ISO/IEC 27019:2017
(Main)Information technology — Security techniques — Information security controls for the energy utility industry
Information technology — Security techniques — Information security controls for the energy utility industry
ISO/IEC 27019:2017 provides guidance based on ISO/IEC 27002:2013 applied to process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and for the control of associated supporting processes. This includes in particular the following: - central and distributed process control, monitoring and automation technology as well as information systems used for their operation, such as programming and parameterization devices; - digital controllers and automation components such as control and field devices or Programmable Logic Controllers (PLCs), including digital sensor and actuator elements; - all further supporting information systems used in the process control domain, e.g. for supplementary data visualization tasks and for controlling, monitoring, data archiving, historian logging, reporting and documentation purposes; - communication technology used in the process control domain, e.g. networks, telemetry, telecontrol applications and remote control technology; - Advanced Metering Infrastructure (AMI) components, e.g. smart meters; - measurement devices, e.g. for emission values; - digital protection and safety systems, e.g. protection relays, safety PLCs, emergency governor mechanisms; - energy management systems, e.g. of Distributed Energy Resources (DER), electric charging infrastructures, in private households, residential buildings or industrial customer installations; - distributed components of smart grid environments, e.g. in energy grids, in private households, residential buildings or industrial customer installations; - all software, firmware and applications installed on above-mentioned systems, e.g. DMS (Distribution Management System) applications or OMS (Outage Management System); - any premises housing the above-mentioned equipment and systems; - remote maintenance systems for above-mentioned systems. ISO/IEC 27019:2017 does not apply to the process control domain of nuclear facilities. This domain is covered by IEC 62645. ISO/IEC 27019:2017 also includes a requirement to adapt the risk assessment and treatment processes described in ISO/IEC 27001:2013 to the energy utility industry-sector?specific guidance provided in this document.
Technologies de l'information — Techniques de sécurité — Mesures de sécurité de l'information pour l'industrie des opérateurs de l'énergie
Le présent document contient des recommandations basées sur l'ISO/IEC 27002:2013 appliquées aux systèmes de contrôle des processus utilisés par l'industrie des opérateurs de l'énergie pour contrôler et surveiller la production, le transport, le stockage et la distribution de l'électricité, du gaz, du pétrole et de la chaleur, ainsi que pour le contrôle des processus support associés. Cela inclut en particulier: — les technologies de contrôle et de surveillance des processus centralisées et distribuées, des automates et des systèmes d'information utilisés pour leur fonctionnement, tels que les dispositifs de programmation et de paramétrage; — les contrôleurs numériques et les composants d'automates tels que les équipements de contrôle et de terrain ou les automates programmables (PLC), y compris les capteurs et actionneurs numériques; — tous les autres systèmes d'information support utilisés dans le domaine du contrôle des processus, par exemple pour les tâches de visualisation de données supplémentaires et à des fins de contrôle, de surveillance, d'archivage de données et de logs (historian logging), de génération de rapports et de documentation; — les technologies de communication utilisées dans le domaine du contrôle des processus, par exemple les réseaux, la télémétrie, les applications de télé-conduite et les technologies de contrôle à distance; — les composants des infrastructures de comptage communicants, tels que les compteurs intelligents; — les équipements de mesure, destinés par exemple à mesurer les valeurs d'émission; — les systèmes de protection et de sûreté numériques, tels que les relais de protection, les automates programmables de sûreté ou les régulateurs d'urgence; — les systèmes de management de l'énergie, par exemple, pour la production d'énergie décentralisée (DER, Distributed Energy Resources), les infrastructures de recharge électrique, chez les particuliers, dans les bâtiments d'habitation ou dans les installations de clients industriels; — les composants distribués des environnements de réseaux intelligents, par exemple dans les réseaux d'énergie, chez les particuliers, dans les bâtiments d'habitation ou dans les installations de clients industriels; — tous les logiciels, firmwares et applications installés sur les systèmes mentionnés ci-dessus, par exemple, des systèmes de gestion de la distribution (DMS, Distribution Management System) ou des systèmes de gestion des pannes (OMS, Outage Management System); — tous les locaux hébergeant les équipements et les systèmes mentionnés ci-dessus; — les systèmes de maintenance à distance pour les systèmes mentionnés ci-dessus. Le présent document ne s'applique pas au domaine du contrôle de processus des installations nucléaires. Ce domaine est couvert par l'IEC 62645. Le présent document contient également une exigence relative à l'adaptation de l'appréciation des risques et des processus de traitement décrits dans l'ISO/IEC 27001:2013 aux recommandations spécifiques à l'industrie des opérateurs de l'énergie fournies dans le présent document.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO/IEC
STANDARD 27019
First edition
2017-10
Corrected version
2019-08
Information technology — Security
techniques — Information security
controls for the energy utility industry
Technologies de l'information — Techniques de sécurité — Mesures
de sécurité de l'information pour l'industrie des opérateurs de
l'énergie
Reference number
©
ISO/IEC 2017
© ISO/IEC 2017
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO/IEC 2017 – All rights reserved
Contents Page
Foreword .vii
0 .
Introduction .viii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Structure of the document. 4
4.1 General . 4
4.2 Refinement of ISO/IEC 27001:2013 requirements . 4
4.3 Energy utility industry specific guidance related to ISO/IEC 27002:2013 . 4
5 Information security policies . 4
6 Organization of information security . 4
6.1 Internal organization . 4
6.1.1 Information security roles and responsibilities . 4
6.1.2 Segregation of duties . 5
6.1.3 Contact with authorities . 5
6.1.4 Contact with special interest groups . 5
6.1.5 Information security in project management . 5
6.1.6 ENR – Identification of risks related to external parties . 5
6.1.7 ENR – Addressing security when dealing with customers . 6
6.2 Mobile devices and teleworking . 6
6.2.1 Mobile device policy . 6
6.2.2 Teleworking. 7
7 Human resource security . 7
7.1 Prior to employment . 7
7.1.1 Screening . 7
7.1.2 Terms and conditions of employment . 8
7.2 During employment . 8
7.2.1 Management responsibilities . 8
7.2.2 Information security awareness, education and training . 8
7.2.3 Disciplinary process . . 8
7.3 Termination and change of employment . 8
8 Asset management . 8
8.1 Responsibility for assets . 8
8.1.1 Inventory of assets . 8
8.1.2 Ownership of assets . 9
8.1.3 Acceptable use of assets . 9
8.1.4 Return of assets . 9
8.2 Information classification . 9
8.2.1 Classification of information . 9
8.2.2 Labelling of information .10
8.2.3 Handling of assets .10
8.3 Media handling .10
9 Access control .10
9.1 Business requirements of access control .10
9.1.1 Access control policy .10
9.1.2 Access to networks and network services .10
9.2 User access management .11
9.2.1 User registration and de-registration .11
9.2.2 User access provisioning.11
9.2.3 Management of privileged access rights .11
© ISO/IEC 2017 – All rights reserved iii
9.2.4 Management of secret authentication information of users .11
9.2.5 Review of user access rights .11
9.2.6 Removal or adjustment of access rights .11
9.3 User responsibilities .11
9.3.1 Use of secret authentication information .11
9.4 System and application access control .12
9.4.1 Information access restriction .12
9.4.2 Secure log-on procedures .12
9.4.3 Password management system .12
9.4.4 Use of privileged utility programs .12
9.4.5 Access control to program source code .12
10 Cryptography .12
10.1 Cryptography controls . .12
10.1.1 Policy on the use of cryptographic controls .12
10.1.2 Key management .12
11 Physical and environmental security .13
11.1 Secure areas .13
11.1.1 Physical security perimeter .13
11.1.2 Physical entry controls .13
11.1.3 Securing offices, rooms and facilities .13
11.1.4 Protecting against external and environmental threats .13
11.1.5 Working in secure areas .13
11.1.6 Delivery and loading areas .13
11.1.7 ENR – Securing control centres .13
11.1.8 ENR – Securing equipment rooms .14
11.1.9 ENR – Securing peripheral sites .15
11.2 Equipment .
...
NORME ISO/IEC
INTERNATIONALE 27019
Première édition
2017-10
Technologies de l'information —
Techniques de sécurité — Mesures
de sécurité de l'information pour
l'industrie des opérateurs de l'énergie
Information technology — Security techniques — Information
security controls for the energy utility industry
Numéro de référence
©
ISO/IEC 2017
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2017
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO/IEC 2017 – Tous droits réservés
Sommaire Page
Avant-propos .vii
0 Introduction .viii
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Structure du document . 4
4.1 Généralités . 4
4.2 Affinage des exigences de l’ISO/IEC 27001:2013 . 4
4.3 Recommandations spécifiques à l'industrie des opérateurs de l'énergie relatives à
l’ISO/IEC 27002:2013 . 5
5 Politiques de sécurité de l’information . 5
6 Organisation de la sécurité de l'information . 5
6.1 Organisation interne . 5
6.1.1 Fonctions et responsabilités liées à la sécurité de l'information . 5
6.1.2 Séparation des tâches . 5
6.1.3 Relations avec les autorités . 5
6.1.4 Relations avec des groupes de travail spécialisés . 6
6.1.5 La sécurité de l'information dans la gestion de projet . 6
6.1.6 ENR – Identification des risques relatifs aux tiers . 6
6.1.7 ENR – La sécurité avec les clients . 7
6.2 Appareils mobiles et télétravail . 7
6.2.1 Politique en matière d'appareils mobiles . 7
6.2.2 Télétravail . 8
7 La sécurité des ressources humaines . 8
7.1 Avant l'embauche . 8
7.1.1 Sélection des candidats . 8
7.1.2 Termes et conditions d'embauche . 8
7.2 Pendant la durée du contrat . 9
7.2.1 Responsabilités de la direction. 9
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information . 9
7.2.3 Processus disciplinaire . 9
7.3 Rupture, terme ou modification du contrat de travail . 9
8 Gestion des actifs. 9
8.1 Responsabilités relatives aux actifs . 9
8.1.1 Inventaire des actifs . 9
8.1.2 Propriété des actifs .10
8.1.3 Utilisation correcte des actifs .10
8.1.4 Restitution des actifs .10
8.2 Classification de l'information .10
8.2.1 Classification des informations .10
8.2.2 Marquage des informations .11
8.2.3 Manipulation des actifs .11
8.3 Manipulation des supports . .11
9 Contrôle d’accès .11
9.1 Exigences métier en matière de contrôle d'accès .11
9.1.1 Politique de contrôle d'accès .11
9.1.2 Accès aux réseaux et aux services en réseau .11
9.2 Gestion de l’accès utilisateur .12
9.2.1 Enregistrement et désinscription des utilisateurs .12
9.2.2 Maîtrise de la gestion des accès utilisateur .12
9.2.3 Gestion des privilèges d’accès .12
© ISO/IEC 2017 – Tous droits réservés iii
9.2.4 Gestion des informations secrètes d'authentification des utilisateurs .12
9.2.5 Revue des droits d'accès utilisateur .12
9.2.6 Suppression ou adaptation des droits d'accès .12
9.3 Responsabilités des utilisateurs .12
9.3.1 Utilisation d'informations secrètes d'authentification .12
9.4 Contrôle de l'accès au système et aux applications .13
9.4.1 Restriction d'accès à l'information .13
9.4.2 Sécuriser les procédures de connexion .13
9.4.3 Système de gestion des mots de passe.13
9.4.4 Utilisation de programmes utilitaires à privilèges .13
9.4.5 Contrôle d’accès au code source des programmes .14
10 Cryptographie .14
10.1 Mesures cryptographiques .14
10.1.1 Politique d’utilisation des mesures cryptographiques .14
10.1.2 Gestion des clés .14
11 Sécurité physique et environnementale .14
11.1 Zones sécurisées .14
11.1.1 Périmètre de sécurité physique .14
11.1.2 Contrôles physiques des accès .14
11.1.3 Sécurisation des bureaux, des salles et des équipements .14
11.1.4 Protection contre les menaces extérieures et environnementales .15
11.1.5 Travail dans les zones sécurisées .15
11.1.6 Zones de livraison et de chargement .15
11.1.7 ENR – Sécurisation des centres de contrôle .15
11.1.8 ENR – Sécurisation des salles d’équipements .16
11.1.9 ENR – Sécurisation des sites périphériques.17
11.2 Matériels .18
11.2.1 Emplacement et protection du matériel.18
11.2.2 Services généraux .18
11.2.3 Sécurité du câblage .18
11.2.4 Maintenance du matériel .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.