Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27019:2017 — 能源公用事业信息安全管理体系
适用于能源公用事业行业的信息安全控制实践规范
ISO/IEC 27019:2017 为能源公用事业组织——包括电力、燃气、石油和热能供应商,以及相关的市场参与者、网络运营商和服务提供商——提供了信息安全控制措施的解释和实施指南。该标准扩展了 ISO/IEC 27002 中定义的控制集,以解决能源公用事业行业特有的运营技术(OT)环境、监管框架和业务流程。
能源公用事业处于传统 IT 和工业控制系统的交汇点。ISO/IEC 27019 通过将附录 A 控制措施定制应用于 ICS/SCADA 环境、智能电网架构以及 NERC CIP 和欧盟网络安全网络法等监管合规义务,弥合了这一差距。
1. 范围和行业特定背景
该标准适用于任何发电、输电、配电或交易能源的组织,以及提供计量、需求响应和市场运营等支持服务的组织。它认识到能源公用事业面临着独特的威胁态势——网络攻击可能直接造成物理后果,从停电到设备损坏和环境危害。
| 子行业 | 示例 | 主要安全关切 |
|---|---|---|
| 电力 | 发电厂、输电网、配电网、智能电表 | SCADA 入侵、电网不稳定、级联故障、需求侧操纵 |
| 燃气 | 管道、储气设施、配气管网、LNG 终端 | 管道压力操纵、燃气质量篡改、泄漏检测绕过 |
| 石油 | 炼油厂、管道网络、储油库、配送终端 | 过程控制中断、溢流预防覆盖、供应链完整性 |
| 热能 | 区域供热厂、配热管网、热力站 | 温度控制篡改、热网平衡破坏 |
该标准解决了 IT 和 OT 安全范式之间的紧张关系。IT 安全优先考虑保密性(如保护客户数据),而 OT 安全优先考虑可用性和安全性——一个为了打补丁而关闭服务器的控制在 IT 环境中可能可以接受,但在发电环境中可能是灾难性的。ISO/IEC 27019 提供了明确且可辩护地做出这些权衡决策的框架。
在办公 IT 环境中完全合理的控制措施——例如每 30 天自动更换密码——如果密码更改破坏了自动化流程或锁定了关键服务账户,可能在 ICS 环境中导致紧急停机。ISO/IEC 27019 帮助组织在这些冲突引发事故之前识别它们。
2. 能源公用事业的关键控制领域
ISO/IEC 27019:2017 在以下关键领域扩展和诠释了 ISO/IEC 27002 的控制措施:
2.1 ICS/SCADA 安全
工业控制系统(ICS)和监控与数据采集(SCADA)系统是能源公用事业运营的核心。该标准提供了关于 IT 和 OT 网络之间网络隔离、供应商和操作员的安全远程访问、在不能停机环境中的补丁管理以及针对 IEC 60870-5-104、IEC 61850、DNP3 和 Modbus 等工业协议的入侵检测的具体指导。
2.2 智能电网安全
向智能电网的转型引入了双向通信、分布式能源资源(DER)、先进计量基础设施(AMI)和新的攻击面。ISO/IEC 27019 就保护智能电表与前端系统之间的通信信道、保护客户消费数据以及确保定价和需求响应信号的完整性提出了建议。
2.3 供应链和第三方安全
能源公用事业越来越依赖第三方供应商提供设备、软件和运营服务。该标准强调供应商风险评估、采购合同中的安全要求、硬件和软件供应链完整性以及退役设备的安全处置——当涉及电表、RTU(远程终端单元)和其他现场设备时尤为重要。
| 控制域 | 行业特定调整 | 实施示例 |
|---|---|---|
| 访问控制 | 控制室操作员、工程师工作站、现场技术员基于角色的访问 | SCADA 访问双因素认证,变电站面板访问物理钥匙 |
| 密码技术 | 智能电表通信加密,现场设备安全密钥管理 | AMI 前端系统中证书签名的硬件安全模块(HSM) |
| 物理安全 | 变电站、控制中心和远程设施的保护 | RTU 防篡改外壳、视频监控、变电站入侵检测 |
| 事件响应 | 电网特定事件场景,与电网运营商和监管机构协调 | 模拟黑启动场景和协调网络物理攻击的桌面演练 |
3. 工程设计见解
为能源公用事业设计 ISMS 实施的安全架构师应考虑这些经过实地验证的设计原则:
- OT 环境的纵深防御:实施多层安全——变电站的物理安全、带工业防火墙的网络隔离、工程师工作站的主机安全以及控制应用的应用程序级安全。ISA/IEC 62443 框架提供了与 ISO/IEC 27019 良好对接的补充性区域和管道模型。
- 安全优先的控制选择:在能源公用事业中,每个安全控制措施都应评估其对运行安全的潜在影响。可能导致安全系统故障的控制措施,无论其安全效益如何,都必须拒绝。这需要安全团队、控制工程师和安全专家之间的密切合作。
- 法规遵从性整合:能源公用事业面临重叠的监管体制。ISO/IEC 27019 有助于协调 NERC CIP(北美)、欧盟网络安全网络法(欧洲)和国家层面法规的合规要求。构建一个同时满足多个监管要求的统一控制框架。
- 恢复力和黑启动能力:安全控制措施不得损害公用事业从全黑状态恢复的能力。即使主安全系统受损,黑启动发电机、通信系统和控制能力也必须保持运行。定期测试这些场景。
最有效的工程实践之一是在 IT 和 OT 网络之间实施”安全网关”架构。使用单向网关(数据二极管)或对工业协议进行深度包检测(DPI)的严格控制防火墙,组织可以在不引入延迟或可能影响电网稳定性的单点故障的情况下实现强大的隔离。
4. 常见问题解答
问:ISO/IEC 27019 与 IEC 62443 有什么关系?
答:ISO/IEC 27019 为能源公用事业行业提供管理层面的 ISMS 指南,而 IEC 62443(原 ISA-99)为工业自动化和控制系统提供详细的技术和程序安全要求。它们是互补的:ISO/IEC 27019 从管理体系角度解决”做什么”和”为什么做”,而 IEC 62443 在技术实施层面解决”如何做”。
答:ISO/IEC 27019 为能源公用事业行业提供管理层面的 ISMS 指南,而 IEC 62443(原 ISA-99)为工业自动化和控制系统提供详细的技术和程序安全要求。它们是互补的:ISO/IEC 27019 从管理体系角度解决”做什么”和”为什么做”,而 IEC 62443 在技术实施层面解决”如何做”。
问:ISO/IEC 27019 本身可以认证吗?
答:不可以。ISO/IEC 27019 是行业特定的实施指南,不是可认证的标准。寻求认证的组织应追求 ISO/IEC 27001 认证,其范围和控制实施参考 ISO/IEC 27019 的指导。
答:不可以。ISO/IEC 27019 是行业特定的实施指南,不是可认证的标准。寻求认证的组织应追求 ISO/IEC 27001 认证,其范围和控制实施参考 ISO/IEC 27019 的指导。
问:ISO/IEC 27019 是否涵盖核电站?
答:核电站有额外的、更严格的安全要求,通常由各国核监管机构和 IAEA NSS 17 等标准管辖。ISO/IEC 27019 涵盖常规能源公用事业,但可能无法完全解决核设施特有的安全-安保接口要求。
答:核电站有额外的、更严格的安全要求,通常由各国核监管机构和 IAEA NSS 17 等标准管辖。ISO/IEC 27019 涵盖常规能源公用事业,但可能无法完全解决核设施特有的安全-安保接口要求。
问:能源公用事业应多久审查一次其 ISMS 控制措施?
答:鉴于针对关键基础设施的威胁态势快速演变,该标准建议持续监控,并至少每年进行一次正式审查,同时在发生重大变化(如新资产收购、监管更新或重大安全事件)后进行触发式审查。
答:鉴于针对关键基础设施的威胁态势快速演变,该标准建议持续监控,并至少每年进行一次正式审查,同时在发生重大变化(如新资产收购、监管更新或重大安全事件)后进行触发式审查。
