ISO 27001

ISO 27001 – Der internationale Standard für Informationssicherheit-Managementsysteme

  Ihre Daten verdienen zertifizierten Schutz!

Unabhängig davon, wie klein ein Unternehmen heute auch sein mag, auf die Informations-technik kann auch hier nicht mehr verzichtet werden. Besonders kritische Unternehmensprozesse sind ohne IT gar nicht mehr denkbar. Natürlich steigen dadurch auch die Risiken z. B. von Daten-verlust, Abhandenkommen vertraulicher Daten oder Schäden an wichtigen Systemen.

Die ISO/IEC 27001:2013 ist die internationale Leit-Norm für Informationssicherheits-Managementsysteme; gültig für privatwirtschaftliche, öffentliche sowie gemeinnützige Unter-nehmen und definiert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Im März 2015 wurde diese Norm als DIN ISO/IEC 27001:2015 veröffentlicht. Durch ihre High-Level-Struktur kann das Informationssicherheits-Managementsystem vollständig in ein bestehendes Managementsystem, z.B. nach DIN EN ISO 9001:2015, integriert werden.

Der Ansatz der Norm ist systematisch und strukturiert. Folgende Ziele sollen damit erreicht werden:

  • Erhöhung der Verfügbarkeit der eigenen IT-Systeme einschließlich der vorhandenen Daten und Informationen
  • Der Schutz der Integrität der vorhandenen Informationen
  • Die Sicherstellung die Vertraulichkeit der vorhandenen Daten und deren Schutz vor unbefugten Zugriff
  • Gewährleistung der Authentizität von Informationen.

Unternehmen jeder Größe und jeder Branche können mittels einer Zertifizierung durch TRB als einer akkreditierten Zertifizierungsstelle den Nachweis erbringen, dass sie ein prozess- und risikobasiertes Denken entwickelt haben und die sich daraus ergebenden Prozesse durch ständige Überprüfungsmaßnahmen auch kontinuierlich verbessern. Der Schutz vertraulicher Daten wird dadurch auch externen Anforderungen gerecht und die Einführung des IT-Managementsystems ist hierfür ein wirkungsvolles, vertrauensbildendes und nachweisbares Instrument.

Vorteile einer ISO 27001 Zertifizierung:

  • Datensicherheit: Informationssicherheit wird gelebt!
  • Risikominimierung: Identifizierung und Kontrolle von IT-Risiken durch Risikomanagement
  • Haftungsrisiko: Reduzierung des Haftungsrisikos
  • Vertrauen: Aufbau von Vertrauen interessierter Personenkreise
  • Reputation/Image: Ihre Daten und die ihrer Geschäftspartner werden zertifiziert geschützt
  • Wettbewerb: Wettbewerbsvorteile durch einen international anerkannten Standard
  • Gesetze: Erfüllung gesetzlicher und vertraglicher Anforderungen
  • Sensibilisierung: Mitarbeiter sind geschult und sicher im Umgang mit allen vertraulichen Daten
  • Kostensenkung: Prozesse werden effizienter, Risiken minimiert und dadurch Kosten vermieden

Informationssicherheit für KRITIS (Kritische Infrastrukturen)

Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten. Das IT-SiG verpflichtet Betreiber Kritischer Infrastrukturen, die für die Erbringung ihrer wichtigen Dienste erforderliche Informationstechnik nach Stand der Technik angemessen abzusichern. Mindestens alle zwei Jahre muss dies überprüft und durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden.

Das ist der Stand der Dinge. Aber was sind KRITIS?  Zu Betreibern Kritischer Infrastrukturen gehören Unternehmen aus den Branchen Energie, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung sowie Medien und Kultur.

Sind Sie jedoch ein kleines oder mittleres Unternehmen (KMU), dann müssen Sie die Anforderungen des IT-SiG derzeit noch nicht zwingend erfüllen. Als Zulieferer bzw. Geschäftspartner für größere Unternehmen müssen Sie jedoch damit rechnen, dass Ihre Auftraggeber die Einhaltung gewisser Standards wie z.B. der ISO 27001 von Ihnen fordern.

Zertifizierung nach ISO/IEC 27001:2013 inkl. zusätzlicher Anforderungen gemäß
IT-Sicherheitskatalog (§ 11 Abs. 1a EnWG , ISO/IEC TR 27019)

Die Anforderungen an die immer komplexer werdenden Versorgungsnetze nehmen zu. Das konventionelle Stromnetz wird zum Smart Grid (intelligentes Stromnetz). Die Bundesnetzagentur (BNetzA) veröffentlichte daher nach § 11 Absatz 1a EnWG in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) am 12. August 2015 den IT-Sicherheitskatalog. Dieser Katalog ergänzt das IT-Sicherheitsgesetz (IT-SiG).

Jeder Netzbetreiber hat bis zum 31.01.2018 die Umsetzung des IT-Sicherheitskatalogs durch eine ISO 27001 Zertifizierung nachzuweisen. Die BNetzA veröffentlichte hierzu gemeinsam mit der Deutschen Akkreditierungsstelle (DAkkS) ein Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen.

Risikoanalyse der Netzbetreiber:

  • Es gibt drei Schutzziele: Verfügbarkeit, Integrität und Vertraulichkeit 
  • Es gibt drei Schadenskategorien: „kritisch“, „hoch“, „mäßig“
  • Komponenten, Systeme und Anwendungen, die für einen sicheren Netzbetrieb notwendig sind, müssen in die Schadenskategorie „hoch“ bis „kritisch“ eingestuft werden
  • Beachtung besonderer Schadensszenarien

Netzstrukturplan:

  • Anwendungen, Systeme und Komponenten des Geltungsbereiches samt Verbindungen.
  • „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“.

Der Bundesnetzagentur (BNetzA) muss ein Ansprechpartner gemeldet werden.

Das ISMS muss von einer für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz akkreditierten Zertifizierungsstelle auditiert und zertifiziert werden.

IT-Sicherheitskatalog gemäß §11 Abs. 1b EnWG für Betreiber von Energieanlagen

Neben dem oben erwähnten IT-Sicherheitskatalog für Netzbetreiber wird derzeit ein zweiter IT-Sicherheitskatalog vorbereitet – dieser gilt für Betreiber

von Energieanlagen, die als Kritische Infrastruktur gemäß BSI-Gesetz eingestuft wurden.

Wir möchten darauf hinweisen, dass wir uns derzeit für diese Norm innerhalb der Prüfungszeit befinden. Wir gehen davon aus, dass wir die Akkreditation durch die DAkkS Anfang 2019 erhalten werden.