Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern



Ähnliche Dokumente
Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern

GPP Projekte gemeinsam zum Erfolg führen

Informationssicherheit als Outsourcing Kandidat

Die integrierte Zeiterfassung. Das innovative Softwarekonzept


Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

DER SELBST-CHECK FÜR IHR PROJEKT

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Der Schutz von Patientendaten

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Manuel Schmalz. Abteilungsleiter Vertragsmanagement. Düsseldorf,

Informationssicherheitsmanagement

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Elternzeit Was ist das?

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Privatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Nicht über uns ohne uns

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Prozessoptimierung. und. Prozessmanagement

Maintenance & Re-Zertifizierung

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Nr. 12-1/Dezember 2005-Januar A 12041

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

IT-Sicherheit in der Energiewirtschaft

Moderne Behandlung des Grauen Stars

Projektmanagement in der Spieleentwicklung

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Effizientes Risikomanagement für den Mittelstand

Was meinen die Leute eigentlich mit: Grexit?

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Content Management System mit INTREXX 2002.

Produktinformation ekvdialog Kostenvoranschläge leicht gemacht. Produktinformation. ekvdialog. Kostenvoranschläge leicht gemacht

Das Leitbild vom Verein WIR

Wie funktioniert ein Mieterhöhungsverlangen?

Passgenau schulen Bedarfsanalyse

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

Project ManageMent PM FIreFIgHterS UnD PMFX consulting SteLLen SIcH Vor

Ein Betriebsrat. In jedem Fall eine gute Wahl.

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Traditionelle Suchmaschinenoptimierung (SEO)

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Lehrgang zur Kaufmann/-frau für Büromanagement

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Professionelle Seminare im Bereich MS-Office

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Partnerportal Installateure Registrierung

Software-Entwicklungsprozesse zertifizieren

Wir organisieren Ihre Sicherheit

D i e n s t e D r i t t e r a u f We b s i t e s

Die Gesellschaftsformen

1. Einführung. 2. Weitere Konten anlegen

Nutzung dieser Internetseite

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Code of Conduct (CoC)

Leitbild. für Jedermensch in leicht verständlicher Sprache

Einkaufsführer Hausverwaltung Was Sie bei Suche und Auswahl Ihres passenden Verwalters beachten sollten

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

SCHULUNG MIT SYSTEM: E-LEARNING VON RAUM21

ratgeber Urlaub - Dein gutes Recht

Was ist clevere Altersvorsorge?

Deutschland-Check Nr. 35

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

DAS GRÜNE REZEPT. Für eine sichere Medikation mit rezeptfreien Arzneimitteln

itestra Software Tuning Mehr Leistung. Weniger Kosten. Software Productivity

Private Senioren- Unfallversicherung

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Konzentration auf das. Wesentliche.

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

Kommunikations-Management

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Dieter Brunner ISO in der betrieblichen Praxis

Einen Wiederherstellungspunktes erstellen & Rechner mit Hilfe eines Wiederherstellungspunktes zu einem früheren Zeitpunkt wieder herstellen

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

Dienstleistungen für Privatkunden rund ums Recht. Europas Nr. 1 im Rechtsschutz.

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Online Newsletter III

VfW-Sachverständigenordnung

ANTES International Assessment. Erfolg ist kein Zufall

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Newsletter: Februar 2016

Häufig gestellte Fragen zur Initiative Sportverein 2020

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Transkript:

Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Wie ein effizientes Projektmanagement den Kosten- und Ressourcenaufwand gering halten kann.

Executive Summary Das IT-Sicherheitsgesetz und die in diesem Zusammenhang entstehenden Sicherheitskataloge der Bundesnetzagentur stellen an die deutschen Energieversorgungsunternehmen eine Vielzahl an Anforderungen. Die Unternehmen müssen Melde- und Kontrollpflichten einhalten, umfassend ihren Schutzbedarf ermitteln, einen Sicherheitsbeauftragten benennen und vor allem ein Informationssicherheits-Management-System (ISMS) einführen. Allein die einmaligen Projektkosten für die Implementierung eines ISMS belaufen sich auf geschätzt mindestens 500.000 Euro. Daraus ergeben sich für den Energiesektor Gesamtkosten, die wahrscheinlich im dreistelligen Millionenbereich liegen. Die entstehenden laufenden Kosten z.b. durch die erweiterten Meldepflichten und den Betrieb des ISMS sind dabei noch nicht berücksichtigt. Für die Branche bedeutet dies einen weiteren wesentlichen Kostenblock neben den Herausforderungen der Energiewende. Umso entscheidender ist es für Energieversorger, die ISMS Einführung effizient zu gestalten. Aus der Erfahrung der Bundesdruckerei Consulting empfehlen wir, sich an diese fünf Grundsätze in der Durchführung eines entsprechenden Projekts zu halten: 1. Definieren Sie Ihre Erwartungen klar 2. Beschränken Sie den Geltungsbereich sinnvoll 3. Bündeln Sie ähnliche Strukturen 4. Nutzen Sie bereits umgesetzte IT-Sicherheitselemente 5. Starten Sie sofort Es lohnt sich, die Expertise von Dritten einzubeziehen. Auch wenn ein Unternehmen die Einführung eines ISMS zum Großteil intern stemmen kann (und muss), stellen die umfangreichen Dokumentationspflichten eines ISMS jeden Neueinsteiger vor viele Fragen. Bewusst eingesetzt, können Partner mit Erfahrung helfen, Umwege zu vermeiden.

IT-Sicherheitsgesetz und erster IT-Sicherheitskatalog für Sommer 2015 erwartet. Das Bundesministerium des Inneren erwartet, dass das IT Sicherheitsgesetz bereits im Sommer 2015 nach der Zustimmung durch Bundestag und Bundesrat in Kraft tritt. Dann müssen alle Betreiber kritischer Infrastrukturen gewisse Informationssicherheitsstandards erfüllen. Dazu zählen auch Energieversorgungsunternehmen. Flankierend zum IT-Sicherheitsgesetz erstellt die Bundesnetzagentur einvernehmlich mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitskataloge für Energieversorgungsunternehmen. Als erstes wird der bereits im Entwurf vorliegende Sicherheitskatalog für Energienetzbetreiber 1 erwartet. Dieser präzisiert gemäß 11 Abs. 1a EnWG die Sicherheitsanforderungen an netzsteuerdienliche Informations- und Telekommunikationstechnologien und wird kurz nach Inkrafttreten des IT-Sicherheitsgesetzes veröffentlicht werden. Weitere Sicherheitsvorgaben, wie beispielsweise ein im neu gefassten 11 Abs. 1b EnWG referenzierter IT-Sicherheitskatalog für Energieanlagenbetreiber, werden folgen. Gesetzgeber und Behörden erlassen Mindeststandards an Informationssicherheit für Energieversorger. Leitgedanke der anstehenden Regulierungen ist es, Unternehmen im Bereich kritische Infrastrukturen auf Mindeststandards zur Informationssicherheit zu verpflichten. Die Energiebranche orientiert sich in der Ausgestaltung dieser Mindeststandards an der international anerkannten ISO 27 000er Reihe. So verlangt der IT-Sicherheitskatalog für Energienetzbetreiber im Kern, dass betroffene Unternehmen ein Informationssicherheits-Management-System (ISMS) nach ISO 27 001 unter Berücksichtigung der branchenspezifischen Ergänzung durch die ISO 27 019 einführen. Eine entsprechende Zertifizierung muss innerhalb einer Frist von 2 Jahren erfolgen. Analoge Vorgaben werden sich auch im IT-Sicherheitskatalog für Energieanlagenbetreiber finden. 1 Siehe: http://www.bundesnetzagentur.de/de/sachgebiete/elektrizitaetundgas/unternehmen_institutionen/ Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html

