この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自発的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、技術委員会 ISO/TC 8, 船舶および海洋技術によって作成されました。
序章
この文書は、船舶の運航寿命を通じて安全で環境に配慮した運航に影響を与えるサイバーハザードとリスクの特定と評価の要件を提供するために作成されました。この文書は、海事サイバーリスク管理のガイドラインに関する MSC-FAL.1/Circ.3 で定義されている効果的なサイバーリスク管理をサポートするために、会社の安全管理システム (SMS) に含まれるか参照されるように設計された手順の仕様を提供します。 [1] 、および会社またはその他の特定された利害関係者の追加要件。
運用技術 (OT) には、船を安全かつ効率的に運用するために必要な搭載システムを監視および制御するデバイス、センサー、ソフトウェア、および関連するネットワークが含まれます。 OT には、ナビゲーション、主要および補助機械、推進管理、および貨物管理システムが含まれますが、これらに限定されません。
OT に関連するリスクは、情報技術 (IT) に関連するリスクとは異なります。一般に、OT に関連するリスクには、船の安全、船内の人員と貨物、および海洋環境に影響を与える物理的影響の可能性があります。 IT に関連するリスクは、一般に、安全上重要ではないビジネスやその他の非物理的な影響に関連しています。 IT システムと OT システムが特定の機能のために統合されている場合、IT が安全上重要な影響に寄与する可能性があります。
ISO/IEC 27000 で推奨されている情報セキュリティ管理システム (ISMS) は、IT システムによって保存および処理される情報とデータの機密性、完全性、および可用性 (CIA) の保持に取り組んでいます。このドキュメントでは CIA を使用していますが、船舶の安全で環境に配慮した運用に必要な OT システムとデータの可用性または完全性の喪失に関連するリスクに焦点を当てています。
SOLAS [3]第 IX 章および ISM コード[4]で要求される企業セキュリティ管理システム (SMS) の目的は、特定されたすべてのリスクの評価に基づいて適切な安全慣行と手順を確立することにより、安全な作業環境を提供することです。船、人員、環境。
安全上重要なシステムとデータの可用性または完全性の喪失、および安全関連の運用技術 (OT) の中断は、船舶の安全な運航と汚染の防止に物理的な影響を与えると予想されます。したがって、決議 MSC.428(98) [5]で要求されているように、サイバー リスク管理を、会社の安全管理および SOLAS 第 IX 章と ISM コードの要件への準拠に対する全体的なアプローチに組み込むことが不可欠です。 IMO は、サイバー セキュリティの物理的なセキュリティの側面を含むサイバー リスク管理の側面が、ISPS コード[6]に基づく船舶のセキュリティ計画で対処されるべきであることを認識しています。ただし、これは、会社の安全管理システムと並行して動作する別のサイバーセキュリティ管理システムを会社が確立することを要求していると見なされるべきではありません。
1 スコープ
このドキュメントでは、企業のセキュリティ管理システム (SMS) のコンテキスト内でサイバー リスク評価システムを確立、実装、維持、および継続的に改善するための要件と推奨事項を示します。
したがって、この文書に準拠するためのすべての要素は、SMS 内で直接含めるか参照することで追跡できます。
2 参考文献
このドキュメントには規範的な参照はありません。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
会社
船主、管理者、ベアボート傭船者などのその他の組織または人物で、船主から船舶の運航の責任を引き受け、その責任を引き受けた上で、すべての義務を引き継ぐことに同意した者 国際安全管理規約(3.3) によって課される責任
3.2
サイバー事件
搭載システム、ネットワーク、コンピューター、またはそれらが処理、保存、または送信する情報に悪影響を与える可能性があり、その結果を軽減するための対応措置が必要になる可能性のある事象
3.3
国際安全管理規程
ISMコード
国際海事機関によって起草された、船舶の安全な管理と運航、および汚染防止のための国際基準を提供するコード。
注記 1:このコードは、海上における人命の安全のための国際条約 (SOLAS)、第 IX 章、船舶の安全な運航のための管理に基づくすべての船舶に義務付けられています。
3.4
運用技術
OT
物理デバイスの監視および/または制御を通じて物理プロセスを管理するために使用されるハードウェアおよびソフトウェア
注記 1:これらは、ポンプ、バルブ、エンジン、ブリッジなどの機械またはシステム、貨物の取り扱いと管理、機械の管理、推進と電力の管理、安全システム、アクセス制御の乗客サービスと管理、乗客に面する公共ネットワークなどの品目である可能性があります。 、管理および乗組員の福祉、通信およびナビゲーションシステム。
3.5
安全管理体制
SMS
企業 (3.1) が安全のすべての要素にどのように取り組むかを文書化し、実施する手順とプロセス
注記 1以下の 4.1 も参照。
参考文献
| [1] | MSC-FAL, 1/Circ.3, 海事サイバーリスク管理ガイドライン, 国際海事機関, 2017 |
| [2] | ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [3] | 海上における人命の安全のための国際条約 (SOLAS)、1974 年。 国際海事機関 |
| [4] | 国際安全管理 (ISM) コード、1993 年 |
| [5] | 決議 MSC, 42, 安全管理システムにおける海事サイバーリスク管理、国際海事機関、2017 |
| [6] | 国際船舶および港湾施設セキュリティ コード (ISPS コード)、2004 年 |
| [7] | BIMCOらによる船上でのサイバーセキュリティに関するガイドライン。 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 8, Ships and marine technology.
Introduction
This document has been prepared to provide requirements for identification and assessment of cyber hazards and risks affecting the safe and environmentally sound operation of ships throughout their operational life. This document provides specifications for procedures designed to be included or referenced in the company safety management system (SMS) in order to support effective cyber risk management as defined in MSC-FAL.1/Circ.3 on Guidelines for Maritime Cyber Risk Management[1], as well as any additional requirements of the company or other identified stakeholder.
Operational technology (OT) includes devices, sensors, software and associated networking that monitor and control onboard systems required to safely and efficiently operate the ship. OT includes, but is not limited to, navigation, main and auxiliary machinery, propulsion management and cargo management systems.
The risks associated with OT differ from those associated with information technology (IT). In general, the risks associated with OT have the potential for physical impacts affecting the safety of the ship, the personnel and cargo onboard, and the marine environment. The risks associated with IT generally relate to business and other non-physical impacts which are not safety-critical. Where IT and OT systems are integrated for particular functions, there is a potential for IT to contribute to safety-critical impacts.
The information security management system (ISMS) recommended by ISO/IEC 27000 addresses the preservation of the confidentiality, integrity and availability (CIA) of information and data stored and processed by IT systems. This document uses CIA but focuses on risks associated with the loss of availability or integrity of OT systems and data which are necessary for the safe and environmentally sound operation of a ship.
The objective of the company security management system (SMS) required by SOLAS[3] chapter IX and the ISM Code[4] is to provide a safe working environment by establishing appropriate safe practices and procedures based on an assessment of all identified risks to the ship, personnel and the environment.
The loss of availability or integrity of safety critical systems and data, and disruption of safety related operational technology (OT) is expected to have physical consequences for the safe operation of ships and prevention of pollution. Consequently, it is essential that cyber risk management be incorporated into the company’s overall approach to safety management and compliance with the requirements of SOLAS chapter IX and the ISM Code, and as required by resolution MSC.428(98)[5]. The IMO has recognized that aspects of cyber risk management, including physical security aspects of cyber security, should be addressed in ship security plans under the ISPS Code[6]; however, this should not be considered as requiring a company to establish a separate cyber security management system operating in parallel with the company safety management system.
1 Scope
This document gives requirements and recommendations for establishing, implementing, maintaining and continually improving a cyber risk assessment system within the context of a company’s security management system (SMS).
All the elements for compliance with this document can therefore be traceable within the SMS by direct inclusion or reference.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
company
owner of the ship or any other organization or person such as the manager, or the bareboat charterer, who has assumed the responsibility for operation of the ship from the shipowner and, who on assuming such responsibility, has agreed to take over all the duties and responsibility imposed by the International Safety Management Code (3.3)
3.2
cyber incident
occurrence which potentially results in adverse consequences to an onboard system, network and computer or the information that they process, store or transmit, and which may require a response action to mitigate the consequences
3.3
International Safety Management Code
ISM Code
code providing an international standard for the safe management and operation of ships and for pollution prevention, drafted by the International Maritime Organization
Note 1 to entry: This Code is mandatory for all ships under the International Convention for the Safety of Life at Sea (SOLAS), chapter IX, Management for the Safe Operation of Ships.
3.4
operational technology
OT
hardware and software used to manage physical processes through monitoring and/or control of physical devices
Note 1 to entry: These may be items like pumps, valves, engines, machinery or systems such as bridge, cargo handling and management, machinery management, propulsion and power management, safety systems, access control passenger serving and management, passenger facing public networks, administration and crew welfare, communications and navigation systems.
3.5
safety management system
SMS
procedures and processes which document and implement how a company (3.1) approaches all elements of safety
Note 1 to entry: See also 4.1 below.
Bibliography
| [1] | MSC-FAL, 1/Circ.3, Guidelines for Maritime Cyber Risk Management, International Maritime Organization, 2017 |
| [2] | ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [3] | International Convention for the Safety of Life at Sea (SOLAS), 1974. International Maritime Organization |
| [4] | The International Safety Management (ISM) Code, 1993 |
| [5] | Resolution MSC, 428 (98), Maritime Cyber Risk Management in Safety Management Systems, International Maritime Organization, 2017 |
| [6] | The International Ship and Port Facility Security Code (ISPS Code), 2004 |
| [7] | The Guidelines on Cyber Security onboard Ships by BIMCO et al. |