IEC 62443-2-1:2024
(Main)Security for industrial automation and control systems - Part 2-1: Security program requirements for IACS asset owners
Security for industrial automation and control systems - Part 2-1: Security program requirements for IACS asset owners
IEC 62443-2-1:2024 specifies asset owner security program (SP) policy and procedure requirements for an industrial automation and control system (IACS) in operation. This document uses the broad definition and scope of what constitutes an IACS as described in IEC TS 62443‑1‑1. In the context of this document, asset owner also includes the operator of the IACS.
This document recognizes that the lifespan of an IACS can exceed twenty years, and that many legacy systems contain hardware and software that are no longer supported. Therefore, the SP for most legacy systems addresses only a subset of the requirements defined in this document. For example, if IACS or component software is no longer supported, security patching requirements cannot be met. Similarly, backup software for many older systems is not available for all components of the IACS. This document does not specify that an IACS has these technical requirements. This document states that the asset owner needs to have policies and procedures around these types of requirements. In the case where an asset owner has legacy systems that do not have the native technical capabilities, compensating security measures can be part of the policies and procedures specified in this document.
This edition includes the following significant technical changes with respect to the previous edition:
a) revised requirement structure into SP elements (SPEs),
b) revised requirements to eliminate duplication of an information security management system (ISMS), and
c) defined a maturity model for evaluating requirements.
Sécurité des systèmes d’automatisation et de commande industrielles - Partie 2-1: Exigences de programme de sécurité pour les propriétaires d’actif IACS
IEC 62443-2-1:2024 spécifie les exigences de politiques et de procédures du programme de sécurité (SP) du propriétaire d’actif pour un système d’automatisation et de commande industrielle (IACS) opérationnel. Le présent document utilise, au sens large, la définition et le domaine d’application de ce qui constitue un IACS décrit dans l’IEC TS 62443‑1-1. Dans le contexte du présent document, le propriétaire d’actif inclut également l’opérateur de l’IACS.
Le présent document reconnaît que la durée de vie d’un IACS peut dépasser vingt ans et que de nombreux systèmes patrimoniaux contiennent du matériel et du logiciel qui ne sont plus pris en charge. Par conséquent, le SP de la plupart des systèmes patrimoniaux ne concerne qu’un sous-ensemble des exigences définies dans le présent document. Les exigences en matière de correctifs de sécurité, par exemple, ne peuvent pas être satisfaites si l’IACS ou le logiciel composant n’est plus pris en charge. De même, le logiciel de sauvegarde de la plupart des systèmes plus anciens n’est pas disponible pour tous les composants de l’IACS. Le présent document ne précise pas qu'un IACS doit satisfaire à ces exigences techniques. Il indique qu’il est nécessaire que le propriétaire d’actif dispose de politiques et de procédures relatives à ces types d'exigences. Dans le cas où le propriétaire d'actif possède des systèmes patrimoniaux qui ne comportent pas des capacités techniques natives, des mesures de sécurité compensatoires peuvent faire partie des politiques et procédures spécifiées dans le présent document.
Cette édition inclut les modifications techniques majeures suivantes par rapport à l'édition précédente:
a) la structure des exigences a été révisée en éléments SP (SPE – SP element);
b) les exigences ont été révisées pour éliminer la répétition d'un système de management de la sécurité de l'information (SMSI); et
c) un modèle de stabilisation a été défini pour l'évaluation des exigences.
General Information
Relations
Standards Content (Sample)
IEC 62443-2-1 ®
Edition 2.0 2024-08
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
HORIZONTAL PUBLICATION
PUBLICATION HORIZONTALE
Security for industrial automation and control systems –
Part 2-1: Security program requirements for IACS asset owners
Sécurité des systèmes d’automatisation et de commande industrielles –
Partie 2-1: Exigences de programme de sécurité pour les propriétaires d’actif
IACS
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form
or by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from
either IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC
copyright or have an enquiry about obtaining additional rights to this publication, please contact the address below or
your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.
IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.
IEC publications search - webstore.iec.ch/advsearchform IEC Products & Services Portal - products.iec.ch
The advanced search enables to find IEC publications by a Discover our powerful search engine and read freely all the
variety of criteria (reference number, text, technical publications previews, graphical symbols and the glossary.
committee, …). It also gives information on projects, replaced With a subscription you will always have access to up to date
and withdrawn publications. content tailored to your needs.
IEC Just Published - webstore.iec.ch/justpublished
Electropedia - www.electropedia.org
Stay up to date on all new IEC publications. Just Published
The world's leading online dictionary on electrotechnology,
details all new publications released. Available online and once
containing more than 22 500 terminological entries in English
a month by email.
and French, with equivalent terms in 25 additional languages.
Also known as the International Electrotechnical Vocabulary
IEC Customer Service Centre - webstore.iec.ch/csc
(IEV) online.
If you wish to give us your feedback on this publication or need
further assistance, please contact the Customer Service
Centre: sales@iec.ch.
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.
Recherche de publications IEC - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications IEC gratuitement tous les aperçus des publications, symboles
en utilisant différents critères (numéro de référence, texte, graphiques et le glossaire. Avec un abonnement, vous aurez
comité d’études, …). Elle donne aussi des informations sur les toujours accès à un contenu à jour adapté à vos besoins.
projets et les publications remplacées ou retirées.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished
Le premier dictionnaire d'électrotechnologie en ligne au monde,
Restez informé sur les nouvelles publications IEC. Just
avec plus de 22 500 articles terminologiques en anglais et en
Published détaille les nouvelles publications parues.
français, ainsi que les termes équivalents dans 25 langues
Disponible en ligne et une fois par mois par email.
additionnelles. Egalement appelé Vocabulaire
Electrotechnique International (IEV) en ligne.
Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-nous:
sales@iec.ch.
IEC 62443-2-1 ®
Edition 2.0 2024-08
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Security for industrial automation and control systems –
Part 2-1: Security program requirements for IACS asset owners
Sécurité des systèmes d’automatisation et de commande industrielles –
Partie 2-1: Exigences de programme de sécurité pour les propriétaires d’actif
IACS
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
INTERNATIONALE
ICS 25.040.40, 35.100.05 ISBN 978-2-8322-9459-8
– 2 – IEC 62443-2-1:2024 © IEC 2024
CONTENTS
FOREWORD . 6
INTRODUCTION . 8
1 Scope . 10
2 Normative references . 11
3 Terms, definitions, abbreviated terms and conventions . 11
3.1 Terms and definitions . 11
3.2 Abbreviated terms and acronyms . 15
3.3 Conventions . 16
4 Concepts . 17
4.1 Use of this document . 17
4.1.1 Applicable roles . 17
4.1.2 Use of this document by asset owners . 17
4.1.3 Use of this document by service providers and product suppliers. 19
4.2 Maturity level (ML) definitions . 20
4.3 Security levels (SLs) . 21
4.4 Requirements definitions . 21
4.4.1 Requirements organization . 21
4.4.2 Requirements cross-references . 22
4.4.3 Requirement conventions . 22
5 Conformance and assessment . 22
5.1 Overview. 22
5.2 Conformity evidence . 23
5.3 Requirements evaluation and profiles . 24
5.3.1 Overview . 24
5.3.2 Evaluation of risk to requirements . 24
5.3.3 Profiles . 24
5.3.4 Conformity assessment for the asset owner role . 25
6 SPE 1 – Organizational security measures . 25
6.1 Purpose . 25
6.2 ORG 1 – Security related organization and policies. 25
6.2.1 ORG 1.1: Information security management system (ISMS) . 25
6.2.2 ORG 1.2: Background checks . 26
6.2.3 ORG 1.3: Security roles and responsibilities . 26
6.2.4 ORG 1.4: Security awareness training . 27
6.2.5 ORG 1.5: Security responsibilities training . 27
6.2.6 ORG 1.6: Supply chain security . 28
6.3 ORG 2 – Security assessments and reviews . 28
6.3.1 ORG 2.1: Security risk mitigation . 28
6.3.2 ORG 2.2: Processes for discovery of security anomalies . 29
6.3.3 ORG 2.3: Secure development and support . 30
6.3.4 ORG 2.4: SP reviews . 30
6.4 ORG 3 – Security of physical access . 30
6.4.1 ORG 3.1: Physical access control . 30
7 SPE 2 – Configuration management . 31
7.1 Purpose . 31
7.2 CM 1 – Inventory management of IACS hardware/software components and
network communications . 31
7.2.1 CM 1.1: Asset inventory baseline . 31
7.2.2 CM 1.2: Infrastructure drawings/documentation . 32
7.2.3 CM 1.3: Configuration settings . 32
7.2.4 CM 1.4: Change control . 33
8 SPE 3 – Network and communications security . 33
8.1 Purpose . 33
8.2 NET 1 – System segmentation . 33
8.2.1 NET 1.1: Segmentation from non-IACS zones . 33
8.2.2 NET 1.2: Documentation of zones and network zone interconnections . 34
8.2.3 NET 1.3: Network segmentation from safety systems. 34
8.2.4 NET 1.4: Network autonomy . 35
8.2.5 NET 1.5: Network disconnection from external networks . 35
8.2.6 NET 1.6: Internal network access control . 35
8.2.7 NET 1.7: Network accessible services . 36
8.2.8 NET 1.8: User messaging . 36
8.2.9 NET 1.9: Network time distribution . 36
8.3 NET 2 – Secure wireless access . 37
8.3.1 NET 2.1: Wireless protocols . 37
8.3.2 NET 2.2: Wireless network segmentation . 37
8.3.3 NET 2.3: Wireless properties and addresses . 38
8.4 NET 3 – Secure remote access . 38
8.4.1 NET 3.1: Remote access applications . 38
8.4.2 NET 3.2: Remote access connections . 39
8.4.3 NET 3.3: Remote access termination . 39
9 SPE 4 – Component security . 40
9.1 Purpose . 40
9.2 COMP 1 – Components and portable media . 40
9.2.1 COMP 1.1: Component hardening . 40
9.2.2 COMP 1.2: Dedicate
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.