ISMS

ISO/IEC 27019

ISO/IEC 27019

Information security controls for the energy utility industry / Informationssicherheitsmaßnahmen für die Energieversorgung

Titel: Informationstechnik
Arbeitsgebiet: IT-Sicherheitsverfahren
Name des Standards: Information security controls for the energy utility industry / Informationssicherheitsmaßnahmen für die Energieversorgung

Inhalt und Anwendungsbereich:

Der Standard ISO/IEC 27019 basiert auf dem Standard ISO/IEC 27002 „Code of practice for information security controls “ und stellt Leitlinien für ein Informationssicherheitsmanagementsystems (ISMS) für Prozessleitsysteme und Automatisierungstechnik in der Energieversorgungsindustrie vor. Im Fokus des Standards stehen Systeme und Netzwerke zur Steuerung, Regelung und Überwachung von Gewinnung  oder Erzeugung, Übertragung, Speicherung und Verteilung von elektrischer Energie, Gas, Öl und Wärme. Dazu gehören Steuerungs- und Automatisierungssysteme, Schutz- und Sicherheits- sowie Messsysteme inklusive der Kommunikationstechnik. Der Standard fasst diese als Prozessleittechnik zusammen. Im Unterschied zu ISO/IEC 27002 stehen hier kritische Infrastrukturen im Vordergrund, die für einen sicheren und zuverlässigen Betrieb notwendig sind und damit auch in den Managementprozessen entsprechend berücksichtigt werden müssen (Verfügbarkeit und Integrität der Daten).

Methodik

Der Standard ISO/IEC 27019 betrifft die folgenden Themengebiete:

  • zentrale und dezentrale Prozesssteuerungs-, Leit-, Automatisierungs- und Überwachungstechnik sowie die für ihren Betrieb genutzten Informationssysteme, wie z. B. Programmier- und Parametriergeräte;
  • digitale Steuerungen und Automatisierungskomponenten wie Leit- und Feldgeräte oder Speicherprogrammierbare Steuerungen (SPSen), inklusive digitaler Sensor- und Aktorelemente;
  • alle weiteren in der Prozesstechnik genutzten unterstützenden Informationssysteme, z. B. für die Aufgabe der ergänzenden Datenvisualisierung und zur Steuerung, Überwachung, Datenarchivierung,
  • Langzeitprotokollierung, Berichtswesen und Dokumentation;
  • n der Prozesstechnik eingesetzte Kommunikationstechnik, z. B. Netzwerk-, Telemetrie-, Fernwirk- und Fernsteuertechnik;
  • Advanced-Metering-Infrastruktur-(AMI)-Komponenten wie intelligente Zähler;
  • Mess- und Zählvorrichtungen, z. B. zur Emissionswerterfassung;
  • digitale Schutz- und Safety-Systeme, z. B. Schutzgeräte, Sicherheits-Steuerungen und Notfallsteuerungsmechanismen;
  • Energiemanagementsysteme, z. B. für dezentrale Energieerzeugungssysteme, elektrische Ladeinfrastrukturen, in Privathaushalten, Wohngebäuden oder industriellen Kundeninstallationen;
  • verteilte Komponenten von Smart-Grid-Umgebungen, z. B. in Energienetzen, Privathaushalten, Wohngebäuden oder industriellen Kundeninstallationen;
  • alle Arten von Software, Firmware und Anwendungen, die auf den vorgenannten Systemen eingesetzt werden, z. B. Netzführungs-Anwendungen oder Ausfallmanagementsysteme;
  • jegliche Lokalität mit den oben erwähnten Anlagen oder Systemen;
  • Fernwartungssysteme für die oben aufgeführten Systeme.
  • Die gesamte IT-gestützte zentrale und dezentrale Prozess-Steuerung, Überwachung und Automatisierungstechnik sowie die dazu notwendigen IT-Systeme für den Betrieb, die Programmierung und Parametrisierung der Geräte
  • Digitale Steuerungs- und Automatisierungskomponenten (z.B. Sensoren und Aktor-Elemente)
  • Alle unterstützenden IT-Systeme in der Prozesskontrolle (z.B. Datenvisualisierung, Überwachung, Archivierung, Dokumentation)
  • Die gesamte Kommunikationstechnik in den Prozessleitsystemen (z.B. Netzwerke, Remote-Control, Messgeräte)
  • Schutz- und Sicherheitssysteme (z.B. Relais, SPS-Steuerungen)
  • Smart-Grid Umgebungen
  • Alle Software, Firmware und Anwendungen zum Betrieb der oben genannten Systeme

Alle im Standard ISO/IEC 27002 erwähnten Kapitel werden behandelt und aufgezeigt, wo ergänzende Maßnahmen in der Energieindustrie notwendig sind.

Bisherige Ausgaben
ISO/IEC 27019:2013

Standards in diesem Bereich

ISO/IEC 27011
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Informationssicherheitsmanagement-Leitlinien für Telekommunikationsunternehmen basierend auf ISO/IEC 27002
ISO/IEC 27019
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Information security controls for the energy utility industry / Informationssicherheitsmaßnahmen für die Energieversorgung
DIN ISO/IEC 27009
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Informationstechnik – IT-Sicherheitsverfahren - Sektorspezifische Anwendung der ISO/IEC 27001 - Anforderungen