Förstå ISO 27019

Informationssäkerhetshanteringskontroller för processkontroller för energiverk

Boka en demo

medarbetare,arbete,modernt,studio.produktion,chefer,team,arbetande,nytt,projekt.ungt,företag

Vad är ISO/IEC 27019:2017?

ISO/IEC 27019 är en uppsättning vägledande principer för informationssäkerhetshantering av processkontrollsystem (PCS) som används inom energisektorn.

Huvudsyftet med dokumentet är att öka bredden av ISO/IEC till automationstekniken och PCS-domänen. Detta för att ge en specifik och standardiserad Information Security Management System (ISMS) för att skydda hårdvaru- och mjukvarutekniksystem som ansvarar för övervakning och kontroll av generering, överföring, lagring och distribution av olja, gas, elkraft och värme, bland andra energiföretag.

Informationskontroller för energiförsörjningsindustrin

Den globala energiindustrin har varit ansvarig för några av de mest katastrofala katastrofer som mänskligheten har upplevt.

Exempel på destruktiv misshantering av energiresurser inkluderar:

Det kommer inte som någon överraskning att det finns en stark kultur av säkerhetskontroller inom energibranschen. Detta etos kommer från medvetenhet om de långsiktiga effekterna vissa operationer och program går fel.

Energibranschen är en av de största förmånstagarna av automation. De flesta av de system som används är starkt beroende av elektroniska PCS som:

  • Industrial Internet of Things (IIoT)
  • Programmerbara logiska styrenheter (PLC)
  • Supervisory Control and Data Acquisition (SCDA)
  • Industriella styrsystem (ICS)

Tillsammans med andra tillhörande rutiner och nätverk ansvarar dessa för:

Kort sagt, fel eller störningar i de elektroniska processtyrsystemen som används kommer att göra att hela systemet går ner.

Till exempel kommer fel på en monitor i ett geotermiskt kraftverk att leda till överhettning och i värsta fall en katastrofal explosion.

Medan ISO / IEC 27002 standarder beskriver viktiga riktlinjer för att kontrollera skyddet av informationssäkerhetstillgångar, dess räckvidd dyker inte tillräckligt djupt in i skyddet av energiförsörjningsprocesser.

Det är därför ISO/IEC 27019:2017 finns.

Historien om ISO 27019

ISO och IEC publicerade först ISO 27019 2013 som en teknisk rapport (TR), gjord genom snabbspårning av en DIN-standard. Under 2017 publicerades en andra upplaga av standarden, vilket gör den till en fullständig internationell standard i harmoni med 2013 års version av ISO 27001 och ISO 27002 . Så varför är ISO 27019 så viktigt?

ISMS.online är en
en enda lösning som radikalt påskyndade vår implementering.

Evan Harris
Grundare & COO, Peppy

Boka din demo

Med ISMS.online är utmaningar kring versionskontroll, policygodkännande och policydelning ett minne blott.
Dean Fields
IT-direktör NHS-proffs
100 % av våra användare klarar certifieringen första gången
Boka din demo

Vilka är fördelarna med ISO 27019?

Utan energiindustrin skulle vi inte ha den nivå av tekniska framsteg som vi gör nu. I hjärtat av branschen är de elektroniska processtyrningssystemen och nätverken som ansvarar för att hålla systemet funktionellt, utan vilka det skulle uppstå massiva och till och med katastrofala fel. Ta till exempel elnätet. På grund av begränsad storskalig energilagring är den effektiva distributionen av elektrisk energi för hushålls- och industrikonsumtion beroende av att hålla en balans mellan den producerade energin och den som förbrukas.

Om de använda PCS:erna skulle misslyckas, skulle det inte finnas något sätt att kontrollera energiflödet i realtid, och resultatet skulle bli avbrott och överbelastningar, vilket skulle resultera i avbrott i kraftfördelningen. Om den elektriska infrastrukturen i något land skulle gå ner, skulle nästan alla andra sektorer följa efter på grund av hur starkt beroende av automationsteknik, de flesta av dem är.

Du får en tydlig uppfattning om hur viktig ISO/IEC 27019 är när du tar hänsyn till hot, sårbarheter och effekter av hot på energiföretag

Hot inför energiföretag

Några av de hot som energiresurserna står inför inkluderar naturkatastrofer och avsiktliga sabotage från sociala ingenjörer, Advanced Persistent Threats (APTs), hackare, insiders, terrorister, främmande stater och påtryckningsgrupper. Det finns andra mer vardagliga hot som de från elektromekaniska fel, konkurrenter, olyckor, skadlig programvara, etc.

Sårbarheter i energiindustrin

Det finns några oundvikliga sårbarheter inneboende i processerna och systemen. Ett exempel på sådana svagheter är de processtyrsystem som är tillgängliga från, anslutna till eller exponerade för internet och andra nätverk. Detta gör dem sårbara för ett sätt av cyberhot, inklusive sådana som är ett resultat av programvarubuggar och designfel orsakade av dålig design, hantering eller underhåll. Dessa sårbarheter är särskilt vanliga sedan man utför en säkerhetskorrigering för säkerhetskritiska system kan vara utmanande.

Hotens inverkan på energiresurser

Konsekvenserna av att energiföretagen misslyckas är välkända. Några av de allvarligaste effekterna inkluderar:

  • Bristen på eller äventyrandet av affärs- och säkerhetskritisk information som i sin tur skulle orsaka avbrott i strömförsörjningen,
  • Leverans som inte är specificerad; som under/överspänning.
  • Utsläpp av en katastrofal eller enorm mängd energi- och miljöincidenter som kemikalie- och oljeläckor.

Den strategiska betydelsen av både offentliga och privata organisationer inom energibranschen har lett till att de klassificerats som en del av kritisk nationell infrastruktur. Det är därför alla organisationer som omfattas av ISO/IEC 27019 bör vidta alla möjliga åtgärder för att implementera standarden för att säkra deras processkontrollsystem som används.

Förhållande till andra standarder

ISO utvecklade ISO/IEC 27019 för att säkerställa att den följer språket i ISO/IEC 27001 och ISO 27002. Att etablera standarden på detta sätt säkerställer att du kan implementera ISO 27001 och ISO 27002 internationellt som ett accepterat vägledningssystem för att säkra de PCS som används inom energiindustrin.

ISO 27019 och ISO 27002

ISO/IEC 27019 följer strukturen i IEC 27002 noga, med ytterligare vägledning vid behov. Under implementeringen måste en organisation inom energibranschen använda ISO/IEC 27019 tillsammans med ISO/IEC 27002 eftersom den förra inte innehåller innehållet i 27002.

ISO 27019 och ISO/IEC 27001

När de implementerar ISO 27019 bör organisationer också hänvisa till ISO/IEC 27001 för att fylla i det bredare sammanhanget för ditt ISMS. Ditt system bör inte bara inkludera processkontroll utan även andra allmänna kommersiella nätverk, system som används och processer som är tillämpliga på energiindustrin.

Andra ISO-standarder

Du bör även överväga andra standarder, som t.ex ISO / IEC 27005 vid implementering av ISO 27019 för att tillgodose informationsriskhanteringsmetoder som används av energiföretagsindustrin.

Uppnå din första ISO 27001

Ladda ner din gratis guide till snabb och hållbar certifiering



Se vår enkla, kraftfulla plattform i aktion
Läs mer

Vem kan implementera ISO 27019?

Följande är de specifika områden där implementeringen av ISO/IEC 27019:2017 kontroller är avgörande för att skydda och säkerställa säkerheten för kritisk energiinfrastruktur:

