Page Comparison

Originating from the US Energy Policy Act Originário da Lei de Política Energética dos EUA de 2005, o NERC-CIP provides guidelines, requirements, and procedures to ensure the reliability and security of the bulk power system. It addresses cyber-attack risks, system protection, and vulnerability management. The standards aim to secure confidential information and system integrity, and the software platform includes features and tools to help organizations comply with NERC-CIP security requirements.On this pagefornece diretrizes, requisitos e procedimentos para garantir a confiabilidade e a segurança do sistema de energia em massa. Ele aborda riscos de ataques cibernéticos, proteção do sistema e gerenciamento de vulnerabilidades. Os padrões visam proteger informações confidenciais e integridade do sistema, e a plataforma de software inclui recursos e ferramentas para ajudar as organizações a cumprir os requisitos de segurança do NERC-CIP.

Nesta página:

Table of Contents

minLevel	1
maxLevel	6
outline	false
style	none
type	list
printable	true

Referências de requisitos NERC-CIP

Requirements References

Os padrões NERC Standards CIP-002 through a CIP-009 provide a cybersecurity framework for identifying and protecting Critical Cyber Assets to support the reliable operation of the Bulk Electric System. There are eight different CIP standards, each defining specific requirements:
NERC-CIP Standard
Requirement
Description
fornecem uma estrutura de segurança cibernética para identificar e proteger ativos cibernéticos críticos para apoiar a operação confiável do sistema elétrico em massa. Existem oito padrões CIP diferentes, cada um definindo requisitos específicos:
NERC Standard
Measures
CIP-002-1
Document the risk-based assessment methodology, compile and maintain a list of Critical Assets, create a list of Critical Cyber Assets, and keep records of annual approvals for Standard CIP-002-1 compliance. Regular updates to this documentation ensure adherence to the standardBased on the Critical Assets list from R2, compile a list of Critical Cyber Assets for the functioning of each Critical AssetThe Responsible Entity shall review, update, and maintain all documentation to support compliance with the requirements of Standard Maintain detailed records of all cyber security incidents for a period of three years
Padrão NERC-CIP
Requisito
Descrição
CIP-002-1:
Critical Cyber Asset Identification
Requires identifying and documenting Critical Cyber Assets essential for the Bulk Electric System's operation.
R1. Critical Asset Identification Method
Develop and document a methodology based on risk assessment to identify Critical Assets.
R2. Critical Asset Identification
Create and annually update a list of Critical Assets, derived using the risk assessment method from R1, with regular reviews and necessary updates.
R3. Critical Cyber Asset Identification
Identificação de Ativos Cibernéticos Críticos
Requer a identificação e documentação de ativos cibernéticos críticos essenciais para a operação do sistema elétrico em massa.
R1. Método de identificação de ativos críticos
Desenvolver e documentar uma metodologia baseada na avaliação de risco para identificar Ativos Críticos.
R2. Identificação de ativos críticos
Criar e atualizar anualmente uma lista de Ativos Críticos, derivados usando o método de avaliação de risco de R1, com revisões regulares e atualizações necessárias.
R3. Identificação de ativos cibernéticos críticos
Com base na lista de Ativos Críticos do R2, compile uma lista de Ativos Cibernéticos Críticos para o funcionamento de cada Ativo Crítico.
CIP-003-1:
Security Management ControlsRequires Responsible Entities to implement security controls to protect Critical Cyber Assets
Controles de gerenciamento de segurança
Exige que as Entidades Responsáveis implementem controles de segurança para proteger Ativos Cibernéticos Críticos.
R1. Cyber Security PolicyCreate and enforce a cyber security policy that reflects the organization's commitment to securing Critical Cyber AssetsPolítica de segurança cibernética
Crie e aplique uma política de segurança cibernética que reflita o compromisso da organização em proteger ativos cibernéticos críticos.
R2. LeadershipAppoint a senior manager to oversee and ensure compliance with Standards Liderança
Nomear um gerente sênior para supervisionar e garantir a conformidade com as Normas CIP-002 to a CIP-009.
R3. ExceptionsRecord any deviations from the cyber security policy as exceptions, with authorization from a senior manager or their delegateExceções
Registre quaisquer desvios da política de segurança cibernética como exceções, com autorização de um gerente sênior ou de seu delegado.
R4. Information ProtectionEstablish a program to identify, categorize, and safeguard information linked to Critical Cyber AssetsProteção de informações
Estabelecer um programa para identificar, categorizar e proteger informações vinculadas a Ativos Cibernéticos Críticos.
R5. Access Control
Develop and implement a program to control access to information associated with Critical Cyber Assets.
R6. Change Control and Configuration Management
Set up and document a process for change control and configuration management, addressing all changes to hardware and software of Critical Cyber Assets, in line with the established change control proceduresControle de acesso
Desenvolver e implementar um programa de controlo de acesso à informação associada a Ativos Cibernéticos Críticos.
R6. Controle de mudanças e gerenciamento de configuração
Configurar e documentar um processo de controle de mudanças e gerenciamento de configuração, abordando todas as alterações de hardware e software de Ativos Cibernéticos Críticos, de acordo com os procedimentos de controle de mudanças estabelecidos.
CIP-004-1:
Personnel and TrainingRequires personnel with access to Critical Cyber Assets, including contractors, to undergo risk assessment, training, and security awareness
Pessoal e Treinamento
Exige que o pessoal com acesso a Ativos Cibernéticos Críticos, incluindo contratados, passe por avaliação de risco, treinamento e conscientização de segurança.
R1. AwarenessConsciênciaDevelop, document, and maintain a program to continually enhance the security awareness of personnel with authorized access to Critical Cyber Assets
Desenvolver, documentar e manter um programa para aprimorar continuamente a conscientização de segurança do pessoal com acesso autorizado a ativos cibernéticos críticos.
R2. Training
Implement and document an annual training program on cyber security for staff with authorized access to Critical Cyber Assets, reviewing and updating it as needed.
R3. Personnel Risk Assessment
Maintain a documented program to assess the risk posed by personnel with authorized access, in compliance with relevant legal and union agreements.
R4. Access
Keep updated lists of individuals with authorized access to Critical Cyber Assets, including details of their specific electronic and physical access privilegesFormação
Implementar e documentar um programa anual de treinamento em segurança cibernética para funcionários com acesso autorizado a Ativos Cibernéticos Críticos, revisando-o e atualizando-o conforme necessário.
R3. Avaliação de Risco de Pessoal
Manter um programa documentado para avaliar o risco representado pelo pessoal com acesso autorizado, em conformidade com os acordos legais e sindicais relevantes.
R4. Acesso
Mantenha listas atualizadas de indivíduos com acesso autorizado a Ativos Cibernéticos Críticos, incluindo detalhes de seus privilégios específicos de acesso eletrônico e físico.
CIP-005-1:
Electronic Security Perimeter
Requires protecting Electronic Security Perimeters and their access points where Critical Cyber Assets are located.
R1. Electronic Security Perimeter
The Responsible Entity shall ensure that every Critical Cyber Asset resides within an Electronic Security Perimeter.
R2. Electronic Access Controls
The Responsible Entity shall implement and document the organizational processes and technical and procedural mechanisms for control of electronic access at all electronic access points to the Electronic Security Perimeter(s).
R3. Monitoring Electronic Access
The Responsible Entity shall implement and document an electronic or manual process(es) for monitoring and logging access at access points to the Electronic Security Perimeter(s) twenty-four hours a day, seven days a week.
R4. Cyber Vulnerability Assessment
The Responsible Entity shall perform a cyber vulnerability assessment of the electronic access points to the Electronic Security Perimeter(s) at least annually.
R5. Documentation Review and Maintenance
Perímetro de Segurança Eletrônica
Requer a proteção de Perímetros de Segurança Eletrônica e seus pontos de acesso onde os Ativos Cibernéticos Críticos estão localizados.
R1. Perímetro de Segurança Eletrônica
A Entidade Responsável deve garantir que todos os Ativos Cibernéticos Críticos residam dentro de um Perímetro de Segurança Eletrônica.
R2. Controles de acesso eletrônico
A Entidade Responsável deve implementar e documentar os processos organizacionais e os mecanismos técnicos e processuais para o controlo do acesso eletrónico em todos os pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica.
R3. Monitoramento de acesso eletrônico
A Entidade Responsável deve implementar e documentar um processo eletrônico ou manual para monitorar e registrar o acesso nos pontos de acesso ao(s) Perímetro(s) de Segurança Eletrônica vinte e quatro horas por dia, sete dias por semana.
R4. Avaliação de vulnerabilidade cibernética
A Entidade Responsável deve realizar uma avaliação da cibervulnerabilidade dos pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica pelo menos uma vez por ano.
R5. Revisão e manutenção da documentação
A Entidade Responsável deve revisar, atualizar e manter toda a documentação para apoiar a conformidade com os requisitos da Norma CIP-005.
CIP-006-1:
Physical Security of Critical Cyber AssetsRequires establishing a physical security program for Critical Cyber Assets
Segurança Física de Ativos Cibernéticos Críticos
Requer o estabelecimento de um programa de segurança física para Ativos Cibernéticos Críticos.
R1. Physical Security Plan
Create and regularly update a physical security plan, ensuring senior management approval and addressing key security aspects.
R2. Physical Access Controls
Document and enforce operational controls to manage physical access at every entry point to secure areas, ensuring 24/7 operation.
R3. Monitoring Physical Access
Monitor all access points to secure areas round the clock, promptly reviewing and managing any unauthorized access attempts.
R4. Logging Physical Access
Log every instance of physical access, including unauthorized attempts, and monitor them consistently, following specified breach protocols.
R5. Access Log Retention
Retain all physical access logs for at least 90 days and preserve logs concerning major incidents as per Standard CIP-008 requirements.
R6. Maintenance and Testing
Conduct regular maintenance and testing of all physical security systems, especially those related to access control, monitoring, and logging, to ensure their functionalityPlano de Segurança Física
Crie e atualize regularmente um plano de segurança física, garantindo a aprovação da alta administração e abordando os principais aspectos de segurança.
R2. Controles de acesso físico
Documente e aplique controles operacionais para gerenciar o acesso físico em todos os pontos de entrada para áreas seguras, garantindo operação 24 horas por dia, 7 dias por semana.
R3. Monitorando o acesso físico
Monitore todos os pontos de acesso para proteger áreas o tempo todo, revisando e gerenciando prontamente quaisquer tentativas de acesso não autorizado.
R4. Registrando o acesso físico
Registre todas as instâncias de acesso físico, incluindo tentativas não autorizadas, e monitore-as de forma consistente, seguindo os protocolos de violação especificados.
R5. Retenção de log de acesso
Guarde todos os registros de acesso físico por pelo menos 90 dias e preserve os registros relativos a incidentes graves de acordo com os requisitos do Padrão CIP-008.
R6. Manutenção e testes
Realize manutenção e testes regulares de todos os sistemas de segurança física, especialmente aqueles relacionados ao controle de acesso, monitoramento e registro, para garantir sua funcionalidade.
CIP-007-1:
Systems Security ManagementRequires defining security procedures for Critical and non-critical Cyber Assets within Electronic Security Perimeters
Gerenciamento de Segurança de Sistemas
Requer a definição de procedimentos de segurança para Ativos Cibernéticos Críticos e não críticos dentro dos Perímetros de Segurança Eletrônica.
R1. Test Procedures
Ensure new and modified Cyber Assets within the Electronic Security Perimeter don't compromise existing cybersecurity controls.
R2. Ports and Services
Develop and maintain a process to enable only essential ports and services for normal and emergency operations.
R3. Security Patch Management
Establish a program for managing cybersecurity software patches, covering tracking, evaluating, testing, and installing patches for all Procedimentos de teste
Garanta que os ativos cibernéticos novos e modificados dentro do perímetro de segurança eletrônica não comprometam os controles de segurança cibernética existentes.
R2. Portos e Serviços
Desenvolver e manter um processo para habilitar apenas portos e serviços essenciais para operações normais e de emergência.
R3. Gerenciamento de patches de segurança
Estabeleça um programa para gerenciar patches de software de segurança cibernética, abrangendo rastreamento, avaliação, teste e instalação de patches para todos os Cyber Assets.
R4. Malicious Software Prevention
Implement anti-virus and malware prevention tools to protect all Cyber Assets within the Electronic Security Perimeter, where possible.
R5. Account Management
Set up technical and procedural controls for user access authentication and accountability, minimizing unauthorized access risks.
R6. Security Status Monitoring
Utilize automated tools or organizational processes to monitor cybersecurity-related system events for all Cyber Assets.
R7. Disposal or Redeployment
Define formal methods for the disposal or redeployment of Cyber Assets within the Electronic Security Perimeter, as per CIP-005 standards.
R8. Cyber Vulnerability Assessment
Conduct an annual cyber vulnerability assessment for all Cyber Assets within the Electronic Security Perimeter.
R9. Documentation Review and Maintenance
Regularly review and update cybersecurity documentation annually, documenting any system or control modifications within 90 daysPrevenção de software malicioso
Implemente ferramentas de prevenção de antivírus e malware para proteger todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, sempre que possível.
R5. Gerenciamento de contas
Configure controles técnicos e processuais para autenticação e responsabilidade de acesso do usuário, minimizando os riscos de acesso não autorizado.
R6. Monitoramento de status de segurança
Utilize ferramentas automatizadas ou processos organizacionais para monitorar eventos de sistema relacionados à segurança cibernética para todos os ativos cibernéticos.
R7. Eliminação ou redistribuição
Definir métodos formais para o descarte ou reimplantação de Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, de acordo com os padrões CIP-005.
R8. Avaliação de vulnerabilidade cibernética
Realizar uma avaliação anual de vulnerabilidade cibernética para todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica.
R9. Revisão e manutenção da documentação
Revise e atualize regularmente a documentação de segurança cibernética anualmente, documentando quaisquer modificações no sistema ou controle em até 90 dias.
CIP-008-1:
Incident Reporting and Response Planning
Requires managing Cyber Security Incidents involving Critical Cyber Assets, including identification, classification, response, and reporting.
R1. Cyber Security Incident Response Plan
Create and regularly update a plan to respond to cyber security incidents, ensuring it covers essential response strategies and procedures.
R2. Cyber Security Incident Documentation
Relatórios de incidentes e planejamento de resposta
Requer o gerenciamento de incidentes de segurança cibernética envolvendo ativos cibernéticos críticos, incluindo identificação, classificação, resposta e relatórios.
R1. Plano de Resposta a Incidentes de Segurança Cibernética
Crie e atualize regularmente um plano para responder a incidentes de segurança cibernética, garantindo que ele cubra estratégias e procedimentos de resposta essenciais.
R2. Documentação de incidentes de segurança cibernética
Mantenha registros detalhados de todos os incidentes de segurança cibernética por um período de três anos.
CIP-009-1:
Recovery Plans for Critical Cyber AssetsRequires recovery plans for Critical Cyber Assets aligned with business continuity and disaster recovery practices
Planos de recuperação para ativos cibernéticos críticos
Requer planos de recuperação para ativos cibernéticos críticos alinhados com as práticas de continuidade de negócios e recuperação de desastres.
R1. Recovery Plans Develop and conduct annual reviews of recovery plans for Critical Cyber Assets, ensuring they address key recovery strategiesPlanos de recuperação
Desenvolver e conduzir revisões anuais de planos de recuperação de Ativos Cibernéticos Críticos, garantindo que eles atendam às principais estratégias de recuperação.
R2. Exercises
Perform at least one exercise each year to test the recovery plans, ranging from simple drills to full operational tests or actual incident recoveries.
R3. Change Control
Revise recovery plans to reflect any new changes or insights gained from exercises or actual incident recoveries, and communicate these updates to relevant personnel within 90 days.
R4. Backup and Restore
Ensure recovery plans contain detailed processes for backing up and storing information critical for restoring Critical Cyber Assets, including spare parts, configuration settings, and tape backups.
R5. Testing Backup Media
Annually test backup media containing essential recovery information to verify its availability and effectiveness, with the option to perform tests offsite.

NERC-CIP Measures References

Exercícios	Realize pelo menos um exercício por ano para testar os planos de recuperação, variando de exercícios simples a testes operacionais completos ou recuperações de incidentes reais.
R3. Controle de Mudanças	Revise os planos de recuperação para refletir quaisquer novas alterações ou percepções obtidas com exercícios ou recuperações reais de incidentes e comunique essas atualizações ao pessoal relevante dentro de 90 dias.
R4. Backup e restauração	Certifique-se de que os planos de recuperação contenham processos detalhados para fazer backup e armazenar informações críticas para a restauração de ativos cibernéticos críticos, incluindo peças sobressalentes, definições de configuração e backups em fita.
R5. Testando a mídia de backup	Teste anualmente a mídia de backup contendo informações essenciais de recuperação para verificar sua disponibilidade e eficácia, com a opção de realizar testes externamente.

Referências de medidas NERC-CIP

Padrão NERC	Medidas
CIP-002-1	Documentar a metodologia de avaliação baseada em risco, compilar e manter uma lista de Ativos Críticos, criar uma lista de Ativos Cibernéticos Críticos e manter registros de aprovações anuais para conformidade com a Norma CIP-002-1. Atualizações regulares desta documentação garantem a adesão ao padrão.
CIP-003-1Document the cyber security policy, assign and record leadership roles, detail exceptions to the cyber security policy, implement and document an information protection program, manage and record access control processes, and maintain change control and configuration management documentation for Standard	Documentar a política de segurança cibernética, atribuir e registrar funções de liderança, detalhar exceções à política de segurança cibernética, implementar e documentar um programa de proteção de informações, gerenciar e registrar processos de controle de acesso e manter a documentação de controle de mudanças e gerenciamento de configuração para conformidade com a norma CIP-003-1 compliance.
CIP-004-1Document security awareness programs, keep records of cyber security training programs, document personnel risk assessment procedures, and update lists of personnel with authorized access for Standard	Documente programas de conscientização de segurança, mantenha registros de programas de treinamento de segurança cibernética, documente procedimentos de avaliação de risco de pessoal e atualize listas de pessoal com acesso autorizado para conformidade com a Norma CIP-004-1 compliance.
CIP-005-1Document Electronic Security Perimeters, implement and record electronic access controls, monitor and log electronic access, conduct and document annual vulnerability assessments, and maintain access logs for Standard	Documentar perímetros de segurança eletrônica, implementar e registrar controles de acesso eletrônico, monitorar e registrar acesso eletrônico, conduzir e documentar avaliações anuais de vulnerabilidade e manter registros de acesso para conformidade com a norma CIP-005-1 compliance.
CIP-006-1Document the physical security plan, control physical access methods, monitor and log physical access, retain access logs, and maintain documentation for physical security measure testing for Standard	Documente o plano de segurança física, controle os métodos de acesso físico, monitore e registre o acesso físico, retenha registros de acesso e mantenha a documentação para testes de medidas de segurança física para conformidade com a norma CIP-006-1 compliance.
CIP-007-1Document security test procedures, record port and service management, maintain a security patch management program, document malware prevention efforts, manage user accounts, monitor security status, and handle disposal or redeployment of Cyber Assets for Standard	Documente procedimentos de teste de segurança, registre o gerenciamento de portas e serviços, mantenha um programa de gerenciamento de patches de segurança, documente os esforços de prevenção de malware, gerencie contas de usuário, monitore o status de segurança e lide com o descarte ou reimplantação de ativos cibernéticos para conformidade com o padrão CIP-007-1 compliance.
CIP-008-1Maintain a Cyber Security Incident response plan and document the plan's reviews, updates, and testing processes for Standard	Mantenha um plano de resposta a incidentes de segurança cibernética e documente as revisões, atualizações e processos de teste do plano para conformidade com o padrão CIP-008-1 compliance. Regular management of this plan is key to preparedness and effective response to cyber security incidents. O gerenciamento regular desse plano é fundamental para a preparação e a resposta eficaz a incidentes de segurança cibernética.
CIP-009-1Document recovery plans, record recovery exercises, update and document changes to recovery plans, document backup and storage processes, and test and document backup media for Standard	Planos de recuperação de documentos, exercícios de recuperação de registros, atualização e alterações de documentos em planos de recuperação, processos de backup e armazenamento de documentos e mídia de teste e backup de documentos para conformidade com o padrão CIP-009-1 compliance.

Native Security Support

The platform offers native features, advanced tools, and third-party integration support, which helps implement NERC-CIP security requirements.

NERC-CIP Standard Reference

Requirements

Native security support

Suporte de segurança nativo

A plataforma oferece recursos nativos, ferramentas avançadas e suporte à integração de terceiros, o que ajuda a implementar os requisitos de segurança NERC-CIP.

Referência padrão NERC-CIP	Requisitos	Suporte de segurança nativo
CIP-003 CIP-004 CIP-005 CIP-006 CIP-007	Access Control Access Electronic Access Controls Monitoring Electronic Access Account Management Security Status Monitoring	User Administration features; User rights are revocable by the Administrator or through Microsoft Active Directory; Internal control and assignment of permissions (Displays, Alarms, Scripts) Electronic Signatures Controle de acesso Acesso Controles de acesso eletrônico Monitoramento de acesso eletrônico Gerenciamento de contas Monitoramento de status de segurança	Recursos de administração de usuários; Os direitos do usuário são revogáveis pelo Administrador ou por meio do Microsoft Active Directory; Controle interno e atribuição de permissões (Displays, Alarmes, Scripts) Assinaturas Eletrônicas (E-Sign); Native features for solution management like Runtime Users and Policy Orchestrator. Integration with Recursos nativos para gerenciamento de soluções, como Usuários de Tempo de Execução e Orquestrador de Políticas. Integração com o Microsoft Active Directory If AD integration is disabled, the software platform provides: Strong Passwords; Password expiration control; Inactivity auto-logoff. Block/Unblock login after a sequence of wrong tries Se a integração do AD estiver desativada, a plataforma de software fornecerá: senhas fortes; Controle de expiração de senha; Logoff automático de inatividade. Bloquear/desbloquear login após uma sequência de tentativas erradas.
CIP-003 CIP-007	Electronic Security Perimeter Ports and Services	Port data paths configurable; Integration with third-party security systems Perímetro de Segurança Eletrônica Portos e Serviços	Caminhos de dados de porta configuráveis; Integração com sistemas de segurança de terceiros (IDS/ICS) regarding Intrusion Detection and Control Systemsem relação a Sistemas de Detecção e Controle de Intrusão.
CIP-003 CIP-005 CIP-006 CIP-007 CIP-008	Change Control and Configuration Management	Native Tracking and Event Monitoring; Native Audit Trail Database; Custom Log Entries; Native tool for versioning solutionControle de mudanças e gerenciamento de configuração	Rastreamento Nativo e Monitoramento de Eventos; Banco de Dados de Trilha de Auditoria Nativa; Entradas de log personalizadas; Ferramenta nativa para solução de controle de versão.
CIP-005 CIP-007 CIP-008	Alerts and Notifications	Send notifications using various methods, such as SMS, EmailAlertas e notificações	Envie notificações usando vários métodos, como SMS, e-mail, SNMP, WebServices , and other protocol messagese outras mensagens de protocolo.
CIP-009	Backup and Restoree restauração	Recurso Auto-Native feature for para Auto-Backup; Native support for Redundancy (hot–standbySuporte nativo para redundância (hot-standby).

Version	Old Version 1	New Version Current
Changes made by	Lango: Language and translation manager	Lango: Language and translation manager
Saved on	Nov 27, 2024	Nov 27, 2024

Versions Compared

Key

Referências de requisitos NERC-CIP

CIP-002-1:

Identificação de Ativos Cibernéticos Críticos

CIP-003-1:

Controles de gerenciamento de segurança

CIP-004-1:

Pessoal e Treinamento

CIP-005-1:

Perímetro de Segurança Eletrônica

CIP-006-1:

Segurança Física de Ativos Cibernéticos Críticos

CIP-007-1:

Gerenciamento de Segurança de Sistemas

CIP-008-1:

Relatórios de incidentes e planejamento de resposta

CIP-009-1:

Planos de recuperação para ativos cibernéticos críticos

NERC-CIP Measures References

Referências de medidas NERC-CIP

Native Security Support

Suporte de segurança nativo

Padrão NERC-CIP	Requisito	Descrição
CIP-002-1: Critical Cyber Asset Identification Requires identifying and documenting Critical Cyber Assets essential for the Bulk Electric System's operation.	R1. Critical Asset Identification Method	Develop and document a methodology based on risk assessment to identify Critical Assets.
	R2. Critical Asset Identification	Create and annually update a list of Critical Assets, derived using the risk assessment method from R1, with regular reviews and necessary updates.
	R3. Critical Cyber Asset Identification	Identificação de Ativos Cibernéticos Críticos Requer a identificação e documentação de ativos cibernéticos críticos essenciais para a operação do sistema elétrico em massa.	R1. Método de identificação de ativos críticos	Desenvolver e documentar uma metodologia baseada na avaliação de risco para identificar Ativos Críticos.
R2. Identificação de ativos críticos	Criar e atualizar anualmente uma lista de Ativos Críticos, derivados usando o método de avaliação de risco de R1, com revisões regulares e atualizações necessárias.
R3. Identificação de ativos cibernéticos críticos	Com base na lista de Ativos Críticos do R2, compile uma lista de Ativos Cibernéticos Críticos para o funcionamento de cada Ativo Crítico.
CIP-003-1: Security Management ControlsRequires Responsible Entities to implement security controls to protect Critical Cyber Assets Controles de gerenciamento de segurança Exige que as Entidades Responsáveis implementem controles de segurança para proteger Ativos Cibernéticos Críticos.	R1. Cyber Security PolicyCreate and enforce a cyber security policy that reflects the organization's commitment to securing Critical Cyber AssetsPolítica de segurança cibernética	Crie e aplique uma política de segurança cibernética que reflita o compromisso da organização em proteger ativos cibernéticos críticos.
	R2. LeadershipAppoint a senior manager to oversee and ensure compliance with Standards Liderança	Nomear um gerente sênior para supervisionar e garantir a conformidade com as Normas CIP-002 to a CIP-009.
	R3. ExceptionsRecord any deviations from the cyber security policy as exceptions, with authorization from a senior manager or their delegateExceções	Registre quaisquer desvios da política de segurança cibernética como exceções, com autorização de um gerente sênior ou de seu delegado.
	R4. Information ProtectionEstablish a program to identify, categorize, and safeguard information linked to Critical Cyber AssetsProteção de informações	Estabelecer um programa para identificar, categorizar e proteger informações vinculadas a Ativos Cibernéticos Críticos.
	R5. Access Control	Develop and implement a program to control access to information associated with Critical Cyber Assets.	R6. Change Control and Configuration Management	Set up and document a process for change control and configuration management, addressing all changes to hardware and software of Critical Cyber Assets, in line with the established change control proceduresControle de acesso	Desenvolver e implementar um programa de controlo de acesso à informação associada a Ativos Cibernéticos Críticos.
	R6. Controle de mudanças e gerenciamento de configuração	Configurar e documentar um processo de controle de mudanças e gerenciamento de configuração, abordando todas as alterações de hardware e software de Ativos Cibernéticos Críticos, de acordo com os procedimentos de controle de mudanças estabelecidos.
CIP-004-1: Personnel and TrainingRequires personnel with access to Critical Cyber Assets, including contractors, to undergo risk assessment, training, and security awareness Pessoal e Treinamento Exige que o pessoal com acesso a Ativos Cibernéticos Críticos, incluindo contratados, passe por avaliação de risco, treinamento e conscientização de segurança.	R1. AwarenessConsciênciaDevelop, document, and maintain a program to continually enhance the security awareness of personnel with authorized access to Critical Cyber Assets	Desenvolver, documentar e manter um programa para aprimorar continuamente a conscientização de segurança do pessoal com acesso autorizado a ativos cibernéticos críticos.
	R2. Training	Implement and document an annual training program on cyber security for staff with authorized access to Critical Cyber Assets, reviewing and updating it as needed.
	R3. Personnel Risk Assessment	Maintain a documented program to assess the risk posed by personnel with authorized access, in compliance with relevant legal and union agreements.
	R4. Access	Keep updated lists of individuals with authorized access to Critical Cyber Assets, including details of their specific electronic and physical access privilegesFormação	Implementar e documentar um programa anual de treinamento em segurança cibernética para funcionários com acesso autorizado a Ativos Cibernéticos Críticos, revisando-o e atualizando-o conforme necessário.
R3. Avaliação de Risco de Pessoal	Manter um programa documentado para avaliar o risco representado pelo pessoal com acesso autorizado, em conformidade com os acordos legais e sindicais relevantes.
R4. Acesso	Mantenha listas atualizadas de indivíduos com acesso autorizado a Ativos Cibernéticos Críticos, incluindo detalhes de seus privilégios específicos de acesso eletrônico e físico.
CIP-005-1: Electronic Security Perimeter Requires protecting Electronic Security Perimeters and their access points where Critical Cyber Assets are located.	R1. Electronic Security Perimeter	The Responsible Entity shall ensure that every Critical Cyber Asset resides within an Electronic Security Perimeter.
	R2. Electronic Access Controls	The Responsible Entity shall implement and document the organizational processes and technical and procedural mechanisms for control of electronic access at all electronic access points to the Electronic Security Perimeter(s).
	R3. Monitoring Electronic Access	The Responsible Entity shall implement and document an electronic or manual process(es) for monitoring and logging access at access points to the Electronic Security Perimeter(s) twenty-four hours a day, seven days a week.
	R4. Cyber Vulnerability Assessment	The Responsible Entity shall perform a cyber vulnerability assessment of the electronic access points to the Electronic Security Perimeter(s) at least annually.
	R5. Documentation Review and Maintenance	Perímetro de Segurança Eletrônica Requer a proteção de Perímetros de Segurança Eletrônica e seus pontos de acesso onde os Ativos Cibernéticos Críticos estão localizados.	R1. Perímetro de Segurança Eletrônica	A Entidade Responsável deve garantir que todos os Ativos Cibernéticos Críticos residam dentro de um Perímetro de Segurança Eletrônica.
R2. Controles de acesso eletrônico	A Entidade Responsável deve implementar e documentar os processos organizacionais e os mecanismos técnicos e processuais para o controlo do acesso eletrónico em todos os pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica.
R3. Monitoramento de acesso eletrônico	A Entidade Responsável deve implementar e documentar um processo eletrônico ou manual para monitorar e registrar o acesso nos pontos de acesso ao(s) Perímetro(s) de Segurança Eletrônica vinte e quatro horas por dia, sete dias por semana.
R4. Avaliação de vulnerabilidade cibernética	A Entidade Responsável deve realizar uma avaliação da cibervulnerabilidade dos pontos de acesso eletrónico ao(s) Perímetro(s) de Segurança Eletrónica pelo menos uma vez por ano.
R5. Revisão e manutenção da documentação	A Entidade Responsável deve revisar, atualizar e manter toda a documentação para apoiar a conformidade com os requisitos da Norma CIP-005.
CIP-006-1: Physical Security of Critical Cyber AssetsRequires establishing a physical security program for Critical Cyber Assets Segurança Física de Ativos Cibernéticos Críticos Requer o estabelecimento de um programa de segurança física para Ativos Cibernéticos Críticos.	R1. Physical Security Plan	Create and regularly update a physical security plan, ensuring senior management approval and addressing key security aspects.
	R2. Physical Access Controls	Document and enforce operational controls to manage physical access at every entry point to secure areas, ensuring 24/7 operation.
	R3. Monitoring Physical Access	Monitor all access points to secure areas round the clock, promptly reviewing and managing any unauthorized access attempts.
	R4. Logging Physical Access	Log every instance of physical access, including unauthorized attempts, and monitor them consistently, following specified breach protocols.
	R5. Access Log Retention	Retain all physical access logs for at least 90 days and preserve logs concerning major incidents as per Standard CIP-008 requirements.
	R6. Maintenance and Testing	Conduct regular maintenance and testing of all physical security systems, especially those related to access control, monitoring, and logging, to ensure their functionalityPlano de Segurança Física	Crie e atualize regularmente um plano de segurança física, garantindo a aprovação da alta administração e abordando os principais aspectos de segurança.
R2. Controles de acesso físico	Documente e aplique controles operacionais para gerenciar o acesso físico em todos os pontos de entrada para áreas seguras, garantindo operação 24 horas por dia, 7 dias por semana.
R3. Monitorando o acesso físico	Monitore todos os pontos de acesso para proteger áreas o tempo todo, revisando e gerenciando prontamente quaisquer tentativas de acesso não autorizado.
R4. Registrando o acesso físico	Registre todas as instâncias de acesso físico, incluindo tentativas não autorizadas, e monitore-as de forma consistente, seguindo os protocolos de violação especificados.
R5. Retenção de log de acesso	Guarde todos os registros de acesso físico por pelo menos 90 dias e preserve os registros relativos a incidentes graves de acordo com os requisitos do Padrão CIP-008.
R6. Manutenção e testes	Realize manutenção e testes regulares de todos os sistemas de segurança física, especialmente aqueles relacionados ao controle de acesso, monitoramento e registro, para garantir sua funcionalidade.
CIP-007-1: Systems Security ManagementRequires defining security procedures for Critical and non-critical Cyber Assets within Electronic Security Perimeters Gerenciamento de Segurança de Sistemas Requer a definição de procedimentos de segurança para Ativos Cibernéticos Críticos e não críticos dentro dos Perímetros de Segurança Eletrônica.	R1. Test Procedures	Ensure new and modified Cyber Assets within the Electronic Security Perimeter don't compromise existing cybersecurity controls.
	R2. Ports and Services	Develop and maintain a process to enable only essential ports and services for normal and emergency operations.
	R3. Security Patch Management	Establish a program for managing cybersecurity software patches, covering tracking, evaluating, testing, and installing patches for all Procedimentos de teste	Garanta que os ativos cibernéticos novos e modificados dentro do perímetro de segurança eletrônica não comprometam os controles de segurança cibernética existentes.
	R2. Portos e Serviços	Desenvolver e manter um processo para habilitar apenas portos e serviços essenciais para operações normais e de emergência.
	R3. Gerenciamento de patches de segurança	Estabeleça um programa para gerenciar patches de software de segurança cibernética, abrangendo rastreamento, avaliação, teste e instalação de patches para todos os Cyber Assets.
	R4. Malicious Software Prevention	Implement anti-virus and malware prevention tools to protect all Cyber Assets within the Electronic Security Perimeter, where possible.
	R5. Account Management	Set up technical and procedural controls for user access authentication and accountability, minimizing unauthorized access risks.
	R6. Security Status Monitoring	Utilize automated tools or organizational processes to monitor cybersecurity-related system events for all Cyber Assets.
	R7. Disposal or Redeployment	Define formal methods for the disposal or redeployment of Cyber Assets within the Electronic Security Perimeter, as per CIP-005 standards.
R8. Cyber Vulnerability Assessment	Conduct an annual cyber vulnerability assessment for all Cyber Assets within the Electronic Security Perimeter.
R9. Documentation Review and Maintenance	Regularly review and update cybersecurity documentation annually, documenting any system or control modifications within 90 daysPrevenção de software malicioso	Implemente ferramentas de prevenção de antivírus e malware para proteger todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, sempre que possível.
R5. Gerenciamento de contas	Configure controles técnicos e processuais para autenticação e responsabilidade de acesso do usuário, minimizando os riscos de acesso não autorizado.
R6. Monitoramento de status de segurança	Utilize ferramentas automatizadas ou processos organizacionais para monitorar eventos de sistema relacionados à segurança cibernética para todos os ativos cibernéticos.
R7. Eliminação ou redistribuição	Definir métodos formais para o descarte ou reimplantação de Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica, de acordo com os padrões CIP-005.
R8. Avaliação de vulnerabilidade cibernética	Realizar uma avaliação anual de vulnerabilidade cibernética para todos os Ativos Cibernéticos dentro do Perímetro de Segurança Eletrônica.
R9. Revisão e manutenção da documentação	Revise e atualize regularmente a documentação de segurança cibernética anualmente, documentando quaisquer modificações no sistema ou controle em até 90 dias.
CIP-008-1: Incident Reporting and Response Planning Requires managing Cyber Security Incidents involving Critical Cyber Assets, including identification, classification, response, and reporting.	R1. Cyber Security Incident Response Plan	Create and regularly update a plan to respond to cyber security incidents, ensuring it covers essential response strategies and procedures.	R2. Cyber Security Incident Documentation	Relatórios de incidentes e planejamento de resposta Requer o gerenciamento de incidentes de segurança cibernética envolvendo ativos cibernéticos críticos, incluindo identificação, classificação, resposta e relatórios.	R1. Plano de Resposta a Incidentes de Segurança Cibernética	Crie e atualize regularmente um plano para responder a incidentes de segurança cibernética, garantindo que ele cubra estratégias e procedimentos de resposta essenciais.
	R2. Documentação de incidentes de segurança cibernética	Mantenha registros detalhados de todos os incidentes de segurança cibernética por um período de três anos.
CIP-009-1: Recovery Plans for Critical Cyber AssetsRequires recovery plans for Critical Cyber Assets aligned with business continuity and disaster recovery practices Planos de recuperação para ativos cibernéticos críticos Requer planos de recuperação para ativos cibernéticos críticos alinhados com as práticas de continuidade de negócios e recuperação de desastres.	R1. Recovery Plans Develop and conduct annual reviews of recovery plans for Critical Cyber Assets, ensuring they address key recovery strategiesPlanos de recuperação	Desenvolver e conduzir revisões anuais de planos de recuperação de Ativos Cibernéticos Críticos, garantindo que eles atendam às principais estratégias de recuperação.
	R2. Exercises	Perform at least one exercise each year to test the recovery plans, ranging from simple drills to full operational tests or actual incident recoveries.
	R3. Change Control	Revise recovery plans to reflect any new changes or insights gained from exercises or actual incident recoveries, and communicate these updates to relevant personnel within 90 days.
	R4. Backup and Restore	Ensure recovery plans contain detailed processes for backing up and storing information critical for restoring Critical Cyber Assets, including spare parts, configuration settings, and tape backups.
	R5. Testing Backup Media	Annually test backup media containing essential recovery information to verify its availability and effectiveness, with the option to perform tests offsite.