如何准备NERC cip - 013 - 1

这是一个令人兴奋的能源生产时代。IT系统和网络技术的快速应用带来了新的商业模式和催化生产分散。然而,与创新是新类型的风险和新的恶意演员利用入口点。一开始,许多想象的物理破坏的行为。现在,主要的问题是由国家支持的黑客组织对网络攻击进行远程带着恶意软件,僵尸网络攻击以及被盗访问凭证。

正如在其他高度监管的行业一样,第三方和供应链的网络风险正日益受到威胁。许多组件重要的实用系统,即大部分电力系统(BES),由外部供应商制造和组装,扩大攻击表面坏演员想要潜入我们的关键基础设施。帮助公用事业和他们的供应商理解和减少网络风险,北美电力可靠性公司。(NERC)引入了标准CIP-013-1,“网络安全-供应链风险管理“新标准将于7月1日或10月1日生效2019,等待最后的批准。

无论你是一个实用程序提供者,对于这样一个提供者,或供应商CIP-013-1提出了许多风险管理,安全,以及遵从性挑战。与其把这当作锻炼,另一个复选框优化新标准的风险管理过程是一个及时的机会来利用资源,并重点加强和精简您的供应链风险管理计划。

准备制定

有几个准备提前进行现在的标准的制定,负责实体(用户,业主,和运营商的大部分电力系统)和他们的供应商(任何组织提供系统组件,IT硬件和软件,或相关服务,如系统集成)。NERC CIP-013-1规定每个责任实体必须开发一个或多个记录供应链安全风险管理计划(s)对高和媒介影响BES网络系统。”“

该标准规定,计划应包括采购计划的过程,如供应商的事故通知,协调应对这些事件,供应商访问管理和协调控制,供应商披露已知的漏洞,以及软件完整性和真实性的验证。他们应确保充分考虑供应商产品或服务对BES的网络风险,和包含风险引入采购和安装期间以及在转换从一个供应商到另一个。负责实体需要定期重新评估他们的计划和风险管理控制来解决新兴漏洞和跟上推荐的安全框架。此外,合同谈判过程应该解决所有适用的风险领域中列出这些计划。

NERC的执行合规管理局可能会进行评估,基于计划的存在和彻底性,风险缓解概念在采购流程中的整合程度,如果这些过程是真诚执行的。执法机构将特别关注供应商风险评估和采取措施降低风险,包括合同中包括的安全条款。

使用之前的几个月全面实施cip - 013 - 1评估内部和供应链安全并开始与影响部门内部交流,特别是采购。将供应商评估问卷与您选择的风险管理框架进行标准化和对齐,并使用它与供应商建立共同的安全性和风险词典。修复漏洞和弱点你找到减轻供应商的风险,建立过程和响应事件。

现在进行成本效益的改进

直接和间接成本将会上升,所以确保你能够衡量投资回报对你计划的改变。根据新标准,您不必重写现有的合同,但当谈到时间续签或新关系,合同和安排必须更新。一切都需要更多的时间,所以离开房间在你的周期。

为了达到CIP-013-1中维持网络安全措施所需的风险项目成熟度,公用事业提供商应该研究支持自动化过程的技术,集中使用文档,和流线部门协作。集成风险管理平台可以使过程和实践更容易与供应链政策一致,合规要求,映射和最佳实践框架的政策来控制,使评估过程高效、可重复的,跟踪补救努力,加强问责制。

就规定,NERC cip - 013 - 1相当简单。毫无疑问它代表大量的自我评估和改进工作为公用事业公司和他们的供应商。设备或系统越复杂,就越难遵守。许多人宁愿避免额外的工作和开支,可能存在阻力。最后,这不是这组书面授权,但网络风险的非常现实的危险,迫使所有利益相关者学习和提高。协作和情报共享将使得这个过程更容易、更有成效。毕竟,当涉及到对关键基础设施和公共安全的威胁时,我们真的在一起了。■

- - - - - -托尼的岩石在Lockpath首席运营官。他与领导人在能源行业应对合规和风险管理挑战,从业务连续性到信息安全。