英国推出《船舶网络安全实操规则》
E安全9月26日讯 航运领域发生大量重大网络安全事件,各国开始重视船舶面临的网络安全风险。英国运输部(简称DfT)近期推出《船舶网络安全实操规则》,要求董事会成员、保险公司、高级官员和负责船只日常操作的人员遵守相关规定和要求。
《船舶网络安全实操规则》概述
英国运输部强调,该规则是对国际船舶和港口设施保安规则(ISPS Code)现有要求的补充,应当作为整个风险管理计划的一部分,尤其该规则针对公司安全官、公司安全评估做了详细规定,以达到提升网络安全的目的。
规则涵盖的内容全面,总而言之,船主/公司须遵循的主要规则如下:
1、评估当前的网络安全措施,并识别风险;
2、制定书面网络安全计划(CSP);
3、制定计划,用以持续评估并监控网络安全计划;
4、任命网络安全官并建立安全运营中心,以实现网络安全计划并管理网络安全;
5、妥善披露信息(向第三方),防止泄露敏感信息;
6、妥善监控并处理网络安全事件。
规则还强调,为了使安全措施行之有效,安全政策、过程和程序的责任应落到合同和供应链上。
如今的航运船舶网络安全受到极大关注,尤其当全球最大的集装箱承运公司马士基集团(A.P. Moller-Maersk)因NotPety恶意软件损失近3亿美元(约合人民币20亿元)后。
按照规定,船主应制定网络安全计划,并附上船舶安全计划。计划会提出实现有效网络安全必需的步骤,如果对网络安全方法存在疑问,起码有综合文档可供参考。
考虑网络安全保险事宜
保险公司和船主等还应当考虑保险是否足以保护网络安全,现有的网络保险是否能充分满足船主的需要/或以船主理解的方式呈现。
至于船主的现有非网络保险,机构网络攻击条款(Institute
Cyber Attack
Exclusion)是否纳入其中?如果包含其中,船主应当考虑此时是否是调查网络保险的恰当时机。之后,应仔细评估单个网络保单条款,以确保保单条款最符合航运业的需求和风险预测。
如果提供网络事件保险服务,保险公司应当考虑是否将网络安全计划的制定与遵守纳入承保范围以及网络安全计划的存在是否会影响保险费。
对于提供客运服务的公司,若不满足规则因过失或疏忽遭遇网络攻击造成伤亡或行李损失,公司应承担责任。如果未制定书面网络安全计划,将可能遭受诟病和/或承担责任。
规则详细内容,http://t.cn/R0IJJyr
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1994692776.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容