Versorgungssicherheit und EnWG-Compliance



Ähnliche Dokumente
27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Learning Credit Points

Änderungen ISO 27001: 2013

IT-Sicherheit in der Energiewirtschaft

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

GPP Projekte gemeinsam zum Erfolg führen

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Übungsbeispiele für die mündliche Prüfung

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Managementbewertung Managementbewertung

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Dieter Brunner ISO in der betrieblichen Praxis

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Prozessoptimierung. und. Prozessmanagement

Informationssicherheit als Outsourcing Kandidat


Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

ITIL & IT-Sicherheit. Michael Storz CN8

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Checkliste zur qualitativen Nutzenbewertung

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Mitarbeiterbefragung als PE- und OE-Instrument

IT-Revision als Chance für das IT- Management

BCM Schnellcheck. Referent Jürgen Vischer

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

Wir organisieren Ihre Sicherheit

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

Sprache ändern. Um die Sprache zu ändern, in der Ihnen die Bedienoberfläche angezeigt wird:

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Vorgelegt durch. den Gleichbehandlungsbeauftragten. für die. Stadtwerkeverbund Hellweg-Lippe Netz GmbH & Co. KG. Stadtwerke Hamm GmbH

Avira Server Security Produktupdates. Best Practice

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO

Informationssicherheitsmanagement

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Der Schutz von Patientendaten

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Einführung in das Energiemanagement nach DIN ISO und das Energieaudit nach EN 16247

Einführung eines ISMS nach ISO 27001:2013

Code of Conduct (CoC)

ISMS Teil 3 Der Startschuss

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Content Management System mit INTREXX 2002.

Skills-Management Investieren in Kompetenz

Energieaudit oder Energiemanagementsystem? Eine Entscheidungshilfe

Ablauf einer Managementzertifizierung

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Maintenance & Re-Zertifizierung

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten

Erfolgreiche Webseiten: Zur Notwendigkeit die eigene(n) Zielgruppe(n) zu kennen und zu verstehen!

POCKET POWER. Projektmanagement. 3. Auflage

Management von Beschwerden und Einsprüchen

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

WSO de. <work-system-organisation im Internet> Allgemeine Information

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Mitteilung zur Kenntnisnahme

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

MESONIC WINLine Jahreswechsel. Umstellung des Wirtschaftsjahres SMC IT AG

Bericht. über die Maßnahmen des Gleichbehandlungsprogramms der AggerEnergie GmbH im Jahre 2014

Software-Entwicklungsprozesse zertifizieren

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

GS-Programme 2015 Allgemeines Zentralupdate

Mobile Intranet in Unternehmen

Qualitätsmanagement nach DIN EN ISO 9000ff

Risikobasierte Bewertung von Hilfsstoffen

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe Klaus Dolch

Governance, Risk & Compliance für den Mittelstand

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

TÜV NORD Akademie Personenzertifizierung. Informationen zur Zertifizierung von Qualitätsfachpersonal

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Transkript:

Versorgungssicherheit und EnWG-Compliance Dem Schwarzfall vorbeugen, mit einem Management (ISMS) für sichere Steuerungs- und Kommunikationsprozesse gemäß ISO/IEC 27001

Es muss nicht gleich der Schwarzfall sein In Kürze ist mit der Inkraftsetzung des IT-Sicherheitskatalogs durch die Bundesnetz-Agentur (BNetzA) zu rechnen. Damit kommen auf die Energieversorger neue Verpflichtungen zu. Dies betrifft insbesondere die Netzsteuerung für Strom- und Gasnetze. Der Weg zur EnWG- Compliance ( 11 Abs. 1a) Netzsteuerungen unterliegen heute einer starken Abhängigkeit von Telekommunikationsund IT-gestützten Diensten und so auch den damit verbundenen Risiken. Aufgrund der möglichen kritischen Auswirkungen bei länger anhaltenden Ausfällen, kommt der Energieversorgung eine hohe Bedeutung zu. Hinsichtlich dieser Risiken hat der Gesetzgeber im 11 Abs. 1a des EnWG einen angemessenen Schutz vor Bedrohungen der Netzsteuerung verbindlich vorgegeben (EnWG Novelle aus 2011). In dem IT-Sicherheitskatalog der BNetzA werden die Schutzanforderungen bezüglich angemessenem Schutz präzisiert. Diesen müssen die für die Netzführung relevanten Telekommunikations- und IT-gestützten Dienste zukünftig entsprechen. Kernpunkt der Anforderungen ist der zukünftige Nachweis (ab 2017) eines funktionierenden ISMS (Informationssicherheitsmanagementsystems) gemäß ISO/IEC 27001 (unter Berücksichtigung von ISO/IEC 27002 und ISO/IEC TR 27019, siehe Erläuterung S.3). Netzbetreibern wird daher dringend empfohlen, mit der Implementierung eines ISMS gemäß ISO/IEC 27001:2013 zeitnah zu beginnen. Traditionell wurden Steuerungsnetze von den Büronetzen getrennt. Mit dem Einzug von IP-Protokollen und IT-Systemen hat sich diese Lage jedoch grundsätzlich geändert. Beispielweise wurden in den letzten Jahren zunehmend Cyber-Angriffe aus dem Internet festgestellt, die Netzsteuerungen von Versorgungsnetzen angreifen - hierzu gibt es internationale Beispiele, ebenso aus Deutschland oder von unseren europäischen Nachbarn. Das muss nicht immer gleich zum Schwarzfall führen, kann aber beträchtliche Störungen oder Risiken nach sich ziehen, wie z. B. die sukzessive Ausspähung des Netzbetriebs. Erneuerbare Energien ISMS Ziel Der Wandel zu erneuerbaren Energiequellen und der damit einhergehenden Lastdynamik in Stromnetzen, lässt die traditionell konzipierten physikalischen Sicherheitsreserven schwinden. Ziel einer ISMS-Umsetzung ist es, die kritischen Einrichtungen und Verfahren zur Netzsteuerung gegen die Risiken hinsichtlich der Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu schützen. 2

Unify verfügt über langjährige Erfahrungen aus zahlreichen Projekten zur Einführung eines ISMS und dessen Zertifizierung. Dazu zählen auch die jeweils geeigneten Methoden und Vorgehensweisen. Die Umsetzung von sicheren Kommunikationsprozessen gehört für Unify zum täglichen Geschäft ISMS Handlungsfelder und Mehrwerte Mit der Einführung eines ISMS geht auch die Umsetzung der notwendigen Verwaltungsund Kontrollprozesse einher sowie der entsprechenden Security-Prozesse, wie z. B. Change-Management, Meldewesen, geordnete Reaktionen auf Vorfälle, vorbeugende und korrigierende Maßnahmen oder Prüfung der Policy- und Compliance-Umsetzung. Der internationale Standard ISO/IEC 27001:2013 inkludiert in seinem Annex A auch den Standard ISO/IEC 27002:2013 Code of Practice für Maßnahmen zur Informationssicherheit. Auf Basis des ISO/IEC 27001:2013 sind die regulativen und vertraglichen Vorgaben, z. B. der BNetzA, verbindlich umzusetzen, daher ist auch die Anwendung des ISO/IEC TR 27019:2013 1 (vormals DIN SPEC 27009:2012) für die Betreiber verpflichtend. Zur Erreichung der Standard-Compliance gemäß ISO/IEC 27001, ist die aktive Mitwirkung der Unternehmens-/ Bereichsleitung hinsichtlich der Unterstützung, Ressourcenbereitstellung und der regelmäßigen Überwachung des ISMS (Reviews) notwendig. Hierzu gehört auch Festlegung der verantwortlichen Rollen und die Übergabe des Mandats an einen Beauftragten für das ISMS (z. B. Information Security Officer oder Risiko- Manager) sowie die formale Genehmigung und organisatorische Unterstützung zur Einführung und den Betrieb des ISMS. Organisatorische Anforderungen ISMS-Mandat 1 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry (en) 3

Zertifiziert wird nach ISO/IEC 27001 Anwendung der relevanten ISO/IEC Standards Eine Zertifizierung erfolgt gegenüber dem Standard ISO/IEC 27001. Bei der Prüfung werden die Standards ISO/IEC 27002 und ISO/IEC TR 270192 2 einbezogen.standard Kontrollziele der Standards ISO/IEC 27002 und ISO/IEC TR 27019 ISMS-Planung Projektfahrplan Eine effiziente Umsetzung des Standards zur Erreichung der Compliance bzw. der entsprechenden Zertifizierung, setzt eine sorgsame und zeitgerechte Planung sowie den jeweils geeigneten Methodeneinsatz voraus. Organisatorische Voraussetzungen vor der Einführung des ISMS: Rollen und Management-Auftrag Projektschritte Benennung der verantwortlichen Rollen zur Informationssicherheit und des ISMS Erteilen der Genehmigung und bereitstellen der Ressourcen zur ISMS-Einführung Benennung der regelmäßigen Teilnehmer des ISMS-Forums Die wesentlichen Projektschritte bis zur Compliance-Erreichung/Zertifizierung: Kick-off-Veranstaltung, Information und Feedback mit den Beteiligten und Stakeholdern; Scope-Festlegung - Anwendungsbereich des ISMS unter Berücksichtigung von Abhängigkeiten interner und externer Services/Lieferungen; Gap-Analyse (Bestandsaufnahme) Stand der Informationssicherheit innerhalb des Scopes und Feststellen der Abweichungen zum Standard; Handlungsbedarf auf Basis der Ergebnisse aus der Gap-Analyse festlegen; Risikobewertung u. a. auf Basis der Gap-Analyse (inkl. notwendiger Risikoverfahren); Erstellung eines priorisierten Risikobehandlungsplans; (nach Risiken, Zeitaufwand und Fristen); Security Improvement Programme SIP (Maßnahmenumsetzung) des Risikobehandlungsplans im Rahmen des Security Improvement Programms; 2 Bei der Umsetzung im Bereich der Prozesssteuerung (ISO/IEC TR 27019) arbeiten wir mit qualifizierten und erfahrenen Partnern im Bereich der Netzsteuerungen zusammen. 4

Erstellung eines Statement of Applicability - SoA (Erklärung der Anwendung von Maßnahmen) als Audit-Referenz; Internes Audit zur Feststellung des Compliance-Grades (n. ISO 27001 und ff); Optional: externe 3rd-Party Audit Bestellung, zwecks formaler Zertifizierung. Bei der Umsetzung des Security Improvement Programms (SIP) fallen u.a. die folgenden Aufgaben an, die wir bei unseren Projektplanungen berücksichtigen: Einrichten eines ISMS-Forums; Verwaltung der Geschäftsanforderungen und Security-Richtlinien (Policy); Ausbildung und Bewusstseinsbildung zur Informationssicherheit; Management der dokumentierten Informationen; Abgleich bzw. Erstellen von Risikomanagementprozessen, der Risikokriterien und Verfahren zum Risiko-Reporting; Festlegung und Pflege der Informationssicherheitsziele; Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities; Überwachung der ISMS-Prozesse und des Dokumentenmanagements; Feststellung der ISMS-Wirksamkeit (Überwachung und interne Audits); Management-Review (durch das Senior-Management/Geschäftsleitung); Prozess zur nachhaltigen Verbesserung. Verbesserungsprogramm und ISMS Aufgaben Ggf. gemäß Entwurf zum IT-Sicherheitsgesetz auch der Meldeweg zum SPOC. ISMS Forum Im Rahmen regelmäßiger Sitzungen des ISMS-Forums wird die Umsetzung der ISMS- und Security-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Kick-Off Veranstaltung Informationen zum Projekt sind nicht zuletzt wegen der Akzeptanz der Beteiligten essentiell. Daher wird in dem ersten Schritt das Projekt den Beteiligten und den Stakeholdern (Anspruchsgruppen) vorgestellt. Die dabei erhaltenen Rückmeldungen werden aufgenommen und im weiteren Projektverlauf berücksichtigt. Bei dieser Gelegenheit werden auch die für die organisatorischen und funktionalen Anforderungen zuständigen Kontaktpersonen ausgewählt bzw. bestätigt. Projektstart und Informationsautausch Scope-Festlegung Hinsichtlich der Anwendungsebene werden zunächst die Grenzen und die zu erbringenden Leistungen/Services beschrieben, einschließlich der möglichen Übergänge zu Dritten. Die damit einhergehenden potenziellen Auswirkungen und Risiken werden im Nachgang innerhalb des Risikomanagements mit den relevanten Stakeholdern behandelt. 5

