ISO/IEC 27019:2024
(Main)Information security, cybersecurity and privacy protection — Information security controls for the energy utility industry
Information security, cybersecurity and privacy protection — Information security controls for the energy utility industry
This document provides information security controls for the energy utility industry, based on ISO/IEC 27002:2022, for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and for the control of associated supporting processes. This includes in particular the following: — central and distributed process control, monitoring and automation technology as well as information systems used for their operation, such as programming and parameterization devices; — digital controllers and automation components such as control and field devices or programmable logic controllers (PLCs), including digital sensor and actuator elements; — all further supporting information systems used in the process control domain, e.g. for supplementary data visualization tasks and for controlling, monitoring, data archiving, historian logging, reporting and documentation purposes; — communication technology used in the process control domain, e.g. networks, telemetry, telecontrol applications and remote-control technology; — Advanced metering infrastructure (AMI) components, e.g. smart meters; — measurement devices, e.g. for emission values; — digital protection and safety systems, e.g. protection relays, safety PLCs, emergency governor mechanisms; — energy management systems, e.g. for distributed energy resources (DER), electric charging infrastructures, and for private households, residential buildings or industrial customer installations; — distributed components of smart grid environments, e.g. in energy grids, in private households, residential buildings or industrial customer installations; — all software, firmware and applications installed on above-mentioned systems, e.g. distribution management system (DMS) applications or outage management systems (OMS); — any premises housing the abovementioned equipment and systems; — remote maintenance systems for abovementioned systems. This document does not apply to the process control domain of nuclear facilities. This domain is covered by IEC 63096.
Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité de l'information pour l'industrie des opérateurs de l'énergie
Le présent document fournit des mesures de sécurité de l'information pour l'industrie des opérateurs de l'énergie basées sur l'ISO/IEC 27002:2022 permettant de contrôler et de surveiller la production, le transport, le stockage et la distribution de l'électricité, du gaz, du pétrole et de la chaleur, ainsi que pour le contrôle des processus support associés. Cela inclut en particulier: — les technologies de contrôle, de surveillance et d'automatisation des processus, centralisées et distribuées, et les systèmes d'information utilisés pour leur exploitation, tels que les dispositifs de programmation et de paramétrage; — les contrôleurs numériques et les composants d'automatisation tels que les dispositifs de contrôle et de terrain ou les automates programmables (PLC, programmable logic controllers), y compris les capteurs et actionneurs numériques; — tous les autres systèmes informatiques utilisés pour prendre en charge le domaine du contrôle des processus, par exemple pour les tâches de visualisation de données supplémentaires et à des fins de contrôle, de surveillance, d'archivage de données, de journalisation d'historiques, de génération de rapports et de documentation; — les technologies de communication utilisées dans le domaine du contrôle des processus, par exemple les réseaux, la télémétrie, les applications de téléconduite et les technologies de contrôle à distance; — les composants d'infrastructures de compteurs avancées (ICA), tels que les compteurs intelligents; — les dispositifs de mesure, destinés par exemple à mesurer les valeurs d'émission; — les systèmes de protection et de sûreté numériques, tels que les relais de protection, les automates programmables de sûreté (PLC) ou les régulateurs d'urgence; — les systèmes de management de l'énergie, par exemple, pour la production d'énergie décentralisée (DER, distributed energy resources), les infrastructures de recharge électrique et chez les particuliers, les bâtiments d'habitation ou les installations de clients industriels; — les composants distribués d'environnements de réseaux intelligents, par exemple dans les réseaux électriques, chez les particuliers, dans les bâtiments d'habitation ou dans les installations de clients industriels; — tous les logiciels, firmwares et applications installés sur les systèmes mentionnés ci-dessus, par exemple les applications de systèmes de gestion de la distribution (DMS, distribution management system) ou les systèmes de gestion des coupures (OMS, outage management systems); — tous les locaux hébergeant les équipements et les systèmes mentionnés ci-dessus; — les systèmes de maintenance à distance pour les systèmes mentionnés ci-dessus. Le présent document ne s'applique pas au domaine du contrôle des processus des installations nucléaires. Ce domaine est couvert par l'IEC 63096.
General Information
Relations
Buy Standard
Standards Content (Sample)
International
Standard
ISO/IEC 27019
Second edition
Information security, cybersecurity
2024-10
and privacy protection —
Information security controls for
the energy utility industry
Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité de l'information pour l'industrie
des opérateurs de l'énergie
Reference number
© ISO/IEC 2024
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2024 – All rights reserved
ii
Contents Page
Foreword .vi
Introduction .vii
1 Scope . 1
2 Normative references . 2
3 Terms, definitions and abbreviated terms . 2
3.1 Terms and definitions .2
3.2 Abbreviated terms .4
4 Structure of this document . 4
5 Organizational controls . 4
5.1 Policies for information security . .4
5.2 Information security roles and responsibilities .4
5.3 Segregation of duties.4
5.4 Management responsibilities .4
5.5 Contact with authorities .5
5.6 Contact with special interest groups . .5
5.7 Threat intelligence .5
5.8 Information security in project management .5
5.9 Inventory of information and other associated assets .6
5.10 Acceptable use of information and other associated assets .6
5.11 Return of assets .6
5.12 Classification of information .6
5.13 Labelling of information .7
5.14 Information transfer .7
5.15 Access control .7
5.16 Identity management .7
5.17 Authentication information .8
5.18 Access rights .8
5.19 Information security in supplier relationships .8
5.20 Addressing information security within supplier agreements .8
5.21 Managing information security in the ICT supply chain .9
5.22 M onitoring, review and change management of supplier services .9
5.23 Information security for use of cloud services .9
5.24 Information security incident management planning and preparation .9
5.25 A ssessment and decision on information security events .9
5.26 Response to information security incidents .9
5.27 Learning from information security incidents .9
5.28 Collection of evidence . .9
5.29 Information security during disruption .9
5.30 ICT readiness for business continuity .9
5.31 L egal, statutory, regulatory and contractual requirements .10
5.32 Intellectual property rights .10
5.33 Protection of records .10
5.34 Privacy and protection of PII .10
5.35 Independent review of information security .10
5.36 C ompliance with policies, rules and standards for information security .10
5.37 Documented operating procedures .10
5.38 ENR – Identification of risks related to external business partners .10
5.39 ENR – Addressing security when dealing with customers .11
6 People controls .12
6.1 Screening . 12
6.2 Terms and conditions of employment . 12
6.3 Information security awareness, education and training . 12
6.4 Disciplinary process . 12
© ISO/IEC 2024 – All rights reserved
iii
6.5 Responsibilities after termination or change of employment. 12
6.6 Confidentiality or non-disclosure agreements . 12
6.7 Remote working . 13
6.8 Information security event reporting. 13
7 Physical controls .13
7.1 Physical security perimeters . 13
7.2 Physical entry . 13
7.3 Securing offices, rooms and facilities . 13
7.4 Physical security monitoring . . 13
7.5 Protecting against physical and environmental threats .14
7.6 Working in secure areas .14
7.7 Clear desk and clear screen .14
7.8 Equipment siting and protection .14
7.9 Security of assets off-premises .14
7.10 Storage media . 15
7.11 Supporting utilities . 15
7.12 Cabling security . 15
7.13 Equipment maintenance . 15
7.14 Secure disposal or re-use of equ
...
Norme
internationale
ISO/IEC 27019
Deuxième édition
Sécurité de l'information,
2024-10
cybersécurité et protection de la
vie privée — Mesures de sécurité de
l'information pour l'industrie des
opérateurs de l'énergie
Information security, cybersecurity and privacy protection —
Information security controls for the energy utility industry
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2024
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2024 – Tous droits réservés
ii
Sommaire Page
Avant-propos .vi
Introduction .vii
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes, définitions et abréviations . 2
3.1 Termes et définitions .2
3.2 Abréviations.4
4 Structure du présent document. 4
5 Mesures de sécurité organisationnelles . . 4
5.1 Politiques de sécurité de l'information .4
5.2 Fonctions et responsabilités liées à la sécurité de l'information .4
5.3 Séparation des tâches .5
5.4 Responsabilités de la direction .5
5.5 Contacts avec les autorités .5
5.6 Contacts avec des groupes d'intérêt spécifiques .5
5.7 Renseignements sur les menaces .6
5.8 Sécurité de l'information dans la gestion de projet .6
5.9 Inventaire des informations et autres actifs associés .6
5.10 Utilisation correcte des informations et autres actifs associés .7
5.11 Restitution des actifs .7
5.12 Classification des informations .7
5.13 Marquage des informations .7
5.14 Transfert des informations . .7
5.15 Contrôle d'accès .7
5.16 Gestion des identités .8
5.17 Informations d'authentification .8
5.18 Droits d'accès .9
5.19 Sécurité de l'information dans les relations avec les fournisseurs .9
5.20 Prise en compte de la sécurité de l'information dans les accords conclus avec les
fournisseurs .9
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC .10
5.22 Surveillance, révision et gestion des changements des services fournisseurs .10
5.23 Sécurité de l'information dans l'utilisation de services en nuage .10
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information .10
5.25 Évaluation des événements de sécurité de l'information et prise de décision .10
5.26 Réponse aux incidents liés à la sécurité de l'information .10
5.27 Tirer des enseignements des incidents de sécurité de l'information .10
5.28 Recueil de preuves.10
5.29 Sécurité de l'information pendant une perturbation .10
5.30 Préparation des TIC pour la continuité d'activité .11
5.31 Exigences légales, statutaires, réglementaires et contractuelles .11
5.32 Droits de propriété intellectuelle .11
5.33 Protection des enregistrements .11
5.34 Protection de la vie privée et des DCP .11
5.35 Revue indépendante de la sécurité de l'information .11
5.36 Conformité aux politiques, règles et normes de sécurité de l'information .11
5.37 Procédures d'exploitation documentées .11
5.38 ENR – Identification des risques relatifs aux tiers . 12
5.39 ENR – La sécurité avec les clients . 12
6 Mesures de sécurité applicables aux personnes .13
6.1 Présélection . 13
6.2 Conditions générales d'embauche . 13
6.3 Sensibilisation, apprentissage et formation à la sécurité de l'information .14
© ISO/IEC 2024 – Tous droits réservés
iii
6.4 Processus disciplinaire .14
6.5 Responsabilités après la fin ou le changement d'un emploi .14
6.6 Accords de confidentialité ou de non-divulgation .14
6.7 Travail à distance .14
6.8 Déclaration des événements de sécurité de l'information .14
7 Mesures de sécurité physique .15
7.1 Périmètres de sécurité physique . 15
7.2 Les entrées physiques . 15
7.3 Sécurisation des bureaux, des salles et des équipements. 15
7.4 Surveillance de la sécurité physique . 15
7.5 Protection contre les menaces physiques et environnementales . 15
7.6 Travail dans les zones sécurisées . 15
7.7 Bureau vide et écran vide . 15
7.8 Emplacement et protection du matériel .16
7.9 Sécurité des actifs hors des locaux .16
7.10 Supports de stockage .16
7.11 Services généraux .17
7.12 Sécurité du câblage .17
7.13 Maintenance du matériel .17
7.14 Élimination ou recyclage sécurisé(e) du matériel .17
7.15 ENR – Sécurisation des centres de contrôle .17
7.16 ENR – Sécurisation des salles d'équipements .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.