה. דוגמה לכך היא לוגיקה ניתנת לתכנות המבוססת על טכנולוגיית ICT סטנדרטית. חיבורים רבים יוצרים גם מערכות מורכבות. זה יעזור אם תחשבו על אלה חדשים סיכונים במהלך הערכת סיכונים והאמצעים הדרושים שננקטו כדי לתקן זאת.

אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון

CISO, ויטל

הזמן את ההדגמה שלך

לא רואה מה אתה מחפש?
אנחנו יכולים לבנות את זה בקלות.

צרו קשר

כיצד להתחיל עם ISO 27019?

כדי להתחיל עם 27019, ארגונים בתעשיית שירותי האנרגיה צריכים לבצע הערכת סיכונים של המערכות שלהם המשמשות כדי לדעת את האיומים, הפגיעויות וההשפעות האפשריות של הסיכונים שלהם. בהתאם לטכנולוגיית האוטומציה הספציפית של החומרה והתוכנה המשמשת את ארגוני שירותי האנרגיה, עליהם לבחור את ההנחיות והבקרות המתאימות כדי להבטיח את אבטחת המערכות שלהם.

הזמינות של תוכנות וכלים לאבטחת מידע מקלה על ארגונים למדוד את תאימותם ל-ISO 27019. בעזרת כלים כאלה, לעוסקים בניהול האבטחה או בקרת התהליך המשמשים את תעשיית חברות האנרגיה תהיה תמונה ברורה יותר כיצד שֶׁלָהֶם מדיניות ובקרות בהשוואה לדרישות ה-ISMS שנקבעו. הכרת התחומים הטעונים שיפור מאפשרת ליישם את הבקרות הרלוונטיות על בסיס תקני ISO 27019.

ISO 27019 הסמכה

כדי להשיג הסמכת ISO, ארגון צריך לעקוב אחר נוהל ספציפי כדי להבטיח את כל מה שהם מתייחסים לסיכונים בכל הקשור לסביבות העסקיות המסוימות.

הצעד הראשון להשגת הסמכה הוא זיהוי תהליך הליבה העסקי, תיעודו לחברים הרלוונטיים בארגון. התיעוד צריך לציין את הנהלים והאמצעים שננקטו להגן על מערכות המידע השונות וטכנולוגיית אוטומציה.

השלב הבא הוא יישום הנהלים כמתואר בתיעוד, והבטחת כל העובדים כשירים לבצע את המשימות הנדרשות מהם. צריכה להיות מערכת דיווח יעילה שתספק את הבדיקות, הבדיקה, פעולות המניעה, פעולות מתקנות, טכניקות סטטיסטיות, ישיבות סקירת הנהלה, ניטור מטרה וכו'.

האפקטיביות של תהליכים אלה צריכה להיות אז מנוטר באמצעות נתונים מדידים היכן שאפשר. גם ארגוני שירות אנרגיה צריכים לנהל את סקירה וביקורת מערכת הכרחית.

ביקורות אלו מבטיחות שאתה מיישם את כל הבקרות וההנחיות המוצעות על ידי ISO 27019 כהלכה. ביקורת מערכות צריכה:

לזהות ולדווח על נקודות החוזק והחולשה של מערכת הניהול
נקוט באמצעי התיקון או המניעה הדרושים

השלב האחרון עבור ארגונים בתעשיית שירות האנרגיה המעוניינים לזכות בהסמכת ISO/IEC 27019 הוא בחירת גוף ביקורת עצמאי העוסק ברישום חיצוני.

לאחר מכן יש להגיש את תיעוד מערכת הניהול לבדיקה כדי להבטיח עמידה בתקנים החלים.

דרישות ISO 27019

כדי לעמוד בתקן ISO/IEC 2019, חברת אנרגיה ארגונים צריכים לזהות את דרישות האבטחה שלהם מבוסס על טכנולוגיית האוטומציה שלהם. דרישות אלו הן בעיקר מ:

של ארגון הערכת סיכונים תוצאות. עליהם לקחת בחשבון את היעדים והאסטרטגיות העסקיות הכלליות של ארגון. אירועים ומקורות סיכון, יחד עם הסבירות להתרחשות וההשלכות הפוטנציאליות של התרחשות סיכון נתון.
דרישות אחרות ייבעו מחוקי עזר וחקיקה, חוזים ותקנות, ותנאים סוציו-תרבותיים אחרים שארגון נדרש למלא. כמה דוגמאות ספציפיות כוללות שמירה על אספקת אנרגיה מהימנה, מאובטחת ואפקטיבית, וגם עמידה בדרישות שוק אנרגיה מובטל.
הדרישות, העקרונות והיעדים העסקיים הספציפיים המוצבים על עיבוד מידע כפי שפותח על ידי העסק כדי לתמוך בפעילותו.

ארגוני שירות אנרגיה צריכים לוודא שכל דרישות האבטחה של PCS מנותחות כראוי ו מכוסה במדיניות אבטחת המידע שלהם. חלק מהשיקולים הקיימים כוללים: