为IMO的ISM网络安全做准备
在国际海事组织MSC.428(98)号决议的支持下,ISM规则要求船东和管理人员评估网络风险,并在其安全管理系统的所有功能中实施相关措施,直到2021年1月1日之后的第一份合规文件。
结合该决议,国际海事组织还于2017年7月发布了《海上网络风险管理指南》(msc - fal1 /Circ.3)。由于两者都将大部分的解释留给了负责安全管理体系的公司,因此如何处理这些要求仍然存在许多不确定性。
以下是关于如何确保遵守海事组织的要求和建议的一些具体建议。
确保国际海事组织网络安全合规的建议步骤
国际海事组织同意,应根据ISM规则和ISPS规则将网络风险管理整合到现有管理系统中。
因此,应采用以下PDCA流程:
计划
第一步是确定与船舶安全运营相关的网络安全目标。除了国际海事组织的要求外,在确定目标时还应考虑到其他内部和外部利益相关者对网络安全的要求。根据确定的目标,应生成所有安全和业务关键系统和软件的清单。清单以及显示系统连通性的网络图纸是执行网络风险评估的先决条件。评估应包括:
- 对每个系统的机密性、完整性和可用性的损失进行后果分析
- 可能性分析,以确定特定系统预期被破坏的频率
- 根据资产的网络安全风险进行排名
- 从人员、流程和技术改进方面确定所需的障碍(有关障碍的建议,请参阅DNV网络安全等级符号)
有关如何对船舶和离岸资产进行网络风险评估的详细信息,请参阅我们的推荐实践dnv - rp - 0496通过规则和标准浏览器.
做
网络风险评估结果应用于确定实施计划,以推出适当的障碍。
此外,安全管理体系至少应满足以下功能要求:
- 网络安全政策
- 确保网络安全操作的说明和程序
- 岸上和船上人员之间关于网络安全的明确权限级别和通信线路
- 报告网络攻击、事件和不符合规定的程序
- 准备和响应网络攻击和事件的程序
- 内部网络安全审计和管理评审程序
DNV建议执行不同级别的培训,包括对所有船员和人员的一般意识,以及对特定系统用户、船上网络安全人员和内部审计员的培训。
检查
必须持续检查网络安全措施的有效性。内部检查包括:
- 评估实现网络安全目标的有效性
- 网络事件分析和事件报告
- 日志和入侵检测系统的评估
- 执行网络安全内部审计
- 执行网络安全事件响应演习
此外,建议进行外部检查以确保
- 增强网络安全弹性,
- 提高客户和业务合作伙伴的信心
- 符合国际海事组织要求。
行为
根据内部和外部审查报告的结果,应实施纠正和预防措施。
随着船舶和系统日益相互关联,恶意网络威胁不断变化,未来成功的网络安全弹性的关键是通过更新网络风险评估、政策和程序来不断提高。
DNV网络安全船级符号作为符合IMO规定的框架
我们的网络安全等级符号涵盖了IMO的要求以及IASC统一要求(UR) E26和E27,并通过审计和渗透测试为有效的网络安全提供了持续的外部验证框架。