ISO sichert Stromhandel

Transkript

1 ISO sichert Stromhandel TIWAG-Tiroler Wasserkraft AG mit Scoping über die gesamte Verwaltung Harald Oleschko, TIWAG-Tiroler Wasserkraft AG

2 Das Unternehmen TIWAG-Tiroler Wasserkraft AG Der Energieversorger Tirols wurde 1924 gegründet 100 % im Eigentum des Landes Tirol ca Kundenanlagen 9 große, ca. 40 kleine Wasserkraftwerke 3 Biomasse-Heizkraftwerke Projektvorschläge für den Ausbau der Wasserkraft ca Mitarbeiterinnen und Mitarbeiter Finanzen (Konzern) Umsatzerlöse ca. 1,3 Mrd. EGT ca. 100 Mio.

3 Tochtergesellschaften & Beteiligungen 8,251% München 6,00 % 7,283 % 0,32 % 36 % 49,999 % 40 % 9 % Bozen

4 Historie und Ausgangssituation 2011 Durchführung der Zertifizierung nach ISO/IEC Vorbereitung zur Zertifizierung nach ISO/IEC Schaffung einer eigenen Stabsstelle für IuK-Sicherheit und QS 2008 Einführung des webbasierten IT-Sicherheitsschulungstool 2007 Integration aller wertschöpfenden Prozesse in das IT-RM Pilotbetrieb des IT-Risikomanagementsystems mit TIWAG-Netz AG 2000 Einführung IuK-Grundschutz 1999 Ernennung IuK-Sicherheitsbeauftragten

5 Vorbereitungsphase ( ) Projektdurchlaufzeit 1,5 Jahre Beauftragung durch Vorstand Kickoff mit allen Projektmitarbeitern und Verantwortlichen aus den Fachbereichen (Einkauf, Personal, Gebäudemanagement, Sicherheit, Konzernrevision ) Das Projekt wurde durch einen externen Dienstleister begleitet Durchführung einer GAP-Analyse Was ist notwendig um die Zertifizierungsprüfung zu bestehen? Ableitung der Maßnahmen IS-Politik und IS-Richtlinien (rund 10 neue Richtlinien) Zusätzliche Prozesse und Dokumentationserfordernisse (KVP, Gremien, Ablage) Kosten, Aufwand Beratungsaufwand (GAP-Analyse und Umsetzung) Eigenleistungen ca. 500 Stunden

6 Motivation Steigende Anforderungen an Sicherheit und Compliance an die IuK-Systeme (Regelzone und Vitale Systeme der TIWAG-Netz AG, Stromhandel, SRL, URÄG 2008, KFS-DV1 und 2 (COBIT-Vorgabe) ) Entlastung des Vorstands und des CIOs Verankerung in der IT-Strategie Empfehlung des Rechnungsprüfers Langjährige Vorbereitung und Professionalisierung des IT-Risikomanagements seit 2005: Zertifizierung war logischer Schritt und Ansporn zu gleich

7 Scope - Geltungsbereich Entscheidung zwischen IT-only oder umfassenden Geltungsbereich Keine Pseudo -Zertifizierung Geltungsbereich umfasst: TIWAG-Tiroler Wasserkraft AG (Muttergesellschaft) am Standort Innsbruck (alle Verwaltungsbereiche) Von Vertrieb, Stromhandel, Kundencenter, Energiedatenmanagement bis Einkauf und Personalmangement 570 Mitarbeiter im Scope enthalten Davon 70 IT-Mitarbeiter Beide RZ-Standorte sind inkludiert

8 Nutzen im Fachbereich Stromvertrieb Sensible Kunden- und Vertragsdaten (insb. Sondervertragskunden) Hohe Verfügbarkeitsanforderungen Energiedatenmanagement Sensible Kundendaten Verbrauchsmuster Strenge Abrechnungsmodalitäten bei Sondervertragskunden Hohe Anforderung an Verfügbarkeit zum Abrechnungszeitpunkt Komplexe Systemkette Zählerfernablesung, Abrechnung, Rechnungslegung

9 Nutzen im Fachbereich Stromhandel Höchste Anforderung an die Verfügbarkeit der Systeme und Vertraulichkeit der Daten Höchstes Schadenspotential Ohne IuK-Systeme keine Handelstätigkeit (Intraday) Komplexe IuK-Systeme gewährleisten Sondergeschäfte wie Sekundärregelung und Minutenreserve (höchste Margen) Hohe Verfügbarkeit für Prequalifikation zur Durchführung der Handelsgeschäfte wichtig Optimierter Einsatz des Kraftwerkparks durch Software Finanz- und Beteiligungsmanagement Hohe Anforderung an Vertraulichkeit Eigenes IT-System für den Datenaustausch

10 Zentraler Einkauf Hohe Anforderung an Vertraulichkeit (Dienstleister prüfen) Abschluß von Vertraulichkeitserklärungen Starke Steigerung des Fremdleistungsanteils in den Fachbereichen (Outtasking) 100 % elektronische Geschäftsabwicklung Personalmanagement Hohe Vertraulichkeit der Personaldaten Datenaustausch mit Pensionskassen Verpflichtung der Mitarbeiter gem. DSG Eintritts-, Austritts-, Veränderungsprozess Technisches Gebäudemanagement Objektschutz (Zutritt, Videoüberwachung, Perimeterschutz)

11 Nutzen Allgemein Entlastung des Vorstands und des CIOs Besserer Kontakt zu den Fachbereichen/Kunden steigert die Sensibilisierung Transparenz der Anforderungen und Umsetzung mit den Fachbereichen/Kunden Nachweis eines ordnungsgemäßen IS-Managementsystems Positiver Druck zur kontinuierliche Verbesserung aus den Auflagen und Hinweisen Bearbeitung und Lösung auch ungeliebter Themen (Richtlinien, Dokumentation, Schnittstellen zu Fachbereichen) Aufbau des IT-Notfallmanagements IT-Notfallplan auch Nutzen für Betriebsführung, Qualitätsverbesserung und Teambuilding Entlastung bei der jährlichen Rechnungsprüfung

12 Ende Ich bedanke mich für Ihre Aufmerksamkeit