PSC快讯|| 网络安全将纳入海事安全管理体系审核
随着船舶数字化、智能化、网络化发展水平的提升,网络技术在船舶驾驶控制、货物装卸、推进系统、旅客管理、通信系统等方面的应用已成为对航运安全和保障海洋环境所必不可少的技术。船舶越来越多的对外信息交互,使船舶遭受网络威胁的隐患不断加剧,这些潜在的威胁可能够导致航运有关的操作、安全或安保系统的破坏或信息的泄露。现实中,马士基、中远海、地中海航运等多家大型航运企业近年来频繁遭受网络攻击,造成惨重的损失。在这样的背景下,船舶的网络安全显得尤为重要。
网络安全是保证船舶安全运行,保障人、货和环境安全的关键,IMO已确定将网络安全作为船舶安全管理系统中要解决的风险,海事组织通过了MSC.428(98)号决议《安全管理体系中的海事网络风险管理》,要求经认可的安全管理体系应根据《ISM规则》的目标和功能要求考虑网络风险管理。各公司必须在2021年1月1日后对其符合证明(DOC)进行首次年度审核之前,证明网络安全是安全管理体系的组成部分。那么,你准备好了吗?
基于提升应对网络风险威胁意识的迫切需求,IMO在98届海上安全委员会通过并发布了《海事网络风险管理指南》(MSC-FAL.1/Circ3)通函,提出了对网络风险的应对措施。该指南建议对网络风险采取一种有弹性的风险管理方法,在考虑对利益相关者采取行动的成本和收益的同时,识别、分析、评估和沟通网络相关风险并将其接受、避免、转移或减轻至可接受的水平。
持有符合证明(DOC)的航运管理公司应当充分考虑《指南》的要求,评估公司及其船舶网络安全的状况,制定相应的风险防范措施,纳入公司的安全管理体系。
公司可考虑采取“计划-实施-检查-行动(PDCA)”的方法评估网络安全、制定措施并不断完善。
计划(Plan):
1.确定网络安全目标
2.清点系统和软件
3.执行网络风险评估并确定改进需求的优先级
实施(Do):
1.将网络安全措施和程序集成到安全管理体系中
2.定义和更新网络安全的角色和职责
3.执行网络安全培训(一般意识和基于角色)
4.系统的推出网络隔离和强化
检查(Check):
1.评价达成目标的有效性
2.分析网络事件和事件报告、数据监控等。
3.执行内部审核,并将管理复查和船长复查与网络安全列入议程
行动(Act):
1.对整个船队实施纠正和预防措施
2.确保持续的符合性并努力持续改进
海事网络风险管理的目标是支持安全可靠的航运,在公司或者船舶在遭受网络攻击时能够尽早地探测到网络威胁、迅速响应并安全地恢复网络系统。对于公司及船舶网络系统简单的公司可能会发现,简单应用《海事网络风险管理指南》就可以帮助公司有效应对网络风险。然而,拥有复杂网络系统的公司可能需要更高程度的维护。此种情况下,航运公司还应参考成员国政府和船旗国管理部门的要求,以及相关的国际和行业标准和最佳做法,从而使风险管理方法能够解决网络威胁和脆弱性。
网络安全将是2021年符合证明(DOC)年度审核的一个重点领域。建议各公司利用这个机会充分考虑并解决其船舶运营方面数字化方案带来的网络安全问题,增强船舶抵御网络风险的弹性,确保船舶安全“在线”,并为2021年的安全管理体系审核做好充足的准备。