Anwendungsebene Foto: Ralf Julke Leitwarte Es ist eine Vorgabe aus dem IT-Sicherheitskatalog der BNetzA, dass die kritischen Prozesse und Komponenten zur Netzsteuerung im Scope erfasst werden. Dabei sind auch die möglichen Auswirkungen auf Dritte zu berücksichtigen. Funktionale- / Logische Ebene Auf der funktional-logischen Ebene werden die operativen Verfahren und die technischen Komponenten mit ihren wesentlichen Eigenschaften entsprechend dem Scope eingegrenzt und dokumentiert. Beispiel eines skizzierten Scopes:. Alle zur Bereitstellung einer funktionstüchtigen Netzsteuerung erforderlichen Ressourcen und Dienste werden ebenfalls dokumentiert. Hierzu gehören auch die internen und externen Dienste, die von anderen (außerhalb des Scopes) erbracht werden und von denen die eigene Service-Bereitstellung abhängig ist, einschließlich der zugehörigen SLAs/OLAs (Service-/ Operation-Level-Agreements). Abgrenzung des Scopes Für einen effizienten Projektfortschritt empfehlen wir dringend, den Scope zunächst auf die notwendigen kritischen Prozesse und Komponenten zu begrenzen, wobei die Prozessdurchgängigkeit und Nachvollziehbarkeit sichergestellt werden. Unter Anwendung von SLAs bzw. OLAs für ausgelagerte Standarddienste kann der Scope auf das tatsächlich Notwendige reduziert werden. 6

Gap-Analyse Mit der Gap-Analyse wird innerhalb des definierten Scopes festgestellt, inwieweit der aktuelle Stand der Informationssicherheit den Anforderungen der Standards ISO/IEC 27001 und ff. entspricht. Oder mit anderen Worten, welche Lücken hinsichtlich der Standarderfüllung noch zu schließen sind. Dazu werden alle relevanten Komponenten und Verfahren innerhalb des definierten Scopes einer Prüfung unterzogen. Die Bewertung erfolgt auf Basis von Prozessprüfungen, Dokumentensichtung und moderierten Interviews. Zur objektiven Bewertung wird innerhalb der Interviews auf repräsentative Fragenkataloge zurückgegriffen. Eine effiziente Erfassung und zeitnahe Präsentation der ersten Ergebnisse (Findings) wird unter Anwendung unseres Unify Gap- Analyse-Tools umgesetzt. Zu jedem der angesprochenen Punkte (Controls) wird eine Bewertung vorgenommen. Diese Bewertungen werden Findings genannt. Die Beantwortung der Fragen ist dabei nur eine der verschiedenen o. g. Bewertungskriterien. Im Zuge der Gap-Analyse wird auch überprüft, welche unabhängigen Systembewertungen (System-Audits) bereits vorgenommen worden sind oder ob hier Nachholbedarf besteht. Diese Informationen fließen ebenfalls in das Ergebnis der Gap-Analyse ein. Das Unify Gap-Analyse-Tool unterstützt zur Bewertung die gängigen ISO-Standards im IT- Umfeld. Eine Summierung der Ergebnisse kann wahlweise als Spider-Ergebnisdarstellung auf der Hauptkapitelebene oder als Scorecards auf der Haupt- und Unterkapitelebene vorgenommen werden. Spider-Darstellung der Ergebnisse aus der Gap-Analyse: Gap-Analyse als Bestandsaufnahme Findings Ergebnisse als Scorecard- oder Spider-Darstellung Beispiel Spider- Darstellung Beispiel ISO(IEC 27001 -Mit der Spider-Darstellung 3 sind die Haupthandlungsfelder schnell identifizierbar. 3 Die hier gewählte Darstellung kann, entsprechend der Konfiguration, von der des Unify-Tools abweichen. 7

Informationsbasis für die Folgeprojektschritte Die Gap-Analyse Ergebnisse (Detailinformationen aus den Findings) werden als Basisinformationen für die Folgeschritte bereitgestellt, z. B. für die: Risikobewertung (als eine wesentliche Informationsquelle) Erstellung des Risikobehandlungsplans Vorlage zum SoA (Statement of Applicability) Risikobewertung Spektrum der Risikoerfassung Die Findings aus der Gap-Analyse sind insbesondere für die Risikobewertung eine wesentliche Informationsquelle. Nach Möglichkeit werden für das Risikomanagement die Verfahren und Kriterien des unternehmensweiten Risikomanagements übernommen. Falls dies nicht möglich ist, werden diese entsprechend den Standard- Anforderungen neu festgelegt und mit der Geschäftsführung abgestimmt (formale Genehmigung). Neben den Findings aus der Gap-Analyse, werden im Rahmen des Risikomanagements noch weitere Eingangsquellen berücksichtigt, beispielsweise Risiken aus Sicherheitsvorfällen (Incidents), aus anderen Audits oder aus der Beobachtung des Betriebs. Entscheidend für den Standard ISO/IEC 27001 ist, dass die jeweiligen Risikobewertungen nachvollziehbar und reproduzierbar sind. Grundlage zur Risikobewertung sind die Auswirkungen auf den Betrieb (Impact ) und die Eintrittswahrscheinlichkeit von Bedrohungen (Likelihood) 4, sie bilden entsprechend dem ausgewählten Berechnungs-Algorithmus das Risikomaß (Level of Risk). Trenderkennung Bei niedriger Eintrittswahrscheinlichkeit und hohen Auswirkungen ist ggfs. hinsichtlich des Risikomaßes Vorsicht geboten, um Fehleinschätzungen durch Varianzen der Wahrscheinlichkeit vorzubeugen. Zur Trenderkennung präferieren wir die Anwendung von Risikofrühindikatoren, bei deren Auswahl bringen wir gerne unsere Erfahrungen ein. 4 Vergleichbar mit dem Schutzbedarf des Grundschutzkataloges (BSI-Bund) 8

Es werden Risikoakzeptanzkriterien für das Risikomaß festgelegt, nach denen entschieden wird, ob die Risiken akzeptabel sind oder nicht, dementsprechend erfolgt die weitere Risikobehandlung. Hinsichtlich der Risikobehandlung wird die Auswahl von verschiedenen Risikobehandlungsoptionen dokumentiert. Die Ergebnisse der jeweiligen Risikobewertung und der Behandlungsoption werden in einem Risikobericht eingetragen. Dort wird auch das Risikomaß des Restrisikos nach der vorgesehenen Risikobehandlung dokumentiert. Der Risikobericht wird kontinuierlich aktualisiert und überprüft. Dabei werden alle Sicherheitsvorfälle (Information Security Incidents), Findings aus Audits oder Feststellungen zur Informationssicherheit aus dem Betrieb berücksichtigt. Für regelmäßig wiederkehrende Risikobewertungen mit Ableitung von Folgemaßnahmen ist es zweckdienlich und effizienzfördernd, ein passendes ISMS-Tool einzusetzen. Am Markt gibt es eine Vielzahl von ISMS-Tools. Wir unterstützen bei der Auswahl eines geeigneten Tools sowie bei dessen Einsatzgestaltung. Risikoakzeptanz Behandlungsoptionen Risikobericht Risikobehandlungsplan Alle Risiken, die für die Risikominimierung (via Gegenmaßnahmen) vorgesehen sind, werden in einem priorisiertem Risikobehandlungsplan (Maßnahmenplan) geführt. Zu jedem Risiko wird jeweils die personelle Zuständigkeit (risk-owner) und für die Risikobehandlung ein Zieltermin (due-date) festgelegt. Die Umsetzung der Risikobehandlung wird kontinuierlich überwacht und Besonderheiten werden berichtet, z. B. an das ISMS-Forum. Die Prioritäten der jeweiligen Maßnahmen richten sich nicht nur nach den aktuellen Risiken, sondern auch nach den Fertigstellungsfristen und Umsetzungsdauer der Maßnahmen. Ferner sind die Nachweispflichten zu berücksichtigen, mit welchen eine Verbesserung des ISMS belegt werden kann. Maßnahmenplan Security-Improvement-Programme - SIP Die Umsetzung des Maßnahmenplans stellt nur einen Teil des Security-Improvement- Programms (SIP) dar. Wichtig sind die frühzeitige Einführung und Umsetzung der operativen ISMS-Prozesse, da nur mit diesen die Verbesserung eines ISMS erreicht und nachgewiesen werden kann. Hierzu zählen: Einrichten eines ISMS-Forums Ggfs. auch der Meldeweg zum SPOC gemäß Entwurf zum IT-Sicherheitsgesetz. Verwaltung von Geschäftsanforderungen und Richtlinien (Policy) Ausbildung und Bewusstseinsbildungsprozess Managementprozess zu dokumentierten Informationen Risikomanagementprozesse und Risiko-Reporting Festlegung und Pflege der Informationssicherheitsziele Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities Überwachung der ISMS-Prozesse und des Dokumentenmanagements Feststellung der ISMS-Wirksamkeit (Überwachung und int. Audits) Management-Review (durch das Senior-Management/Geschäftsleitung) Prozess zur nachhaltigen Verbesserung 9

ISMS-Forum Aufgaben des ISMS Forums Das ISMS-Forum hat u. a. die Aufgabe einer zeitnahen Überwachung der ISMS-Prozesse und der zugehörigen Informationssicherheit. Es setzt sich aus dem Beauftragten für das ISMS und den ISMS-Beteiligten zusammen und berücksichtigt die Geschäfts-/Stakeholder- Anforderungen. Es ist die erste Instanz für übergreifende Entscheidungen. In den regelmäßigen Sitzungen des ISMS-Forums wird die Funktion der ISMS-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Die zusammengefassten Ergebnisse werden regelmäßig der Geschäftsleitung berichtet. Statement of Applicability - SoA SoA (Statement of Applicability) Im Statement of Applicability SoA werden die Informationssicherheitsziele in Verbindung mit der Umsetzung der einzelnen Maßnahmen (Controls) beschrieben. Dieses Dokument dient als Referenz für die nachfolgenden Audits. Die tatsächlichen Sachverhalte sind zu dokumentieren (IST-Zustände). Ziele, die aus dem Audit nicht bestätigt werden können, führen im Audit-Ergebnis zu einem Gap oder einer Non Conformity. In dem SoA werden grundsätzlich alle Kontrollziele des Annex A (ISO/IEC 27002) und des ISO/IEC TR 27019 berücksichtigt. Für den Fall, dass einzelne Kontrollziele abgewählt werden, ist dies plausibel zu erläutern. Das SoA ist insbesondere vor Audits aktuell zu pflegen. Die wesentlichen Dokumente, wie Risiko-Bericht, Risikobehandlungsplan, Maßnahmenplan und SoA, werden von guten ISMS-Tools unterstützt. Internes Audit 1st Party Audit Das interne Audit dient einerseits zur Selbstkontrolle, welchen Compliance-Grad das ISMS erreicht hat, ist aber andererseits eine Grundvoraussetzung für ein formales Zertifizierungsaudit. Das interne Audit wird ähnlich der Gap-Analyse durchgeführt, jedoch vergleicht es die Umsetzung entsprechend dem SoA und prüft gleichzeitig, ob die Bedingungen für die ISO/IEC 27001 Compliance erreicht werden. So werden neben den vorgenannten Kontrollzielen u. a. auch die ISMS-Prozesse oder Entscheidungen und ihre Dokumentation auf ihre Nachvollziehbarkeit überprüft. Interne Audits sollen regelmäßig und vollumfänglich durchgeführt werden, um Compliance-Lücken zu vermeiden, bzw. zu erkennen. Ein ISMS-Tool kann dabei auch die Arbeit des Auditors für nachgelagerte Audits erheblich unterstützen. Anmerkung: In einem frisch aufgesetzten ISMS-Projekt sind einige Abläufe oder deren fristgemäße Umsetzung nicht von vornherein ersichtlich. So kann beispielsweise die termingerechte Bereitstellung (zum Audit-Termin) wichtiger Nachweise fehlen. Für derartige Projekte können Erfahrungen aus anderen ISMS-Projekten hinsichtlich der Planung helfen. 10