  1. Central och distribuerad teknik för hantering, övervakning och automatisering av driftprocesserna och de informationssystem som används såsom parametrering och programmering som underlättar dem.
  2. Automationskomponenter och digitala styrenheter som programmerbar logisk styrenhet (PLC), tillsammans med ställdonelement och digitala sensorer.
  3. Alla andra stödjande informationssystem som tillämpas i processtyrning såsom de som kompletterar visualiseringen av data och de som involverade i övervakning, kontroll, historikloggning, dataarkivering, dokumentation och rapporteringsändamål.
  4. Kommunikationstekniken som tillämpas inom området processtyrning såsom telemetri, nätverk, fjärrkontrollteknik och fjärrkontrollapplikationer.
  5. Komponenter i Advanced Metering Infrastructure (AMI) som smarta mätare.
  6. Mätanordningarna som de som används i emissionsvärden.
  7. Digitala skydds- och säkerhetssystem som säkerhets-PLC, skyddsreläer och nödregulatormekanismer.
  8. System för hantering av energi såsom infrastruktur för elektrisk laddning, Distributed Energy Resources (DER), industriella kundinstallationer, bostadshus och även i privata hushåll.
  9. Smart grid miljö distribuerade komponenter såsom i privata hushåll, energinät, industriella kundinstallationer och bostadshus.
  10. All firmware, applikationer och programvara installerad på ovan nämnda system, inklusive Outage Management Systems (OMS), Distribution Management System (DMS), etc.
  11. Alla lokaler som inrymmer ovan nämnda system och utrustning.
  12. Fjärrunderhållssystemen för systemen som nämns ovan.

Hur man implementerar ISO 27019

Efter att ha genomfört en säkerhetsbedömning och komma på säkerhetsrisker och mål och beslut om hur den identifierade risken ska hanteras, bör nödvändig kontroll väljas och implementeras för att säkerställa att riskerna reduceras till en acceptabel nivå.

Utöver kontrollerna som erbjuds av ett omfattande ISMS, tillhandahåller ISO 27019 ytterligare sektorspecifika åtgärder och assistans för att hjälpa till med processkontrollen som används av energiföretagsindustrin, angående de specifika kraven i de specifika miljöerna. Vid behov kan en organisation vidta ytterligare åtgärder för att uppfylla individuella krav.

De kontroller som en organisation kommer att besluta om beror på:

  • Organisationens riskhanteringssätt och deras riskacceptans
  • Andra relevanta internationella och nationella lagar, förordningar och juridiska förordningar

Informationssäkerhet för energiföretag

Förutom de åtgärder och säkerhetsriktlinjer som presenteras i ISO/IEC 27002:2013 har processkontrollsystemen för energileverantörer och energiföretag ytterligare krav. Jämfört med andra konventionella IKT-miljöer som energihandelssystem och kontorsinformationsteknik har energisektorn grundläggande skillnader när det gäller drift, utveckling, underhåll, reparation och driftsmiljö för PCS.

Eftersom vissa av processtyrningsteknikerna som beskrivs i ISO/IEC 27019:2017 beskriver integrerade komponenter i vissa kritiska infrastrukturer, är de därför väsentliga för att säkerställa tillförlitlig och säker drift av sådana infrastrukturer.

När du tar hänsyn till deras funktion och design, bör du betrakta PCS för energisektorn som informationsbehandlingssystem. Data om status för de fysiska processerna övervakas med hjälp av sensorer. Dessa data bearbetas sedan och styrutgångar genereras för att reglera åtgärderna med hjälp av ställdon. Även om processen är automatisk kan driftpersonalen manuellt ingripa vid behov.

Eftersom informations- och informationsbehandlingssystem är en väsentlig del av hur energiföretagen fungerar, måste organisationer vidta nödvändiga skyddsåtgärder för att skydda sin information som andra organisatoriska enheter.

Energiverkens processkontrollmiljöer använder allt mer hårdvaru- och mjukvarukomponenter. Ett exempel på detta är programmerbar logik baserad på standard ICT-teknik. Många sammankopplingar bildar också komplexa system. Det skulle hjälpa om du övervägde dessa nya risker vid en riskbedömning och de åtgärder som vidtagits för att rätta till det.

Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Boka din demo

Ser du inte vad du letar efter?
Vi kan bygga det enkelt.
Kontakta oss

Hur kommer man igång med ISO 27019?

För att komma igång med 27019 bör organisationer inom energibranschen göra en riskbedömning av sina system som används för att känna till deras hot, sårbarheter och möjliga effekter av risker. Beroende på den specifika maskin- och mjukvaruautomatiseringsteknik som används av energiföretagen bör de välja lämpliga riktlinjer och kontroller för att säkerställa säkerheten för sina system.

Tillgängligheten av programvara och verktyg för informationssäkerhet gör det enkelt för organisationer att jämföra sin överensstämmelse med ISO 27019. Med hjälp av sådana verktyg kommer de som arbetar med säkerhetshantering eller processkontroll som används av energiindustrin att få en tydligare bild av hur deras policyer och kontroller jämfört med de uppställda ISMS-kraven. Att känna till de områden som behöver förbättras gör det möjligt att tillämpa relevanta kontroller baserade på ISO 27019-standarderna.

ISO 27019-certifiering

För att uppnå ISO-certifiering bör en organisation följa en specifik procedur för att säkerställa att alla hanterar risker när de relaterar till den specifika affärsmiljön.

Det första steget för att erhålla certifiering är att identifiera kärnverksamhetsprocessen, dokumentera den för relevanta medlemmar i organisationen. Dokumentationen bör ange tillvägagångssätt och vilka åtgärder som vidtagits skydda de olika informationssystemen och automationsteknik.

Nästa steg är att implementera de rutiner som beskrivs i dokumentationen och att säkerställa att alla anställda är kvalificerade att utföra de uppgifter som krävs av dem. Det bör finnas ett effektivt rapporteringssystem för att tillgodose testning, inspektion, förebyggande åtgärder, korrigerande åtgärder, statistisk teknik, ledningsgranskningsmöten, uppföljning av mål m.m.

Effektiviteten av dessa processer bör då vara övervakas med hjälp av mätbara data där det är möjligt. Energiföretag bör också genomföra nödvändig granskning och systemrevision.

Dessa revisioner säkerställer att du implementerar alla kontroller och riktlinjer som föreslås av ISO 27019 korrekt. Systemrevisioner bör:

  • Identifiera och rapportera styrkor och svagheter i ledningssystemet
  • Vidta nödvändiga korrigerande eller förebyggande åtgärder

Det sista steget för organisationer inom energibranschen som vill få ISO/IEC 27019-certifiering är att välja ett oberoende revisionsorgan som sysslar med extern registrering.

Ledningssystemets dokumentation bör sedan lämnas in för granskning för att säkerställa överensstämmelse med tillämpliga standarder.

ISO 27019 krav

För att uppfylla ISO/IEC 2019, energiverk organisationer måste identifiera sina säkerhetskrav baserat på deras automationsteknik. Dessa krav kommer huvudsakligen från:

  1. En organisations riskbedömning resultat. De bör ta hänsyn till en organisations allmänna affärsmål och strategier. Riskhändelser och källor, tillsammans med sannolikheten för att det inträffar och de potentiella konsekvenserna av att en given risk inträffar.
  2. Andra krav kommer att följa av stadgar och lagstiftning, kontrakt och förordningar och andra sociokulturella villkor som en organisation måste uppfylla. Några särskilda exempel är att säkra en energiförsörjning som är tillförlitlig, säker och effektiv, och även uppfyllandet av en avreglerad energimarknads krav.
  3. De specifika affärskrav, principer och mål som ställs på behandling av information som utvecklats av företaget för att stödja dess verksamhet.

Energiföretag bör se till att alla PCS:s säkerhetskrav är korrekt analyserade och omfattas av deras informationssäkerhetspolicyer. Några av övervägandena på plats inkluderar:

  • Begränsningen av energiflödet
  • Faran för fysisk skada
  • Effekterna på informationsintegritet
  • Ekonomiska konsekvenser

Boka din demo

Se hur enkelt
det är med
ISMS.online

Boka en skräddarsydd praktisk session utifrån dina behov och mål.

Boka din demo

Se vår enkla, kraftfulla plattform i aktion
Boka din demo

Utforska andra standarder inom ISO 27k-familjen

  • 1ISO 27000-familjen
  • 2ISO 27002
  • 3ISO 27003
  • 4ISO 27004
  • 5ISO 27005
  • 6ISO 27008
  • 7ISO 27009
  • 8ISO 27010
  • 9ISO 27014
  • 11ISO 27013
  • 12ISO 27016
  • 13ISO 27017
  • 14ISO 27018
  • 15ISO 27019
  • 16ISO 27038
  • 17ISO 27039
  • 18ISO 27040
  • 19ISO 27050
  • 20ISO 27102

« ISO 27018

ISO 27038 »

100 % av våra användare uppnår ISO 27001-certifiering första gången

Börja din resa idag
Se hur vi kan hjälpa dig

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer