Prozessleitsystem SIGNACONTROL EP2000 EP2000 Workshop am 15.09./16.09.2015 Prozessleitsystem SIGNACONTROL EP2000 IT Workshop • das IT-Sicherheitsgesetz / §11 EnWG • Pflichten für Betreiber von Versorgungssystemen • IT Sicherheitskatalog der Bundesnetzagentur • Zertifizierung nach IEC 27001:2013 • Ausblick und Empfehlungen Workshop-Ergebnisse (Sie sollten verstanden haben!): Welche Regelungen gelten? Was muss/kann ich tun? Was kostet das Ganze?

Gesprächspartner: Ulrich Düster (ulrich.duester@qmbc.de) Geschäftsführer QMBC UG (www.qmbc.de)/ ISRZ UG (www.isrz.de) Auditor ISO 27001 ISO 9001 RZ-Infrastrukturen (TÜV Hessen) Energieeffizienz (TÜV Hessen) Blauer Engel für Rechenzentren (Gutachter für den TÜV Hessen) Cloud-Systeme

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer ist betroffen?): § 1 Bundesamt für Sicherheit in der Informationstechnik Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als Bundesoberbehörde. Das Bundesamt ist zuständig für die Informationssicherheit auf nationaler Ebene. Es untersteht dem Bundesministerium des Innern.“ Dem § 2 wird folgender Absatz 10 angefügt: „(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die 1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und 2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.“

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 In der Sammlung der Gesetzesänderungen wird das BSI-Gesetz wie folgt ergänzt (Wer erstellt die zu erfüllenden Vorgaben?): § 10 wird wie folgt geändert: a) Dem Absatz 1 wird folgender Absatz 1 vorangestellt: „(1) Das Bundesministerium des Innern bestimmt durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, nach Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie, dem Bundesministerium der Justiz und für Verbraucherschutz, dem Bundesministerium der Finanzen, dem Bundesministerium für Arbeit und Soziales, dem Bundesministerium für Ernährung und Landwirtschaft, dem Bundesministerium für Gesundheit, dem Bundesministerium für Verkehr und digitale Infrastruktur, dem Bundesministerium der Verteidigung und dem Bundesministerium für Umwelt, Naturschutz, Bau und Reaktorsicherheit unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Absatz 10 Satz 1 Nummer 2 wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Zugang zu Akten, die die Erstellung oder Änderung dieser Verordnung betreffen, wird nicht gewährt.“ b) Der bisherige Absatz 1 wird Absatz 2 und die Wörter „Wirtschaft und Technologie durch Rechtsverordnung“ werden durch die Wörter „Wirtschaft und Energie durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf,“ ersetzt. c) Der bisherige Absatz 2 wird Absatz 3 und in Satz 3 werden nach dem Wort „Rechtsverordnung“ ein Komma und die Wörter „die nicht der Zustimmung des Bundesrates bedarf,“ eingefügt. „Für Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen gilt die Meldepflicht erst dann, wenn die Rechtsverordnung in Kraft tritt, die zurzeit im Bundesministerium des Innern vorbereitet wird. Diese Rechtsverordnung konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes zu den Kritischen Infrastrukturen zählen.“ https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/IT-SiGesetz/faq_node.html

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Welches sind die Anforderungen? Wie sind diese nachzuweisen?): „§ 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (…) (3) Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen nach Absatz 1 auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel. Bei Sicherheitsmängeln kann das Bundesamt die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel verlangen.

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Zentrale Anforderungen aus dem IT-Sicherheitsgesetz (Was ist zusätzlich zu tun (Meldewesen, Meldepflicht)?): § 8b Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen Das Bundesamt ist die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik. (…) (3) Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 eine Kontaktstelle für die Kommunikationsstrukturen nach § 3 Absatz 1 Satz 2 Nummer 15 zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind. Die Übermittlung von Informationen durch das Bundesamt nach Absatz 2 Nummer 4 erfolgt an diese Kontaktstelle. (4) Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17.07.2015 Anwendungsbereich IT-Sicherheitsgesetz (Wer ist ausgeschlossen?): § 8c Anwendungsbereich Die §§ 8a und 8b sind nicht anzuwenden auf Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20.5.2003, S. 36). Artikel 3 Absatz 4 der Empfehlung ist nicht anzuwenden. (2) § 8a ist nicht anzuwenden auf 1. Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 3 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung, 3. Genehmigungsinhaber nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 des Gesetzes vom … [einsetzen: Ausfertigungsdatum dieses Gesetzes und Fundstelle] geändert worden ist, in der jeweils geltenden Fassung für den Geltungsbereich der Genehmigung sowie 4. sonstige Betreiber Kritischer Infrastrukturen, die auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8a vergleichbar oder weitergehend sind.

Definition KMU EMPFEHLUNG 2003/361/EG DER KOMMISSION VOM 6. MAI 2003 BETREFFEND DIE DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN Kriterien: Mitarbeiterzahl und (Jahresumsatz oder jahresbilanzsumme) Größenklasse Mitarbeiterzahl (Jahresarbeitseinheit JAE) Jahresumsatz oder Jahresbilanzsumme Mittleres Unternehmen < 250  50 Mio. EUR  43 Mio. EUR Kleines Unternehmen < 50  10 Mio. EUR  10 Mio. EUR Kleinstunternehmen < 10  2 Mio. EUR  2 Mio. EUR Achtung: Was ist ein Unternehmen? „jede Einheit, unabhängig von ihrer Rechtsform, die eine wirtschaftliche Tätigkeit ausübt“. Was ist mit Unternehmensverbünden? In der Regel sind die meisten KMU eigenständig, d. h., sie sind entweder völlig unabhängig, oder es bestehen Partnerschaften mit anderen Unternehmen mit einer oder mehreren Minderheitsbeteiligungen (von jeweils unter 25 %). Wenn der gehaltene Anteil höher ist, aber 50 % nicht überschreitet, handelt es sich um eine Beziehung zwischen Partnerunternehmen. Liegt er über diesem Schwellenwert, sind die Unternehmen miteinander verbunden und es gelten andere Regeln.

Informationssicher heit (IS) ISMS Leistungen - unser Verständnis: Das ganze ist das Wahre! Informationssicherheit Datenschutz/Compliance QMBC UG Managemen t systeme für : Informationssicher heit (IS) Risiko (RK) Notfall (NF) Kontinuität (BCM) IT-Sicherheit Systema Konzepte Umsetzung Betrieb Audits Für Kommunikationssysteme Daten Systeme Physische Sicherheit Planung Bau Rechenzentren RZ-Infrastrukturen Netzleitstellen RAL TÜV Hessen Zertifizierungen ISRZ Informations-sicherheit UG Blauer Engel Energieeffizienz Cloud Netzleitstellen Rechenzentren Datenschutz Managementsysteme

Energiewirtschaftsgesetz - EnWG Gesetz über die Elektrizitäts- und Gasversorgung In § 11 EnWG - Betrieb von Energieversorgungsnetzen - wurde mit der Novelle 2011 nach Absatz 1 folgender Abschnitt eingefügt: (la) Der Betrieb eines sicheren Energieversorgungsnetzes umfasst insbesondere auch einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Die Bundesnetzagentur erstellt hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen. Ein angemessener Schutz des Betriebs eines Energieversorgungsnetzes wird vermutet, wenn dieser Katalog der Sicherheitsanforderungen eingehalten und dies vom Betreiber dokumentiert worden ist. Die Einhaltung kann von der Regulierungsbehörde überprüft werden.

Sicherheitskatalog Hintergrund und Ziele Sicherheitskatalog gem. §11 Abs. 1a EnWG Kernforderung des Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC 27001 sowie dessen Zertifizierung. Benennung eines IT-Sicherheitsbeauftragter, durch den Netzbetreiber, als Ansprechpartner für die Bundesnetzagentur bis zum 30.11.2015. Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Zertifizierung bis 31.01.2018

Informationssicherheits-Managementsystem Sicherheitskatalog Sicherheitsanforderungen Informationssicherheits-Managementsystem Netzbetreiber sollen ein ISMS, das den Anforderungen der DIN ISO/IEC 27001 genügt, implementieren, das mindestens die Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die Informationen und Verweise auf die Normen DIN ISO/IEC 27002 und DIN SPEC 27009 zu berücksichtigen. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme Im Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden.

Sicherheitskatalog Netzstrukturplan Sicherheitsanforderungen Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien „Leitsystem/Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ zu unterscheiden. Die Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen.

ISMS Normen und gesetzliche Grundlagen § 11 EnWG (Sicherheitskatalog veröffentlicht) IT-Sicherheitsgesetz (verabschiedet) ISO2700x Normenfamilie für Informationssicherheits-Managementsystem 27000 Begriffe 27001 ISMS mit normativem Anhang (Prüfkatalog) 27002 Maßnahmeempfehlungen zur Umsetzung 27003 Leitfaden zur Einführung 27004 Leitfaden zur Messung 27005 Leitfaden zum Risikomanagement 27006 Akkreditierung von Zertifizierungsstellen 27007 Auditierung 27008 Leitfaden für Auditoren 27019 Leitfaden für Energieversorger

Bedrohung + Schwachstelle = Gefährdung (des Wertes der Organisation) ISMS Grundlegendes Asset mit Bedrohung + Schwachstelle = Gefährdung (des Wertes der Organisation) Eintrittswahrscheinlichkeit x Schadenshöhe = Risiko (in €) bezogen auf: Vertraulichkeit Verfügbarkeit Integrität Klärung der Begriffe auf der Tonspur Grundwerte der IS Vertraulichkeit , Integrität, Verfügbarkeit Asset (Bücher, Poet) Anforderung (Bücher müssen trocken gelagert werden) Schutzbedarf (trockene Lagerung; Schutzziel Verfügbarkeit) Bedrohung Gefährdung (Regen) Schwachstelle ( Dach) Risiko (Bücher und Poet werden nass; Bücher verbrennen ist unbehandelt) Maßnahme (Regenschirm) Zur Schutzbedarfsfeststellung gehören die folgenden Aktivitäten: die auf Ihre Organisation zugeschnittene Definition der Schutzbedarfskategorien "normal", "hoch" und "sehr hoch", die Feststellung des Schutzbedarfs der Anwendungen, die in der Strukturanalyse erfasst wurden, mit Hilfe der definierten Kategorien, die Ableitung des Schutzbedarfs der IT-Systeme aus dem Schutzbedarf der Anwendungen, daraus abgeleitet die Feststellung des Schutzbedarfs der Kommunikationsverbindungen und Räume sowie die Dokumentation und Auswertung der vorgenommenen Einschätzungen. Der Schutzbedarf eines Objekts orientiert sich an dem Ausmaß der Schäden, die entstehen können, wenn seine Funktionsweise beeinträchtigt ist. Schutzziele und Grundwerte Bei der Schutzbedarfsfeststellung ist danach zu fragen, welcher Schaden entstehen kann, wenn die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit eines Objekts verletzt werden, wenn also vertrauliche Informationen unberechtigt zur Kenntnis genommen oder weitergegeben werden (Verletzung der Vertraulichkeit), die Korrektheit der Informationen und der Funktionsweise von Systemen nicht mehr gegeben ist (Verletzung der Integrität), autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert werden (Verletzung der Verfügbarkeit). Schadensszenarien Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen: Verstöße gegen Gesetze, Vorschriften oder Verträge, Beeinträchtigungen des informationellen Selbstbestimmungsrechts, Beeinträchtigungen der persönlichen Unversehrtheit, Beeinträchtigungen der Aufgabenerfüllung, negative Außenwirkung oder finanzielle Auswirkungen. Ein Schadensfall kann mehr als ein Szenario betreffen. Wenn beispielsweise Bestelldaten in der Datenbank des Unternehmens zerstört wurden und nicht wiederhergestellt werden können, drohen folgende Schadensszenarien: eingegangene Bestellungen können nicht bearbeitet werden (Beeinträchtigung der Aufgabenerfüllung), Verpflichtungen gegenüber den Kunden können nicht eingehalten werden (Verstoß gegen Verträge), beträchtliche Einnahmeausfälle für das Unternehmen (finanzielle Auswirkungen) und Ansehensverlust bei den Kunden (negative Außenwirkung). Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution. Unternehmen schauen beispielsweise besonderes intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können. Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden. Der arme Poet, Carl Spitzweg

Management-bewertung ISO 27001:2015 Kontext der Organisation (Kapitel 4) Interessierte Parteien Anwendungsbereich ISMS Führung (Kapitel 5) Politik Org. Aufgaben Zuständigkeiten Planung (Kapitel 6) Risiken & Chancen Ziele Unterstützung (Kapitel 7) Ressourcen Kompetenz, Bewußtsein Dokumentation Betrieb (Kapitel 8) Betriebliche Planung Risikoeinschätzung Risikobehandlung Bewertung der Leistung (Kapitel 9) Überwachen, Messen Auditieren Managementbewertung Verbesserung (Kapitel 10) Nichtkonformität Laufende Verbesserung Management-bewertung Risiko- management Audit- Programm … Schulungs-programm …. Jahreszyklus

Werte der Organisation Perspektiven • Verträge • Kunden • Verfahren • Patente • Marken • … Werte der Organisation Menschen Infrastruktur Prozesse Organisation

 Die zwei häufigsten Gründe für das Scheitern von Zertifizierungen: Die Anforderungen sind zu hoch (immer selbst verschuldet) Der Verbesserungszyklus ist nicht vollumfänglich implementiert Eine Implementierungsstrategie muss dies berücksichtigen Die Anforderungen sind minimal zu halten Der Zyklus muss immer mit implementiert werden

Risikostatus Zu erfüllen: Kapitel 4,…, K10 der ISO27001 Anhang ISO27001  ISO 27002  ISO 27019 ( ISO 31000  ISO 9001  ISO 14001  ISO 50001,…) K4 K5 K6 K7 K8 K9 K10 A5.1 A 5.1.1 A 5.1.2 … A 18.2.1 A 18.2.2 A 18.2.3 Alle Werte {W1, … Wn} Nicht erfüllt Risikowert maximal Risikowerte {Wi1,…Wij} Maßnahmen (offen) Maßnahme, Verlagern, Versichern, Übernehmen Restrisikowerte {W1, … Wn} / {Wi1,…Wij} Offene Punkte: Bestimmung Risikowerte, Risikoschwellen, Risikomethode Erste Leistungskennzahl bestimmt!

Managementbewertung Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten, um dessen fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung muss folgende Aspekte behandeln: Status a) den Status von Maßnahmen vorheriger Managementbewertungen; {}; Maßnahmen wurden nicht ergriffen b) Veränderungen bei externen und internen Themen, die das Informationssicherheitsmanagementsystem betreffen; {}; Veränderungen wurden nicht erfasst c) Rückmeldung über die Informationssicherheitsleistung, einschließlich Entwicklungen bei: {}, Rückmeldungen liegen nicht vor 1) Nichtkonformitäten und Korrekturmaßnahmen; {}; Vollständige Nichtkonformität 2) Ergebnissen von Überwachungen und Messungen; {}; Überwachungen und Messungen wurden nicht durchgeführt 3) Auditergebnissen; und {}; Audits wurden nicht durchgeführt 4) Erreichung von Informationssicherheitszielen; {}; Ziele liegen nicht vor d) Rückmeldung von interessierten Parteien; e) Ergebnisse der Risikobeurteilung und Status des Plans für die Risikobehandlung; und Risiko ist maximal f) Möglichkeiten zur fortlaufenden Verbesserung. {}; fortlaufende Verbesserunen wurden nicht ergriffen Die Ergebnisse der Managementbewertung müssen Entscheidungen zu Möglichkeiten der fortlaufenden Verbesserung sowie zu jeglichem Änderungsbedarf am Informationssicherheitsmanagementsystem enthalten. Die Organisation muss dokumentierte Information als Nachweis der Ergebnisse der Managementbewertung aufbewahren.

Maßnahmen aus der Managementbewertung Beschlüsse Status Einführung eines ISMS, Zertifizierung in 2 Jahren Plan Beschluss über Anwendungsbereich Beschluss über Maßnahmekatalog Beschluss über Werte der Organisation Bereitstellung Budget (ext. Beratertage: 12 ISMS, 3 Tage ext. Audit, 12 Netzleitstellensicherheit; 12 IT-Sicherheit; 100 PT Eigenleistung) Zyklische Managementbewertung zur Steuerung der Implementierung (3 Mon.)

Maßnahmen aus der Managementbewertung Phase Maßnahme Zeitraum Verantwortlich Budget (Einf., Wiederh.) Ressourcen Planen  Kontext der O . Ext. Und int. Themen; Ext. Und int. Parteien/Beteiligte; Kommunikationsmatrix  1. Quartal  ISBA  3 PT (0 PT)   Implementieren  Dokument freigeben und veröffentlichen  2. Quartal ISBA  0,5 PT (0,5 PT) Mgmt. Betreiben  Beteiligte informieren und ggf. Schulen  3.-5. Quartal  5 PT ( 2 PT) MA im AWB Prüfen  jährliche Überprüfung und Ereignisbezogen  6. Quartal  1 PT Verbessern  Dokumentationsrichtlinie anwenden. Selbstbewertung durchführen; Beteiligte prüfen Kontinuität  Selbstbewertung durchführen; Verfügbarkeit sicherstellen  2 PT Notfall  Notfallverzeichnis ext. Und int. Parteien  0,25 PT Informationssicherheits-ereignisse  Umfeldveränderungen nicht bemerkt, rechtliche Anforderungen nicht umgesetzt, Strategieveränderungen nicht umgesetzt,…   1. Quartal Audits  Prüfung gemäß ISO 31000, Ziele, Strategien, Geltungsbereich, Einflußfaktoren,…   6. Quartal MA im AWB, Auditor Summe 14 PT ( 8,5 PT)

 Zertifikat Zu erfüllen: Kapitel 4,…, K10 der ISO27001 Anhang ISO27001  ISO 27002  ISO 27019 ( ISO 30000  ISO 9001  ISO 14001,…) Alle Werte Risikowert = 0 Vorgaben erstellt Risikowerte (1,…j) Maßnahmen umgesetzt Risikowert <= Risikoschwellwert oder Maßnahme ergriffen oder Risiko verlagert oder Risiko versichert oder Risiko übernommen Restrisikowerte Übernommen

ISMS Anforderungen Ganzheitliche Beratung unter Berücksichtigung der Anforderungen an einen ordnungsgemäßen und sicheren Betrieb: Rechtliche Anforderungen ISO 27001; DIN SPEC 27009; Sicherheitskatalog Organisatorische Anforderungen Personelle Anforderungen Infrastrukturelle Anforderungen Technische Anforderungen

ISMS Dokumenten Pyramide

ISMS Umwelt und Vorgehen

ISMS Bausteine und Projekt (Managementbewertung, Risikobewertung Zertifizierung Aufwand 1. Mgmt.-bew. 2. Mgmt.-bew. … …Mgmt.-bew. (Zert.) Startphase Evaluations-Workshop Umsetzungsphase 1. Vollständiger Zyklus Evaluations-workshop Netzstrukturplan Compliance/Datenschutz Betrieb Risk Management Kontinuität Notfall Management Schulung / Bewußtsein Maßnahmeplan Organisation Inf.-Sicherheit Interne Audits Kommunikations Matrix Zeit

Auditfragelisten Musterdokumente Projektverzeichnis ISMS-Verzeichnis

Kunden Wir danken für ihre Aufmerksamkeit QMBC UG (2014/2015) systema 50hertz Transmission GmbH adidas Group Bundesnetzagentur CompuGroup Medical Edeka compugroup Festo AG GLS Bank Helios Klinikum Leipzig Hörmann KG Inexio Intersport AG IT2Media msg services Skyway Data Center Stadtwerke Speyer Stadtwerke Ludwigshafen Technische Werke Ludwigshafen Telemark TK GmbH (SW Lüdenscheid) Vallourec (& Mannesmann) systema CDU/CSU Bundestagsfraktion Charité Polizei Berlin Deutscher Bundestag FH Wildau Daimler Benz Rieck Logistik Viadrina Immobilienscout Salzlandkreis Kassenärztliche Vereinigung Brandenburg Heinrich-Böll-Stiftung INP Greifswald Dykerhoff Energie und Wasser Potsdam Krankenhaus Elisabeth-Herzberge Stadtwerke Dessau Alfred-Rexroth GmbH BLS Energieplan Kunden Wir danken für ihre Aufmerksamkeit