ISO 27001 sichert Stromhandel TIWAG-Tiroler Wasserkraft AG mit Scoping über die gesamte Verwaltung Harald Oleschko, TIWAG-Tiroler Wasserkraft AG
Das Unternehmen TIWAG-Tiroler Wasserkraft AG Der Energieversorger Tirols wurde 1924 gegründet 100 % im Eigentum des Landes Tirol ca. 200.000 Kundenanlagen 9 große, ca. 40 kleine Wasserkraftwerke 3 Biomasse-Heizkraftwerke Projektvorschläge für den Ausbau der Wasserkraft ca. 1.300 Mitarbeiterinnen und Mitarbeiter Finanzen (Konzern) Umsatzerlöse ca. 1,3 Mrd. EGT ca. 100 Mio.
Tochtergesellschaften & Beteiligungen 8,251% München 6,00 % 7,283 % 0,32 % 36 % 49,999 % 40 % 9 % Bozen
Historie und Ausgangssituation 2011 Durchführung der Zertifizierung nach ISO/IEC 27001 2010 Vorbereitung zur Zertifizierung nach ISO/IEC 27001 2009 Schaffung einer eigenen Stabsstelle für IuK-Sicherheit und QS 2008 Einführung des webbasierten IT-Sicherheitsschulungstool 2007 Integration aller wertschöpfenden Prozesse in das IT-RM 2005 - Pilotbetrieb des IT-Risikomanagementsystems mit TIWAG-Netz AG 2000 Einführung IuK-Grundschutz 1999 Ernennung IuK-Sicherheitsbeauftragten 1999 2011
Vorbereitungsphase (2010 2011) Projektdurchlaufzeit 1,5 Jahre Beauftragung durch Vorstand Kickoff mit allen Projektmitarbeitern und Verantwortlichen aus den Fachbereichen (Einkauf, Personal, Gebäudemanagement, Sicherheit, Konzernrevision ) Das Projekt wurde durch einen externen Dienstleister begleitet Durchführung einer GAP-Analyse Was ist notwendig um die Zertifizierungsprüfung zu bestehen? Ableitung der Maßnahmen IS-Politik und IS-Richtlinien (rund 10 neue Richtlinien) Zusätzliche Prozesse und Dokumentationserfordernisse (KVP, Gremien, Ablage) Kosten, Aufwand Beratungsaufwand 43.000 (GAP-Analyse und Umsetzung) Eigenleistungen ca. 500 Stunden
Motivation Steigende Anforderungen an Sicherheit und Compliance an die IuK-Systeme (Regelzone und Vitale Systeme der TIWAG-Netz AG, Stromhandel, SRL, URÄG 2008, KFS-DV1 und 2 (COBIT-Vorgabe) ) Entlastung des Vorstands und des CIOs Verankerung in der IT-Strategie Empfehlung des Rechnungsprüfers Langjährige Vorbereitung und Professionalisierung des IT-Risikomanagements seit 2005: Zertifizierung war logischer Schritt und Ansporn zu gleich
Scope - Geltungsbereich Entscheidung zwischen IT-only oder umfassenden Geltungsbereich Keine Pseudo -Zertifizierung Geltungsbereich umfasst: TIWAG-Tiroler Wasserkraft AG (Muttergesellschaft) am Standort Innsbruck (alle Verwaltungsbereiche) Von Vertrieb, Stromhandel, Kundencenter, Energiedatenmanagement bis Einkauf und Personalmangement 570 Mitarbeiter im Scope enthalten Davon 70 IT-Mitarbeiter Beide RZ-Standorte sind inkludiert
Nutzen im Fachbereich Stromvertrieb Sensible Kunden- und Vertragsdaten (insb. Sondervertragskunden) Hohe Verfügbarkeitsanforderungen Energiedatenmanagement Sensible Kundendaten Verbrauchsmuster Strenge Abrechnungsmodalitäten bei Sondervertragskunden Hohe Anforderung an Verfügbarkeit zum Abrechnungszeitpunkt Komplexe Systemkette Zählerfernablesung, Abrechnung, Rechnungslegung
Nutzen im Fachbereich Stromhandel Höchste Anforderung an die Verfügbarkeit der Systeme und Vertraulichkeit der Daten Höchstes Schadenspotential Ohne IuK-Systeme keine Handelstätigkeit (Intraday) Komplexe IuK-Systeme gewährleisten Sondergeschäfte wie Sekundärregelung und Minutenreserve (höchste Margen) Hohe Verfügbarkeit für Prequalifikation zur Durchführung der Handelsgeschäfte wichtig Optimierter Einsatz des Kraftwerkparks durch Software Finanz- und Beteiligungsmanagement Hohe Anforderung an Vertraulichkeit Eigenes IT-System für den Datenaustausch
Zentraler Einkauf Hohe Anforderung an Vertraulichkeit (Dienstleister prüfen) Abschluß von Vertraulichkeitserklärungen Starke Steigerung des Fremdleistungsanteils in den Fachbereichen (Outtasking) 100 % elektronische Geschäftsabwicklung Personalmanagement Hohe Vertraulichkeit der Personaldaten Datenaustausch mit Pensionskassen Verpflichtung der Mitarbeiter gem. DSG Eintritts-, Austritts-, Veränderungsprozess Technisches Gebäudemanagement Objektschutz (Zutritt, Videoüberwachung, Perimeterschutz)
Nutzen Allgemein Entlastung des Vorstands und des CIOs Besserer Kontakt zu den Fachbereichen/Kunden steigert die Sensibilisierung Transparenz der Anforderungen und Umsetzung mit den Fachbereichen/Kunden Nachweis eines ordnungsgemäßen IS-Managementsystems Positiver Druck zur kontinuierliche Verbesserung aus den Auflagen und Hinweisen Bearbeitung und Lösung auch ungeliebter Themen (Richtlinien, Dokumentation, Schnittstellen zu Fachbereichen) Aufbau des IT-Notfallmanagements IT-Notfallplan auch Nutzen für Betriebsführung, Qualitätsverbesserung und Teambuilding Entlastung bei der jährlichen Rechnungsprüfung
Ende Ich bedanke mich für Ihre Aufmerksamkeit