Externe 3rd-Party Audit Bestellung Wenn die Entscheidung für eine formale externe Zertifizierung gefallen ist, dann sollten sehr zeitnah die Art der Zertifizierung festgelegt und die Maßnahmen zur Zertifizierungsvorbereitung eingeleitet werden. Zweckmäßigerweise werden diese Maßnahmen schon während der Projektlaufzeit berücksichtigt. Formale Zertifizierung Im Gegensatz zu einem internen Audit werden im externen Audit nur Stichproben genommen. Je nach Unternehmensstruktur kommen ggfs. verschiedene Zertifizierungsarten in Betracht. Ob beispielsweise eine Standardzertifizierung auf Basis ISO/IEC 27001 oder eine Gemeinschaftszertifizierung über gleichartig strukturierte und vertraglich verbundene Unternehmen hinweg infrage kommen, ist projektspezifisch mit der Zertifizierungsinstanz zu vereinbaren. Entsprechend dem ausgewählten Scope, wird eine geeignete Zertifizierungsform unter Berücksichtigung der damit verbundenen Aufwände sowie der jeweiligen Vor- und Nachteile ausgewählt. Auf Basis der langjährigen Erfahrungen mit dem Zertifizierungsprozess kann Unify die Kundenangelegenheiten zu diesem Prozess zielgerichtet unterstützen. Eines ist aber sicher: Mit der Zertifizierung alleine ist man noch nicht am Ziel. Nach der Zertifizierung ist vor der Zertifizierung, bzw. richtiger, nach dem Audit ist vor dem Audit. Hier besteht ein sich ständig wiederholender Prozess. Gemäß dem Standard ISO/IEC 27001 fallen nach erfolgreichem Durchlauf des Zertifizierungsaudits jährliche Überwachungsaudits und alle drei Jahre die Wiederholung des Zertifizierungsaudits an. 11

Über Unify Unify ist ein weltweit führendes Unternehmen für Kommunikationssoftware und -services, das annähernd 75 Prozent der Global 500 -Unternehmen mit seinen integrierten Kommunikationslösungen beliefert. Unsere Lösungen vereinen unterschiedliche Netzwerke, Geräte und Applikationen auf einer einzigen, einfach bedienbaren Plattform, die Teams einen umfassenden und effizienten Austausch ermöglicht. Damit verändert sich die Art und Weise, wie Unternehmen kommunizieren und zusammenarbeiten, nachhaltig die Teamleistung wird verstärkt, das Geschäft belebt und die Business- Performance erheblich verbessert. Unify verfügt über eine lange Tradition aus verlässlichen Produkten, Innovationen, offenen Standards und Sicherheit. Unify.com Copyright Unify GmbH & Co. KG 2014 Hofmannstr. 51, D-81379 München Alle Rechte vorbehalten. Die Informationen in diesem Dokument enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, die je nach Anwendungsfall nicht immer in der beschriebenen Form zutreffen oder sich durch Weiterentwicklung der Produkte ändern können. Eine Verpflichtung, die jeweiligen Merkmale zu gewährleisten besteht nur, sofern diese ausdrücklich vertraglich zugesichert wurden. Liefermöglichkeiten und technische Änderungen vorbehalten. 12 Unify, OpenScape, OpenStage und HiPath sind eingetragene Marken der Unify GmbH & Co. KG. Alle anderen Marken-, Produkt- und Servicenamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Inhaber.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback