0
ISO 27001 Beratung

Aufbau und Einführung eines ISMS

ISO 27001 Beratung: ISMS Einführung

Ein effektiv implementiertes ISMS nach ISO 27001 trägt dazu bei, mögliche Sicherheitslücken zu schließen, Compliance-Anforderungen zu erfüllen und den steigenden Sicherheitsrisiken einen Schritt voraus zu sein. Dabei handelt sich nicht nur um eine technische Angelegenheit, sondern um eine umfassende organisatorische Herangehensweise, die Menschen, Prozesse und Technologien einbezieht.

Die Einführung eines ISMS ist kein einfacher Prozess. Es erfordert Fachwissen, Zeit und Ressourcen. Hier kommen wir ins Spiel: Mit unserer Expertise in der ISO 27001 unterstützen wir dein Unternehmen dabei, ein robustes ISMS aufzubauen. Wir stellen sicher, dass dein ISMS nicht nur den Anforderungen der ISO 27001 erfüllt, sondern auch tatsächlich effektiv in der Praxis funktioniert.

  • Leistungsspektrum unserer ISO 27001 Beratung

  • Mitarbeit bei Planung, Umsetzung, Überwachung und Weiterentwicklung eines ISMS, auch in Kooperativ-Modellen

  • Voraudit: Prinzipielle Überprüfung der Zertifizierungsreife mit Identifikation von Lücken (Gaps) und Risiken

  • Erstellung eines Katalogs mit konkreten und pragmatischen Maßnahmen

  • Bereitstellung der benötigten Templates für Leitlinie, Policies und Prozesse

  • Coaching zur Umsetzung der notwendigen Maßnahmen

  • Einübung der Mitarbeiter im ISMS auf eine reale Auditsituation

  • Begleitung der eigentlichen Zertifizierung

  • Interne Überwachungsaudits des ISMS nach der Zertifizierung

Einführung eines ISO 27001-konformen ISMS

Unsere Experten – auf diesem Gebiet allesamt zertifizierte ISO-27001-Auditoren – stehen dir auf dem Weg zur erfolgreichen Zertifizierung zur Seite: Vom initialen Audit des prozessualen und organisatorischen Reifegrads mit Gap-Analyse und Maßnahmenplan über die geforderten regelmäßigen Sicherheitsüberprüfungen (internes ISO/IEC 27001 Audit) bis hin zur Begleitung der abschließenden Zertifizierung.

Kostenlose ISMS-Erstberatung vom Experten

Hast du Fragen? Nutze unser Angebot eines kostenlosen und unverbindlichen, rund dreißigminütigen Beratungsgesprächs am Telefon. Vereinbare dazu einen Termin mit einem unserer Experten telefonisch unter +49 89 – 44 44 31 88 0 oder über unseren Anfrage-Service:

Stefan Krause

Stefan ist Trainer, Consultant und Auditor im Bereich Information Security Management beim mITSM. Er baute als Software Developer im Konzern- und KMU-Umfeld umfassende IT-Expertise auf und verschaffte sich tiefen Einblick in die Bereiche Informationssicherheit, Cybersecurity und Risikomanagement. Nun gibt er sein Wissen und seine Erfahrung in unseren Trainings weiter und nimmt Organisationen bei der ISMS-Einführung und -Optimierung an die Hand.

KRITIS-Betreiber aufgepasst: Verpflichtungen aus den Kritisverordnungen

Zentrale Forderung der KRITIS-Verordnungen ist die Etablierung eines ISMS (Informationssicherheits-Managementsystem) gemäß ISO 27001 und dessen Zertifizierung.

Im ersten Teil der BSI-Kritisverordnung (BSI-KritisV) vom Mai 2016 wurden die Kritierien für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung festgelegt. Seit 30. Juni 2017 gilt das IT-Sicherheitsgesetz auch für Betreiber Kritischer Infrastruktruren aus den Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr.

Die von der Verordnung betroffenen Betreiber sind verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen, wie beispielsweise durch ein ISMS nach ISO 27001.

Ansprechpartner für IT-Sicherheit

Der im IT-Sicherheitskatalog geforderte Ansprechpartner für IT-Sicherheit darf laut ISO/IEC 27001 nicht nur einfach ernannt werden, er muss auch nachweislich kompetent sein. Die Personenzertifizierung ISMS Security Officer nach ISO 27001 weist grundlegende Expertise aus.

Umsetzung des Patientendaten-Schutzgesetzes PDSG: Besondere Anforderungen für Krankenhäuser und Kliniken

Die Sicherheitsanforderungen an die IT in Krankenhäusern und Kliniken wurden verschärft: Mit dem Patientendatenschutzgesetz (PDSG), bzw. dem § 75c SGB V sind nun auch kleinere Krankenhäuser und Kliniken, die nicht als KRITIS gelten, verpflichtet, wichtige Sicherheitsmaßnahmen umzusetzen.

Vorbereitung auf die Umsetzung

Eine sichere Infrastruktur und der sichere Umgang mit Informationen sind nur zwei Voraussetzungen von vielen, über welche man sich Gedanken machen sollte. Dabei kann ein ISMS (Informationssicherheitsmanagementsystem) nach ISO 27001 (inklusive der Umsetzungsleitfäden) behilflich sein. Vor allem der Geltungsbereich, welcher vor dem Aufbau des ISMS definiert wird, soll dabei helfen, sich mit den zusammenhängenden Prozessen des Krankenhauses auseinander zu setzen.

ISO 27001 Lieferanten-Audit: Pflicht oder Kür?

Über das Interesse des Auftraggebers hinaus, ob die erbrachten Leistungen tatsächlich auch den Vereinbarungen entsprechen, besteht in den meisten Fällen sogar eine Pflicht zur Überprüfung von Lieferanten. Beispielsweise dort, wo die Service-Erbringung die Verarbeitung oder Speicherung personenbezogener Daten mit einschließt oder der Ausfall der Dienstleistung ein Risiko für die Kontinuität der Geschäftsprozesse sein kann.

Fehlende Klassifizierung und Prozesse

Problematisch ist, dass kein Klassifizierungssystem existiert, in dem die Lieferanten in Abhängigkeit des Risikos für die Service-Erbringung eingeordnet werden. Auch gibt es keinen entsprechenden Prozess, der dafür sorgt, dass Lieferanten regelmäßig überprüft werden. Hier können wir als Spezialist für IT Security Management mit bewährter Methodik und erfahrenen Beratern unterstützen

NIS-2 Konformität sicherstellen

Mit einem ISMS nach der internationalen Norm ISO/IEC 27001 erfüllst du auch die Anforderungen der neuen EU-Sicherheitsrichtlinie. Gerne beraten wir dich mit Fokus auf NIS-2. Mehr Informationen zu NIS-2 findest du hier.


Das mITSM ist Partner der Allianz für Cyber-Sicherheit von BSI und BITKOM und Kooperationspartner der TÜV SÜD Management GmbH.


?

Fragen, Antworten und weiterführende Informationen zum IT-Sicherheitskatalog

  • Welche Verbindung gibt es zwischen IT-Sicherheitsgesetz, § 11 ENWG und dem IT-Sicherheitskatalog?

    Im Juli 2015 ist das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz „IT-Sicherheitsgesetz“, in Kraft getreten. Grundsätzlich handelt es sich um ein „Artikelgesetz“, d.h. es ist ein Gesetz, das mehrere Gesetze unter sich vereint bzw. Ergänzungen zu bestehenden Fachgesetzen liefert. Diese Änderungen betrafen das BSI-Gesetz, das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Atomgesetz und das Energiewirtschaftsgesetz (ENWG).

    Das IT-Sicherheitsgesetz (IT-SiG) verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) zur Einführung von technischen und organisatorischen Mindestmaßnahmen sowie zu Meldungen im Fall von Cyber-Angriffen. Zu den KRITIS-Betreibern zählen auch die Energieversorger. Für sie wurden im Rahmen des IT-Sicherheitsgesetzes Sondervorschriften im Energiewirtschaftsgesetz (EnWG) geändert. In die EnWG-Novelle von 2011 wurde die Verpflichtung aufgenommen, für einen angemessenen Schutz gegen Bedrohungen der IKT, welche der Netzsteuerung dient, zu sorgen.

    Der in § 11 Abs. 1a EnWG formulierte Auftrag an die Bundesnetzagentur (BNetzA) und das BSI, einen IT-Sicherheitskatalog mit entsprechenden Sicherheitsanforderungen vorzulegen, wurde mit seiner Veröffentlichung im August 2015 erfüllt.

  • Was sind die Ziele des IT-Sicherheitskatalogs?

    Die definierten Ziele IT-Sicherheitskatalogs sind

    – die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten
    – die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme
    – die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen

  • Welche Verpflichtungen gehen aus dem IT-Sicherheitskatalog hervor?

    Der IT-Sicherheitskatalog der Bundesnetzagentur beinhaltet eine Reihe von Sicherheitsanforderungen für die zum sicheren Betrieb der Energieversorgungsnetze notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme.

    Das heißt, Netzbetreiber müssen ihre IT-Systeme und Komponenten schützen, die der Netzsteuerung direkt dienen beziehungsweise unmittelbar Einfluss auf die Netzfahrweise nehmen. Hierzu zählen unter anderem die zentralen Netzleit- und Netzführungssysteme, steuerbare Wechselrichter und Rundsteueranlagen. Diese schutzbedürftigen Systeme eines Energieversorgungsnetzes sind in einem Netzstrukturplan zu erfassen und eine individuelle Risikoanalyse ist durchzuführen.

    Als Nachweis für die korrekte Umsetzung der Anforderungen aus dem IT-Sicherheitskatalog haben die Betreiber von Energieversorgungsnetzen bis zum 31. Januar 2018 ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, zu betreiben und zu zertifizieren. Die Bundesnetzagentur behält sich vor, hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) eine entsprechende Ergänzung zur internationalen Norm ISO/IEC 27001 zu erstellen.

    Darüber hinaus ist laut Kapitel 2.4 und Seite 14 ff. IT-Sicherheitskatalog die Bestellung und Nennung eines Ansprechpartners für IT-Sicherheit verpflichtend. Das Formular zur Nennung des Ansprechpartner findest du bei der Bundesnetzagentur.

  • Wer benötigt eine Zertifizierung?

    Alle Betreiber eines Energieversorgungsnetzes. Die Anforderungen des Sicherheitskatalogs sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskatalogs fallen (vgl. IT-Sicherheitskatalog, Abschnitt D – Geltungsbereich).

  • Wer darf die Zertifizierung durchführen?

    Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung des IT-Sicherheitskatalogs kann auf der Internetseite der DAkkS abgerufen werden, sobald entsprechende Akkreditierungsverfahren abgeschlossen sind. Das mITSM vertraut bei der ISO 27001-Zertifizierung auf die bewährte Zusammenarbeit mit seinen langjährigen Partnern, die TÜV SÜD Management GmbH und die DEKRA.

  • Bin ich mit einer Zertifizierung „aus dem Schneider“?

    Trotz Nachweises der ordnungsgemäßen Umsetzung des IT-Sicherheitskataloges durch ein 27001-Zertifikat hat die Bundesnetzagentur (BNetzA) das Recht, die Einhaltung des IT-Sicherheitskataloges zu prüfen und gegebenenfalls Aufsichtsmaßnahmen anzuordnen.

  • Wie sieht die Rolle des Ansprechpartners für IT-Sicherheit aus?

    Die Bestellung eines Ansprechpartners für IT-Sicherheit ist gemäß IT-Sicherheitskatalog der BNetzA verpflichtend (siehe Kapitel 2.4 und Seite 14 ff. im IT-Sicherheitskatalog). Er ist der Empfänger von Informationen über aktuelle Bedrohungen und Schwachstellen. Seine Aufgaben umfassen laut Katalog, gegenüber der BNetzA zu folgenden Punkten unverzüglich Auskunft geben zu können:

    – Zum Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog
    – Zu aufgetretenen Sicherheitsvorfällen sowie der Art und des Umfangs etwaiger hierdurch hervorgerufener Auswirkungen
    – Zur Ursache aufgetretener Sicherheitsvorfälle sowie zu Maßnahmen zu deren Behebung und zukünftigen Vermeidung

    Mehr zur Rolle des Ansprechpartners für IT-Sicherheit findest du unter den Punkten 3.2.1 und 5.4 im Praxisleitfaden des BSI und VKU 

  • Ist auch die Besetzung der Rolle des IT-Sicherheitsbeauftragten gesetzlich vorgeschrieben?

    Das ist sie nicht. Es empfiehlt sich jedoch, eine zentrale Stelle mit dem Aufgabengebiet Informationssicherheit zu betrauen. Bewährte Praxis ist, diejenige Person im Unternehmen als IT-Sicherheitsbeauftragten zu benennen, welche die Einführung und den Betrieb des ISMS operativ verantwortet.

    Zur fachlichen Weiterbildung und Personenzertifizierung (TÜV Süd) auf diesem Gebiet findest du Angebote unter ISMS Security Officer nach ISO 27001 und ISMS Auditor nach ISO 27001.

    Mehr zur Rolle des des IT-Sicherheitsbeauftragten findest du unter Punkt 3.2.1 und und 5.4 im Praxisleitfaden des BSI und VKU 

  • Und wenn ich die vom IT-Sicherheitskatalog betroffenen Systeme durch Dritte betreiben lasse?

    Betreibt ein Netzbetreiber die Anwendungen, Systeme und Komponenten, auf die sich die Sicherheitsanforderungen des IT-Sicherheitskatalogs beziehen, nicht selbst, sondern durch einen externen Dienstleister, muss er durch entsprechende vertragliche Vereinbarungen sicherstellen, dass der beauftragte Dienstleister die Sicherheitsanforderungen einhält. Zu den Auswirkungen auf die erforderliche Zertifizierung, findest du mehr Informationen bei der Bundesnetzagentur.

  • Wo finde ich das IT-Sicherheitsgesetz im Wortlaut?

    Das Gesetz „zur Erhöhung der Sicherheit informationstechnischer Systeme“ und zum „Schutz kritischer Infrastrukturen, welche gerade für das Funktionieren des Gemeinwesens zentral sind“ (IT-Sicherheitsgesetz) vom 24.07.2015 findest du als PDF im Bundesgesetzblatt.

  • Wo finde ich den IT-Sicherheitskatalog im Wortlaut?

    Den IT-Sicherheitskatalog vom 12.08.2015 findest du als PDF bei der Bundesnetzagentur.

  • Wo finde ich den Praxisleitfaden „IT-Sicherheitskatalog“ von BITKOM und VKU?

    Der Praxisleitfaden von BSI und VKU mit Ratschlägen für den Aufbau eines ISMS nach IT-Sicherheitskatalog steht als kostenloser Download (PDF) zur Verfügung unter Leitfaden des BSI und VKU 

+49 89 - 44 44 31 88 0