Viele Energieversorger werden ein Informationssicherheitsmanagementsystem (ISMS) neu einführen müssen. Von den Sicherheitsvorgaben sind alle Energienetzbetreiber betroffen. Für Energie- anlagenbetreiber wird es zwar größenabhängige Ausnahmen geben, jedoch wird auch hier der Großteil der Unternehmen erfasst sein. Lediglich Anlagenbetreiber mit weniger als zehn Mitarbeitern und weniger als zwei Millionen Euro Jahresumsatz können hoffen, nicht als kritische Infrastruktur gewertet zu werden. Letztlich könnten bis zu 15.000 Energieversorger unter die Sicherheitsregulierungen fallen 2. Von diesen verfügen nur wenige über ein zertifiziertes ISMS. Laut einer ISO-Umfrage von 2013 3 gibt es in Deutschland über alle Branchen hinweg lediglich 581 Zertifikate des Standards 27 001. Auch wenn sich die Zahl der Zertifikate seit 2013 erhöht haben dürfte, bleiben tausende Energieversorger, die in den nächsten zwei Jahren ein ISMS einführen müssen. Selbst Unternehmen, die schon über ein Zertifikat verfügen, müssen mit zusätzlichem Aufwand rechnen: 2013 wurde die bisherige Version ISO 27001:2005 durch den Standard ISO 27001:2013 ersetzt. Aufgrund erweiterter Anforderungen, zum Beispiel im Bereich der kennzahlenbasierten Effizienzmessung, ist eine im Vergleich zur regulären Re-Zertifizierung umfangreichere Prüfung notwendig. Pro ISMS-Einführung entsteht regelmäßig ein Projektaufwand von mindestens 500.000 Euro. Wie lange es dauert, ein ISMS nach ISO 27 001 einzuführen, hängt vom Status der Informationssicherheit im Unternehmen ab. In der Regel dauert es vom Start des Projekts bis zur Zertifizierung mindestens 15 Monate. Das liegt zum einen an der Komplexität einer ISMS-Einführung, zum anderen an den Besonderheiten der Energieversorger: Diese müssen infrastrukturelle Sicherheit dezentraler Komponenten mit der IT-Sicherheit verschiedener Netze kombinieren. Gleichzeitig gehen die Anforderungen aus dem bisher vorliegenden IT-Sicherheitskatalog über den Umfang einer reinen ISMS-Einführung hinaus und erfordern zusätzliche Zeit und Ressourcen. 2 Untere Grenze basierend auf der Aussage aus dem Entwurf des IT-Sicherheitsgesetzes, wonach Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen wird kombiniert mit der Abschätzung, dass etwa 50% davon aus dem Energiesektor stammen werden. Obere Grenze basierend auf der KPMG-Studie IT-Sicherheit in Deutschland im Auftrag des Bundesverbandes der Deutschen Industrie (BDI) und Bitkom aus 2014 5 Basierend auf 100.000 Euro Vollkosten pro Ressource 3 Siehe: http://www.iso.org/iso/home/standards/certification/iso-survey.htm

Außerdem muss ein Unternehmen das konzeptionierte ISMS aus Erfahrung mindestens 6 Monate betrieben haben, um für eine mögliche Zertifizierungsprüfung ausreichende Nachweise der Effektivität und Wirksamkeit erbringen zu können. Grundsätzlich sollte deshalb mit mindestens anderthalb Jahren für die Einführung eines ISMS gerechnet werden. Eine Abschätzung des Ressourcenbedarfs für Projektleitung, Risikoanalysen, Begleitung der Umsetzung organisatorischer und technischer Maßnahmen sowie zusätzlichen Managementkapazitäten über diesen Zeitraum ergibt leicht einen Projektaufwand von rund 500.000 Euro 4. Darin sind noch nicht die Kosten durch die technischen Maßnahmen an sich berücksichtigt. Auch kommen noch laufende Kosten dazu, die beispielsweise durch die Verpflichtung zur Meldung von Störfällen anfallen und pro Vorgang geschätzte Kosten von 660 Euro verursachen 5. Insgesamt wird deutlich: Die Einführung eines ISMS ist für die allermeisten Energieversorger eine erhebliche Investition 6. Aus Erfahrung: Regionale Energieversorger benötigen zunächst Transparenz. Um die Kosten im Rahmen zu halten, sollte daher die Umsetzung so effizient wie möglich durchgeführt werden. Die Bundesdruckerei Consulting wird von regionalen Energieunternehmen mit Fragen wie diesen konfrontiert: Welche Lücke gibt es noch zwischen dem, was ich bereits umgesetzt habe, und dem, was ich nach ISO brauche? Welche Maßnahmen muss ich unbedingt jetzt umsetzen welche kann ich verschieben? Was kann ich alleine stemmen und wofür setze ich besser auf externe Dienstleister? 4 Basierend auf 100.000 Euro Vollkosten pro Ressource 5 Siehe Abschätzung des Erfüllungsaufwands im Entwurf zum IT-Sicherheitsgesetz 6 Vergleiche auch: http://www.vdi-nachrichten.com/technik-wirtschaft/energienetzbetreiber-erhalten-gnadenfrist-fuer-sicherheitszertifizierung

Solche Fragen spiegeln eine weit verbreitete Unsicherheit wider, was genau die Einführung eines ISMS mit sich bringt. Deshalb empfiehlt sich am Anfang eine sorgsame Analyse des Status Quo der Informationssicherheit. Dies hat mehrere Vorteile. Mit den Ergebnissen lässt sich die Konzeptionierung des ISMS besser planen und der nötige Aufwand fundiert einschätzen. Erst dadurch kann auch die Diskussion mit einem externen Dienstleister auf Augenhöhe erfolgen. Außerdem können die Unternehmen die nötigen Maßnahmen auf Grundlage dieser Analyse priorisieren. Insgesamt liefert eine initiale Analyse genau jene Leitplanken, die Energieversorger oft suchen. Der Aufwand dafür ist aus Erfahrung der Bundesdruckerei Consulting gering. In einem konkreten Fall führte die Bundesdruckerei Consulting an fünf Projekttagen etwa 15 Interviews bei einem Energieversorger, sichtete vorhandene Dokumente und besuchte einige ausgewählte Standorte. Als Resultat entstand eine mehr als 100 Seiten umfassende Dokumentation mit etwa 30 priorisierten Empfehlungen für die nächsten Schritte. Das ISMS-Einführungsprojekt sollte sich an fünf Grundsätzen orientieren. Nachdem der Status Quo ermittelt wurde, sollte die eigentliche ISMS-Einführung in einem speziell zu diesem Zweck aufgesetzten Projekt erfolgen. Hierbei ist ein strukturiertes Vorgehen wichtig, um die vielen Anforderungen zu bewältigen. Es sollte sich an den folgenden fünf Grundsätzen orientieren. Sie helfen Unternehmen dabei, die gesetzlichen Vorgaben parallel zum Tagesgeschäft umzusetzen und zudem die Herausforderungen der Energiewende zu stemmen. 1. Definieren Sie Ihre Erwartungen klar Wie bei jedem Projekt ist es entscheidend, klare Ziele und Erwartungen zu definieren. Hierbei sollten explizit auch die Erwartungen der Stakeholder und anderer interessierter Parteien einbezogen werden. Auch wenn die Ziele im gegebenen Kontext im Wesentlichen eindeutig sind, können in der spezifischen Ausgestaltung des Projekts die Dauer und die Kosten auf die individuellen Möglichkeiten des Energieversorgungsunternehmens angepasst werden. Was dies praktisch bedeutet verdeutlichen die folgenden Beispiele: Der IT-Sicherheitskatalog für Netzbetreiber fordert einen Netzstrukturplan. Dieser kann bereits vorher oder erst im Rahmen des Projekts erstellt werden. Wird das Projekt durch einen externen Dienstleister unterstützt, ist zu entscheiden, ob dieser bereits bei der Erstellung des Netzstrukturplans involviert sein soll. Des Weiteren fordert der IT-Sicherheitskatalog einen IT-Sicherheitsbeauftragten. Ähnlich dem Datenschutzbeauftragten kann dieser durch einen externen Dienstleister gestellt werden. Ist dies gewünscht, sollte der externe Dienstleister bereits am Aufbau beteiligt werden, um Kosten für ein nachträgliches Einbinden zu sparen. Übernimmt ein eigener Mitarbeiter diese Rolle, sollte dieser von Anfang an in das Projekt voll eingebunden sein, um auch hier einen maximalen Trainingseffekt zu erreichen und Schulungskosten zu minimieren.

Der IT-Sicherheitskatalog fordert ebenfalls eine Schutzbedarfsermittlung. Dabei wird der Standard BSI 100.2 nahegelegt, dieser ist jedoch nicht verpflichtend. Es kann grundsätzlich ein auf das Unternehmen optimiertes Vorgehen eingeschlagen werden, das gegebenenfalls Zeit und Kosten spart. 2. Beschränken Sie den Geltungsbereich sinnvoll Bei der Einführung eines ISMS ist der Geltungsbereich zu definieren. Die meisten Energieversorger bestehen aus verschiedenen Gesellschaften, die unterschiedlichen Regularien unterliegen. Welcher Teil der Konzernstruktur durch ein ISMS abgedeckt werden soll, ist somit eine wesentliche Frage. Um den Aufwand für Konzept, Betrieb und Zertifizierung des ISMS minimal zu halten, sollten grundsätzlich nur die notwendigen Bereiche einbezogen werden. Zwei Aspekte sind dabei zu beachten: Erstens kann die Verflechtung der einzelnen Gesellschaften dazu führen, dass ein größerer Teil des Unternehmens in den Geltungsbereich des ISMS aufzunehmen ist. Ein konkretes Beispiel: In einer Unternehmensgruppe mit einer Holding und einer Tochter für den Netzbetrieb ist zur Erfüllung der Forderungen aus dem Sicherheitskatalog für Netzbetreiber zunächst nur die Tochter zu betrachten. Erbringt die Holding jedoch IT- Dienstleistungen für die Tochter, so sollte sie in den Geltungsbereich einbezogen werden. Zweitens kann es vorausschauend sein, einen größeren Geltungsbereich zu wählen: Existiert in der als Beispiel aufgeführten Unternehmensgruppe eine weitere Tochter für die Energieerzeugung, so sollte diese ebenfalls einbezogen werden. Auch wenn noch kein IT-Sicherheitskatalog für Energieanlagen vorliegt, so wird er bald mit einer entsprechenden Vorgabe erscheinen. Durch Einbeziehen lassen sich spätere Aufwände verringern. 3. Bündeln Sie ähnliche Strukturen Bei der Ermittlung des Schutzbedarfs stehen Energieversorgungsunternehmen schnell vor großen Aufgaben, wenn sie ihre Systeme nicht sinnvoll bündeln: wer will schon für jede Transformatorenstation einzeln Sicherheitsanforderungen festlegen, um Unbefugten den Zutritt zu verwehren und ihn zugleich externen Technikern jederzeit zu ermöglichen. Der Grundsatz, ähnliche Strukturen zu bündeln, beschränkt sich jedoch nicht nur auf Schutzbedarfsermittlung und Risikoanalyse. Er gilt zum Beispiel auch für das Erstellen von Dokumenten und Aufsetzen von Prozessen. Nicht jedes in der Norm genannte Dokument muss für sich alleine stehen, nicht jeder Prozess ist nur für Informationssicherheit relevant. Eine sinnvolle Zusammenführung schafft Übersichtlichkeit und Verständlichkeit. Dies gilt insbesondere, wenn in die Konsolidierung auch Dokumente und Prozesse aus anderen Normvorgaben wie dem Qualitätsmanagement oder Umweltschutz einbezogen werden. Sind entsprechende Normen bereits etabliert können so Synergien geschaffen werden.

4. Nutzen Sie bereits umgesetzte IT-Sicherheitselemente Energieversorgungsunternehmen haben in der Vergangenheit bereits aus eigenem Antrieb und aufgrund gesetzlicher Anforderungen Elemente einer Sicherheits- organisation wie Zutrittskontrollanlagen oder Virenscanner etabliert. Die Aufgabe bei der Einführung eines übergreifenden ISMS besteht folglich darin, die vorhandenen Elemente bestmöglich aufzugreifen, zu ergänzen und in ein umfassendes Konzept zu integrieren. Diese Einbindung bestehender Strukturen senkt nicht nur die Kosten der ISMS-Einführung. Sie erhöht auch die Akzeptanz im Unternehmen. Dies ist wichtig, weil die Einführung eines ISMS oft einen grundlegenden Wandel im Unternehmen erfordert. Neue Prozesse müssen gelebt und neue Regeln eingehalten werden. Das Einbinden bestehender Elemente erleichtert diesen Wandel und unterstützt ein Veränderungs- management, das auch die aktive Kommunikation mit den Mitarbeitern umfasst. 5. Starten Sie sofort Einige Energieversorgungsunternehmen zögern, ISMS-Projekte aufzusetzen. Dabei ist das Projektrisiko faktisch gleich Null: Noch dieses Jahr werden die IT-Sicherheitskataloge veröffentlicht und die Zeit für die Umsetzung beginnt zu laufen. Bedenkt man die Vorlaufzeit zum Aufsetzen und Organisieren eines ISMS, ergibt sich ein unmittelbarer Handlungsbedarf. Es empfiehlt sich aus mindestens zwei Gründen, das Projekt jetzt anzugehen: Das Zeitfenster verlängert sich bis zum Ablauf der Frist je früher das Projekt gestartet wird. Bei insgesamt gleichem Projektaufwand bedeutet dies, dass die Auslastung der Schlüsselressourcen sinkt und damit ein größerer Anteil intern erledigt werden kann. Dies senkt die Kosten, steigert die Identifikation mit dem Projekt im Unternehmen und sichert den langfristigen Erfolg.

Experten gehen davon aus,, dass mit der Verabschiedung des IT-Sicherheitsgesetzes viele Unternehmen gleichzeitig die Einführung eines ISMS anstoßen und dazu auf die gleichen externen Ressourcen zurückgreifen. Da das Potenzial an erfahrenen Beratern für eine ISO- 27 001-Zertifizierung begrenzt ist, kann es hier zu Engpässen kommen. Selbst wenn zunächst noch der Status Quo analysiert werden muss, kann ein Projekt bereits starten: Gewisse Elemente wie eine Informationssicherheitsleitlinie oder ein Dokumentenänderungswesen sind in jedem Fall Pflicht und können ohne Verzögerung angegangen werden, falls sie noch nicht existieren. Werden diese fünf Grundsätze eingehalten, ist der Grundstein für eine erfolgreiche ISMS Einführung gelegt.

Ihre Experten zum Thema sind Manuel Rothe Senior Consultant Telefon: +49 (30) 2598 2509 E-Mail: manuel.rothe@bdr.de Timo Neumann Abteilungsleiter Consulting Telefon: +49 (30) 2598 2521 E-Mail: timo.neumann@bdr.de www.bundesdruckerei.de/consulting Impressum Bundesdruckerei GmbH Kommandantenstr. 18 10969 Berlin Tel.: +49 (0) 30-2598 0 Fax: +49 (0) 30-2598 22 05 E-Mail:info@bdr.de www.bundesdruckerei.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback