• IMO 海上安全委员会(MSC.428(98))
• 时间：2021-11-30 来源：

    注意到网络风险对船舶安全和防污染的危害，IMO 海上安全委员会先在其第 96 届大会通过了《海事网络风险管理暂行指南》(MSC.1/Circ.1526)，后在其第 98 届大会批准了《海事网络风险管理指南》(MSC-FAL.1/Circ.3)以替代暂行指 南(MSC.1/Circ.1526)。

    根据第 98 届大会通过的决议《安全管理体系中的海事网络风险管理》 (MSC.428(98))，安全管理体系需考虑网络风险管理。同时，IMO 鼓励各国政府不迟于 2021 年1月 1 日之后的首次 DOC 年度审核时，核查安全管理体系是否包括了网络风险管理的相关内容。

    海上网络风险是指衡量技术资产可能受到潜在情况或事件威胁的程度，这些情况或事件可能导致信息或系统损坏、丢失或受损，从而导致与航运相关的操作、安全或安保故障。

    网络风险管理是指识别、分析、评估和传达网络相关风险，并将其接受、避免、转移或缓解至可接受水平的过程，同时考虑对利益相关者采取行动的成本和收益。

    总体目标是支持安全可靠的航运，这在运营上能够抵御网络风险。

    国际海事组织指南

    海事组织已发布了《海上网络风险管理指南》。

    该指南提供了有关海上网络风险管理的高级建议，以保护航运免受当前和新出现的网络威胁和漏洞的影响，并包括支持有效网络风险管理的功能要素。这些建议可以纳入现有的风险管理程序，并补充海事组织已经确立的安全和安保管理做法。

    海事安全委员会在2017年6月第98届会议上也通过了安全管理系统中的海上网络风险管理。该决议鼓励管理部门确保在2021年1月1日后对公司合规文件进行首次年度验证之前，在现有安全管理系统（定义见ISM规范）中适当处理网络风险。

    其他指导和标准

    关于ICS、IUMI、BIMCO、OCIMF、INTERTANKO、INTERCARGO、InterManager、WSC和SYBAss发布的船舶网络安全。

IACS关于网络弹性的综合建议（建议166）。

    IAPH港口社区网络安全报告。

    ISO/IEC 27001信息技术标准-安全技术-信息安全管理系统-要求。由国际标准化组织（ISO）和国际电工委员会（IEC）联合出版。

    美国国家标准与技术研究所改进关键基础设施网络安全框架（NIST框架）。