ISO 23806:2022
(Main)Ships and marine technology — Cyber safety
Ships and marine technology — Cyber safety
This document gives requirements and recommendations for establishing, implementing, maintaining and continually improving a cyber risk assessment system within the context of a company’s security management system (SMS). All the elements for compliance with this document can therefore be traceable within the SMS by direct inclusion or reference.
Navires et technologie maritime — Cybersécurité
Le présent document donne des exigences et des recommandations visant à établir, mettre en œuvre, tenir à jour et améliorer continuellement un système d’appréciation des risques cyber dans le contexte du système de management de la sécurité (SMS) d’une compagnie. Tous les éléments de conformité au présent document peuvent donc être traçables au sein du SMS, que ce soit par inclusion directe ou par référence.
General Information
- Status
- Published
- Publication Date
- 14-Nov-2022
- Technical Committee
- ISO/TC 8 - Ships and marine technology
- Drafting Committee
- ISO/TC 8/WG 4 - Maritime security
- Current Stage
- 6060 - International Standard published
- Start Date
- 15-Nov-2022
- Completion Date
- 15-Nov-2022
Overview
ISO 23806:2022 - Ships and marine technology - Cyber safety - provides requirements and recommendations for establishing, implementing, maintaining and continually improving a cyber risk assessment system within a company’s Safety Management System (SMS). The standard focuses on cyber risks that can affect the safe and environmentally sound operation of ships, particularly risks to Operational Technology (OT) that may have physical safety or pollution consequences. ISO 23806:2022 is intended to be traceable within the SMS by direct inclusion or reference.
Key topics and requirements
- Scope and context: Companies must determine the scope of cyber safety risk assessment based on installed OT, OT/IT integration, operational use, interfaces with third parties and rate of technological change.
- Management commitment: Senior management must demonstrate leadership by embedding cyber risk management into the company’s safety and environmental protection policy, allocating resources, defining roles and authorities, and integrating cyber risk into audits and management review.
- Risk identification and exposure: Identify cyber hazards and risks to ship safety, personnel and the marine environment. Perform generic fleet-level assessments and ship-specific assessments where operational or technical characteristics differ materially.
- OT focus: Emphasis on availability and integrity of OT (bridge systems, propulsion, cargo handling, machinery management, navigation), and on the potential for IT/OT integration to introduce safety-critical impacts.
- Documentation and traceability: Scope, policies, procedures, protective measures and responsibilities should be documented within or referenced by the SMS.
- Detection and reporting: The cyber risk management system shall include actions to detect and report cyber-events in a timely manner.
- Continual improvement: Periodic evaluation of effectiveness, considering OT lifecycle, changes to systems, threats and operational conditions; training and awareness for personnel.
Practical applications and users
ISO 23806:2022 is practical for organizations that operate or manage ships and need to integrate cyber risk into existing safety management frameworks:
- Shipowners, ship managers and operators integrating cyber safety into the ISM-based SMS
- Company safety and security managers responsible for OT/IT governance
- Maritime cyber security teams, compliance officers and internal auditors
- Classification societies, flag administrations and recognized organizations assessing compliance
- Third-party vendors and system integrators providing OT solutions or remote access services
Practical uses include defining the scope of cyber assessments, documenting responsibilities, specifying detection/reporting processes, and embedding cyber risk controls and training into the SMS.
Related standards and guidance
- IMO guidance (MSC-FAL.1/Circ.3) on Maritime Cyber Risk Management
- ISM Code and SOLAS Chapter IX requirements for Safety Management Systems
- ISO/IEC 27000 series (information security principles) - complementary guidance for IT-focused controls
- IMO resolution MSC.428(98) and ISPS Code references on cyber aspects of ship security
Keywords: ISO 23806:2022, ships cyber safety, maritime cyber risk, safety management system, operational technology (OT), shipboard cybersecurity, ISM Code, SOLAS.
ISO 23806:2022 - Ships and marine technology — Cyber safety Released:15. 11. 2022
ISO 23806:2022 - Navires et technologie maritime — Cybersécurité Released:3/3/2023
Get Certified
Connect with accredited certification bodies for this standard
DNV
DNV is an independent assurance and risk management provider.
Lloyd's Register
Lloyd's Register is a global professional services organisation specialising in engineering and technology.
ABS Quality Evaluations Inc.
American Bureau of Shipping quality certification.
Sponsored listings
Frequently Asked Questions
ISO 23806:2022 is a standard published by the International Organization for Standardization (ISO). Its full title is "Ships and marine technology — Cyber safety". This standard covers: This document gives requirements and recommendations for establishing, implementing, maintaining and continually improving a cyber risk assessment system within the context of a company’s security management system (SMS). All the elements for compliance with this document can therefore be traceable within the SMS by direct inclusion or reference.
This document gives requirements and recommendations for establishing, implementing, maintaining and continually improving a cyber risk assessment system within the context of a company’s security management system (SMS). All the elements for compliance with this document can therefore be traceable within the SMS by direct inclusion or reference.
ISO 23806:2022 is classified under the following ICS (International Classification for Standards) categories: 47.020.01 - General standards related to shipbuilding and marine structures. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 23806:2022 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 23806
First edition
2022-11
Ships and marine technology — Cyber
safety
Reference number
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Context of the company. 2
4.1 Understanding the company . 2
4.2 Understanding interested parties . 2
4.3 Determining the scope of the cyber safety risk assessment . 3
5 Management . 3
5.1 Commitment . 3
5.2 Cyber risk management in the company safety and environmental protection
policy . 3
5.3 Company roles, responsibilities and authorities . 4
6 Cyber risk exposure . 4
6.1 General . 4
6.2 Actions to identify cyber hazards and risks . 4
7 Ongoing effectiveness of cyber risk assessment . 4
8 Control of documented information . 5
9 Implementation of protective measures . 5
Bibliography . 6
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 8, Ships and marine technology.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document has been prepared to provide requirements for identification and assessment of cyber
hazards and risks affecting the safe and environmentally sound operation of ships throughout their
operational life. This document provides specifications for procedures designed to be included or
referenced in the company safety management system (SMS) in order to support effective cyber risk
[1]
management as defined in MSC-FAL.1/Circ.3 on Guidelines for Maritime Cyber Risk Management , as
well as any additional requirements of the company or other identified stakeholder.
Operational technology (OT) includes devices, sensors, software and associated networking that
monitor and control onboard systems required to safely and efficiently operate the ship. OT includes,
but is not limited to, navigation, main and auxiliary machinery, propulsion management and cargo
management systems.
The risks associated with OT differ from those associated with information technology (IT). In general,
the risks associated with OT have the potential for physical impacts affecting the safety of the ship,
the personnel and cargo onboard, and the marine environment. The risks associated with IT generally
relate to business and other non-physical impacts which are not safety-critical. Where IT and OT
systems are integrated for particular functions, there is a potential for IT to contribute to safety-critical
impacts.
The information security management system (ISMS) recommended by ISO/IEC 27000 addresses
the preservation of the confidentiality, integrity and availability (CIA) of information and data stored
and processed by IT systems. This document uses CIA but focuses on risks associated with the loss of
availability or integrity of OT systems and data which are necessary for the safe and environmentally
sound operation of a ship.
[3]
The objective of the company security management system (SMS) required by SOLAS chapter IX and
[4]
the ISM Code is to provide a safe working environment by establishing appropriate safe practices and
procedures based on an assessment of all identified risks to the ship, personnel and the environment.
The loss of availability or integrity of safety critical systems and data, and disruption of safety related
operational technology (OT) is expected to have physical consequences for the safe operation of ships
and prevention of pollution. Consequently, it is essential that cyber risk management be incorporated
into the company’s overall approach to safety management and compliance with the requirements
[5]
of SOLAS chapter IX and the ISM Code, and as required by resolution MSC.428(98) . The IMO has
recognized that aspects of cyber risk management, including physical security aspects of cyber
[6]
security, should be addressed in ship security plans under the ISPS Code ; however, this should not
be considered as requiring a company to establish a separate cyber security management system
operating in parallel with the company safety management system.
v
INTERNATIONAL STANDARD ISO 23806:2022(E)
Ships and marine technology — Cyber safety
1 Scope
This document gives requirements and recommendations for establishing, implementing, maintaining
and continually improving a cyber risk assessment system within the context of a company’s security
management system (SMS).
All the elements for compliance with this document can therefore be traceable within the SMS by direct
inclusion or reference.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online
...
NORME ISO
INTERNATIONALE 23806
Première édition
2022-11
Navires et technologie maritime —
Cybersécurité
Ships and marine technology — Cyber safety
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 Contexte de la compagnie . .2
4.1 Compréhension de la compagnie . 2
4.2 Compréhension des parties intéressées . 2
4.3 Détermination du domaine d’application de l’appréciation du risque en matière de
cybersécurité . 3
5 Management . 3
5.1 Engagement . 3
5.2 Management des risques cyber dans le cadre de la politique de sécurité et de
protection de l’environnement de la compagnie . 4
5.3 Rôles, responsabilités et autorités au sein de la compagnie . 4
6 Exposition aux risques cyber . 4
6.1 Généralités . 4
6.2 Actions permettant d’identifier les dangers et risques cyber . 4
7 Efficacité continue de l’appréciation des risques cyber . 4
8 Maîtrise des informations documentées . 5
9 Mise en œuvre des mesures de protection . 5
Bibliographie . 6
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 8, Navires et technologie maritime.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Le présent document a été élaboré en vue de fournir des exigences pour l’identification et l’appréciation
des dangers et risques cyber affectant l’exploitation en toute sécurité et écologiquement rationnelle des
navires tout au long de leur durée de vie opérationnelle. Le présent document fournit des spécifications
relatives aux procédures conçues pour être incluses ou référencées dans le système de management de
la sécurité (SMS) de la compagnie afin de favoriser un management efficace des risques cyber tel que
[1]
défini dans le document MSC-FAL.1/Circ.3 « Directives sur la gestion des cyber-risques maritimes » ,
ainsi que toute exigence supplémentaire de la compagnie ou de toute autre partie prenante identifiée.
Les technologies d’exploitation (désignées par le sigle « OT », pour l’anglais « Operational Technology »)
englobent les dispositifs, les capteurs, les logiciels et les réseaux connexes qui permettent la surveillance
et le contrôle des systèmes de bord nécessaires à l’exploitation efficace et en toute sécurité du navire.
L’OT inclut, sans s’y limiter, les systèmes de gestion de la navigation, des machines principales et
auxiliaires, de la propulsion et de la cargaison.
Les risques liés à l’OT sont différents de ceux liés aux technologies de l’information (désignées par le
sigle « IT », pour l’anglais « Information Technology »). En général, les risques liés à l’OT sont susceptibles
d’avoir des impacts physiques affectant la sécurité du navire, de son personnel et de sa cargaison, ainsi
que du milieu marin. Les risques liés à l’IT se rapportent généralement aux activités commerciales
et à d’autres impacts non physiques qui ne sont pas de nature critique pour la sécurité. Lorsque les
systèmes IT et OT sont intégrés pour exécuter des fonctions particulières, l’IT est susceptible de
contribuer aux impacts critiques pour la sécurité.
Les systèmes de management de la sécurité de l’information (SMSI) préconisés par l’ISO/IEC 27000
couvrent la préservation de la confidentialité, de l’intégrité et de la disponibilité (désignées par la
triade « CIA », pour l’anglais « Confidentiality, Integrity, Availability ») de l’information et des données
stockées et traitées par les systèmes IT. Le présent document s’appuie sur la triade CIA, mais est axé
sur les risques liés à la perte de disponibilité ou d’intégrité des systèmes et des données d’OT qui sont
nécessaires à l’exploitation en toute sécurité et écologiquement rationnelle d’un navire.
L’objectif du système de management de la sécurité (SMS) de la compagnie requis par le chapitre IX
[3] [4]
de la convention SOLAS et par le code ISM est de créer un environnement de travail sécurisé en
établissant des pratiques et procédures de sécurité appropriées fondées sur une appréciation de tous
les risques identifiés pour le navire, le personnel et l’environnement.
La perte de disponibilité ou d’intégrité des systèmes et des données critiques pour la sécurité ainsi
que la perturbation des technologies d’exploitation (OT) liées à la sécurité sont susceptibles d’avoir des
conséquences physiques sur l’exploitation en toute sécurité des navires et la prévention de la pollution.
Par conséquent, il est essentiel que le management des risques cyber soit intégré à l’approche globale
de la compagnie en matière de management de la sécurité et de conformité aux exigences du chapitre IX
[5]
de la convention SOLAS et du code ISM, et tel que requis par la résolution MSC.428(98). Selon l’OMI,
il convient que les aspects relatifs au management des risques cyber, y compris les aspects relatifs à la
sûreté physique en lien avec la cyber sûreté, soient pris en compte dans les plans de sûreté des navires
[6]
dans le cadre du code ISPS ; il convient toutefois de ne pas considérer cela comme l’obligation pour les
compagnies d’établir un système de management de la cyber sûreté distinct, appliqué parallèlement à
leur système de management de la sécurité.
v
NORME INTERNATIONALE ISO 23806:2022(F)
Navires et technologie maritime — Cybersécurité
1 Domaine d’application
Le présent document donne des exigences et des recommandations visant à établir, mettre en œuvre,
tenir à jour et améliorer continuellement un système d’appréciation des risques cyber dans le contexte
du système de management de la sécurité (SMS) d’une compagnie.
Tous les éléments de conformité au présent document peuvent donc être traçables au sein du SMS, que
ce soit par inclusion directe ou par référence.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
compagnie
propriétaire du navire ou tout autre organisme ou personne, tel que le gérant ou l’affréteur coque nue,
qui assume la responsabilité de l’exploitation du navire à la place de l’armateur et qui, en endossant
cette responsabilité, s’est engagé à supporte
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...