Tổng quan

Tiêu chuẩn ISO / IEC 27019:2017

Giới thiệu

0.1 Bối cảnh và bối cảnh

Tài liệu này cung cấp các nguyên tắc hướng dẫn dựa trên ISO / IEC 27002: 2013 “Quy tắc thực hành về kiểm soát an toàn thông tin” để quản lý an toàn thông tin áp dụng cho các hệ thống kiểm soát quá trình được sử dụng trong ngành công nghiệp năng lượng. Mục đích của tài liệu này là mở rộng nội dung của ISO / IEC 27002:2013 sang lĩnh vực hệ thống điều khiển quá trình và công nghệ tự động hóa, do đó cho phép ngành công nghiệp năng lượng triển khai hệ thống quản lý an ninh thông tin (ISMS) được tiêu chuẩn hóa và cụ thể trong phù hợp với ISO / IEC 27001: 2013 và mở rộng từ cấp độ kinh doanh đến cấp độ kiểm soát quá trình.

Ngoài các mục tiêu và biện pháp an ninh được quy định trong ISO / IEC 27002: 2013, các hệ thống kiểm soát quá trình được sử dụng bởi các công ty năng lượng và nhà cung cấp năng lượng phải tuân theo các yêu cầu đặc biệt hơn nữa. So với các môi trường CNTT-TT thông thường (ví dụ: CNTT văn phòng, hệ thống kinh doanh năng lượng), có những khác biệt cơ bản và đáng kể đối với môi trường phát triển, vận hành, sửa chữa, bảo trì và vận hành của hệ thống kiểm soát quá trình. Hơn nữa, công nghệ quy trình được đề cập trong tài liệu này có thể đại diện cho các thành phần không thể thiếu của các cơ sở hạ tầng quan trọng. Điều này có nghĩa là chúng rất cần thiết cho hoạt động an toàn và đáng tin cậy của các cơ sở hạ tầng đó. Những sự khác biệt và đặc điểm này cần được xem xét thích đáng bởi các quá trình quản lý đối với hệ thống kiểm soát quá trình và biện minh cho việc xem xét riêng trong ISO / IEC 27000 họ của các tiêu chuẩn.

Từ quan điểm thiết kế và chức năng, các hệ thống điều khiển quá trình được sử dụng trong lĩnh vực năng lượng thực chất là các hệ thống xử lý thông tin. Họ thu thập dữ liệu quy trình và giám sát trạng thái của các quy trình vật lý bằng cách sử dụng các cảm biến. Sau đó, các hệ thống xử lý dữ liệu này và tạo ra các đầu ra điều khiển để điều chỉnh các hành động bằng cách sử dụng bộ truyền động. Việc kiểm soát và điều tiết là tự động nhưng sự can thiệp thủ công của nhân viên vận hành cũng có thể thực hiện được. Do đó, hệ thống xử lý thông tin và thông tin là một phần thiết yếu của các quy trình hoạt động trong các công ty năng lượng. Điều này có nghĩa là điều quan trọng là các biện pháp bảo vệ thích hợp phải được áp dụng giống như đối với các đơn vị tổ chức khác.

Các thành phần phần mềm và phần cứng (ví dụ logic có thể lập trình) dựa trên công nghệ ICT tiêu chuẩn ngày càng được sử dụng nhiều hơn trong các môi trường điều khiển quá trình và cũng được đề cập trong tài liệu này. Hơn nữa, các hệ thống kiểm soát quá trình trong lĩnh vực năng lượng ngày càng được kết nối với nhau để tạo thành các hệ thống phức tạp. Các rủi ro phát sinh từ xu hướng này cần được xem xét trong đánh giá rủi ro.

Thông tin và hệ thống xử lý thông tin trong môi trường kiểm soát quá trình cũng bị phơi nhiễm với số lượng ngày càng nhiều các mối đe dọa và lỗ hổng bảo mật. Do đó, điều cần thiết là, trong lĩnh vực kiểm soát quá trình của ngành công nghiệp năng lượng, phải đảm bảo an toàn thông tin đầy đủ thông qua việc triển khai và cải tiến liên tục hệ thống ISMS phù hợp với ISO / IEC 27001: 2013 .

Có thể đạt được an toàn thông tin hiệu quả trong lĩnh vực kiểm soát quá trình của ngành năng lượng bằng cách thiết lập, thực hiện, giám sát, xem xét và nếu cần, cải tiến các biện pháp áp dụng được nêu trong tài liệu này, nhằm đạt được các mục tiêu kinh doanh và an ninh cụ thể của tổ chức. Điều quan trọng là phải xem xét cụ thể ở đây vai trò đặc biệt của các tiện ích năng lượng trong xã hội và sự cần thiết kinh tế của một nguồn cung cấp năng lượng an toàn và đáng tin cậy. Cuối cùng, thành công chung về an ninh mạng của các ngành năng lượng dựa trên nỗ lực hợp tác của tất cả các bên liên quan (nhà cung cấp, nhà cung cấp, khách hàng, v.v.).

0.2 Các cân nhắc về an ninh đối với hệ thống kiểm soát quá trình được sử dụng bởi các công ty năng lượng

Yêu cầu đối với khuôn khổ an toàn thông tin chung và tổng thể cho lĩnh vực kiểm soát quá trình của ngành công nghiệp năng lượng dựa trên một số yêu cầu cơ bản:

a) Khách hàng mong đợi một nguồn cung cấp năng lượng an toàn và đáng tin cậy.
b) Các yêu cầu pháp lý và quy định đòi hỏi sự vận hành an toàn, tin cậy và đảm bảo của các hệ thống cung cấp năng lượng.
c) Doanh nghiệp cung cấp năng lượng yêu cầu bảo mật thông tin nhằm bảo vệ lợi ích kinh doanh, đáp ứng nhu cầu của khách hàng và tuân thủ các quy định của pháp luật.

0.3 Yêu cầu về bảo mật thông tin

Điều cần thiết là các tổ chức sử dụng năng lượng phải xác định các yêu cầu bảo mật của họ. Có ba nguồn yêu cầu bảo mật chính:

a) Kết quả đánh giá rủi ro của tổ chức, có tính đến các chiến lược và mục tiêu kinh doanh chung của tổ chức. Thông qua đánh giá rủi ro, các nguồn và sự kiện rủi ro được xác định; đánh giá hậu quả tiềm ẩn và khả năng xảy ra rủi ro.
b) Các yêu cầu xuất phát từ luật pháp và các văn bản pháp luật, các quy định và hợp đồng mà một tổ chức phải thực hiện và các yêu cầu về văn hóa xã hội. Các ví dụ cụ thể bao gồm bảo vệ nguồn cung cấp năng lượng đáng tin cậy, hiệu quả và an toàn cũng như việc đáp ứng đáng tin cậy các yêu cầu của thị trường năng lượng phi điều tiết, đặc biệt là việc truyền dữ liệu đáng tin cậy và an toàn với các bên bên ngoài.
c) Các nguyên tắc, mục tiêu và yêu cầu kinh doanh cụ thể được đặt trong quá trình xử lý thông tin, được tổ chức phát triển để hỗ trợ hoạt động kinh doanh của mình.

CHÚ THÍCH: Điều quan trọng là tổ chức sử dụng năng lượng phải đảm bảo rằng các yêu cầu an toàn của hệ thống kiểm soát quá trình được phân tích và đề cập đầy đủ trong các chính sách về an toàn thông tin. Việc phân tích các yêu cầu và mục tiêu an toàn thông tin bao gồm việc xem xét tất cả các tiêu chí liên quan để cung cấp và phân phối năng lượng an toàn, ví dụ:

• Suy giảm an ninh cung cấp năng lượng
• Hạn chế dòng năng lượng
• Tỷ lệ dân số bị ảnh hưởng
• Nguy cơ tổn thương cơ thể
• Ảnh hưởng đến các cơ sở hạ tầng quan trọng khác
• Ảnh hưởng đến quyền riêng tư thông tin
• Các tác động về tài chính

Các biện pháp hoặc biện pháp kiểm soát an ninh cần thiết được xác định bằng việc đánh giá các rủi ro an ninh một cách có phương pháp. Điều cần thiết là chi phí kiểm soát phải được cân bằng với những thiệt hại kinh tế có thể phát sinh do các vấn đề an ninh. Kết quả đánh giá rủi ro tạo điều kiện cho:

• Định nghĩa về các hành động quản lý thích hợp và các ưu tiên đối với việc quản lý các rủi ro an toàn thông tin
• Việc thực hiện các biện pháp kiểm soát được lựa chọn để bảo vệ khỏi những rủi ro này.

Việc đánh giá rủi ro cần được lặp lại định kỳ để có tính đến tất cả các thay đổi có thể ảnh hưởng đến kết quả được đánh giá.

Các yêu cầu đối với việc đánh giá rủi ro và lựa chọn kiểm soát được đưa ra trong ISO / IEC 27001: 2013 .

0.4 Lựa chọn điều khiển

Khi các mục tiêu và rủi ro an toàn đã được xác định và đưa ra quyết định về cách đối phó với rủi ro, các biện pháp kiểm soát thích hợp sẽ được lựa chọn và thực hiện để đảm bảo rằng rủi ro được giảm xuống mức có thể chấp nhận được.

Ngoài các biện pháp kiểm soát được cung cấp bởi hệ thống quản lý an toàn thông tin toàn diện, tài liệu này cung cấp hỗ trợ bổ sung và các biện pháp cụ thể theo ngành đối với hệ thống kiểm soát quá trình được sử dụng bởi ngành năng lượng, có tính đến các yêu cầu đặc biệt trong các môi trường này. Nếu cần, các biện pháp khác có thể được phát triển để đáp ứng các yêu cầu cụ thể. Việc lựa chọn các biện pháp an ninh phụ thuộc vào các quyết định của tổ chức trên cơ sở các tiêu chí chấp nhận rủi ro của chính tổ chức đó, các phương án để đối phó với rủi ro và cách tiếp cận quản lý rủi ro chung của tổ chức. Việc lựa chọn các biện pháp cũng cần phải xem xét đến luật pháp quốc gia và quốc tế, các pháp lệnh và quy định pháp luật có liên quan.

0.5 khán giả

Tài liệu này hướng tới những người chịu trách nhiệm vận hành hệ thống kiểm soát quá trình được sử dụng bởi các công ty năng lượng, người quản lý an ninh thông tin, nhà cung cấp, nhà tích hợp hệ thống và đánh giá viên. Đối với nhóm mục tiêu này, nó nêu chi tiết các biện pháp cơ bản phù hợp với các mục tiêu của ISO / IEC 27002: 2013 và xác định các biện pháp cụ thể cho các hệ thống kiểm soát quá trình của ngành công nghiệp năng lượng, các hệ thống hỗ trợ của chúng và cơ sở hạ tầng liên quan.

1 Phạm vi

Tài liệu này cung cấp hướng dẫn dựa trên ISO / IEC 27002: 2013 áp dụng cho các hệ thống điều khiển quá trình được sử dụng bởi ngành công nghiệp năng lượng để kiểm soát và giám sát quá trình sản xuất hoặc sản xuất, truyền tải, lưu trữ và phân phối năng lượng điện, khí đốt, dầu và nhiệt, và cho kiểm soát các quá trình hỗ trợ liên quan. Điều này đặc biệt bao gồm những điều sau:

- Công nghệ điều khiển, giám sát và tự động hóa quá trình tập trung và phân tán cũng như các hệ thống thông tin được sử dụng cho hoạt động của chúng, chẳng hạn như các thiết bị lập trình và tham số hóa
- Bộ điều khiển kỹ thuật số và các thành phần tự động hóa như thiết bị điều khiển và thiết bị hiện trường hoặc Bộ điều khiển logic lập trình (PLC), bao gồm các phần tử cảm biến và cơ cấu chấp hành kỹ thuật số
- Tất cả các hệ thống thông tin hỗ trợ thêm được sử dụng trong lĩnh vực kiểm soát quá trình, ví dụ cho các nhiệm vụ trực quan hóa dữ liệu bổ sung và cho các mục đích kiểm soát, giám sát, lưu trữ dữ liệu, ghi nhật ký sử học, báo cáo và tài liệu
- Công nghệ truyền thông được sử dụng trong lĩnh vực điều khiển quá trình, ví dụ mạng, đo từ xa, các ứng dụng điều khiển từ xa và công nghệ điều khiển từ xa
- Các thành phần của Cơ sở hạ tầng đo sáng nâng cao (AMI), ví dụ như đồng hồ thông minh
- Thiết bị đo, ví dụ đối với các giá trị phát xạ
- Hệ thống an toàn và bảo vệ kỹ thuật số, ví dụ như rơ le bảo vệ, PLC an toàn, cơ cấu điều tốc khẩn cấp
- Hệ thống quản lý năng lượng, ví dụ: Tài nguyên năng lượng phân tán (DER), cơ sở hạ tầng sạc điện, trong các hộ gia đình tư nhân, tòa nhà dân cư hoặc cơ sở lắp đặt của khách hàng công nghiệp
- Các thành phần phân tán của môi trường lưới điện thông minh, ví dụ như trong lưới năng lượng, trong các hộ gia đình tư nhân, các tòa nhà dân cư hoặc các cơ sở lắp đặt của khách hàng công nghiệp
- Tất cả phần mềm, chương trình cơ sở và ứng dụng được cài đặt trên các hệ thống nêu trên, ví dụ như các ứng dụng DMS (Hệ thống quản lý phân phối) hoặc OMS (Hệ thống quản lý sự cố)
- Bất kỳ cơ sở nào chứa các thiết bị và hệ thống nêu trên
- Hệ thống bảo trì từ xa cho các hệ thống nói trên.

Tài liệu này không áp dụng cho lĩnh vực kiểm soát quá trình của các cơ sở hạt nhân. Miền này được đề cập bởi IEC 62645.

Tài liệu này cũng bao gồm yêu cầu điều chỉnh các quy trình đánh giá và xử lý rủi ro được mô tả trong ISO / IEC 27001:2013 với hướng dẫn cụ thể về ngành công nghiệp năng lượng được cung cấp trong tài liệu này.

2 Tài liệu tham khảo

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27001: 2013 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu
• ISO / IEC 27002: 2013 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin

Xem Preview Tiêu chuẩn ISO / IEC 27019:2017

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.