Der ständig wachsende Einfluss von IT auf die Geschäftsprozesse erfordert geeignete Maßnahmen für die Aufrechterhaltung einer angemessenen Informationssicherheit in Unternehmen oder öffentlichen Einrichtungen. Nur ein strukturiertes Vorgehen kann letztendlich Sicherheitslücken schließen. Auf dem internationalen Markt hat sich dafür der Standard ISO/IEC 27001 etabliert.

Neben freiwilligen Initiativen stehen besonders Betreiber kritischer Infrastrukturen unter dem gesetzlich festgeschriebenen Zwang einer Zertifizierung nach der ISO270xx.

So gab es für viele Energieversorger die Herausforderung, den IT-Sicherheitskatalog der Bundesnetzagentur mit einer Zertifizierung nach der ISO27001/27019 bis zum 31.01.2018 umzusetzen. Als Beratungsunternehmen für Informationssicherheit und Datenschutz hat procilon eine Reihe von Energieversorgern von der Erstberatung bis zur Zertifizierung nach ISO27001 begleitet. In den meisten Projekten war die Installation und Implementierung von i-doit® elementarer Bestandteil, denn das hierbei explizit geforderte Information Security Management System, kurz ISMS, kann letztendlich nur mit Unterstützung eines Tools erfolgen.

Am Anfang solcher Projekte steht bei procilon immer eine Erstanalyse der relevanten Geschäftsprozesse und der zugehörigen IT-Infrastruktur. Nur so lässt sich der tatsächliche Zertifizierungsaufwand bestimmen und sowohl eine sinnvolle Planung als auch ein belastbarer Kostenrahmen ableiten. Pauschalen haben sich in allen Projekten als wenig hilfreich erwiesen.

Um, wie von einem ISMS vorgeschrieben, die Informationssicherheit als Prozess zu etablieren, spielt schon in der frühen Projektphase das Thema Erfassung und Pflege einer IT-Dokumentation die zentrale Rolle.

Erst durch sie wird ersichtlich;

  • welche (IT-)Komponenten existieren,
  • wo diese platziert sind,
  • wer sich um sie kümmert,
  • wie sie erreichbar sind,
  • welche Aufgaben sie haben,
  • welche Daten sie austauschen.

Der Aufwand für die Erarbeitung dieser entscheidenden Grundlage darf auf keinen Fall unterschätzt werden. So sind im Durchschnitt bei einem regionalen Energieversorger bereits ca. 40 Dokumente zu erstellen, zu pflegen und im i-doit® abzubilden. Beharrlichkeit, gutes Zeitmanagement und kooperative Interaktion zwischen Berater und Kunden bringt allerdings schon hier eine Reihe von Vorteilen ans Licht. Darüber hinaus unterstützt das neue ISO 27001 Add-On von i-doit®  um Risikoeinschätzungen und -behandlungen nachvollziehbar durchzuführen und auch diese zu dokumentieren. Mit einer aktuell gehaltenen Dokumentation in Kombination mit den Auswertungsmöglichkeiten des Report Managers und der restlichen Features von i-doit® wird somit aktiv der PDCA-Zyklus innerhalb des ISMS unterstützt.

PDCA-Zyklus innerhalb des ISMS

Mit diesem Zyklus etabliert man Informationssicherheit als Prozess und hat im Ergebnis interner Audits (Check) einen detaillierten Überblick über getroffene technische und organisatorische Regelungen. Deutlich wird hierbei auch, dass nicht alle Aufgaben auf einmal erledigt werden müssen, sondern das zyklische Vorgehen eine Abarbeitung nach Prioritäten unterstützt. Wie bereist geschildert, steht für Energieversorger mit dem IT-Sicherheitskatalog der Bundesnetzagentur eine eindeutige Norm für die Zertifizierung nach der ISO27001/27019 zur Verfügung. Erst wenn das Niveau der Informationssicherheit dieser Norm entspricht lohnt sich der Aufwand mit einem entsprechenden Zertifizierer in die finalen Audits zu gehen, der dann auch mit der Empfehlung zur Zertifizierung durch die Aufsichtsbehörde abgeschlossen wird.

Inzwischen kann procilon auf eine Expertise von über 40 Projekten verweisen. Mit einer Reihe von Kunden wird die Zusammenarbeit nun auch außerhalb des reinen ISO 27001 Anwendungsbereichs fortgesetzt. Es hat sich gezeigt, dass der Nutzen, der aus einer guten IT-Dokumentation gezogen wird, enorm ist und weit über die Anforderungen eines ISMS hinausgeht. So gelten z. B. bei der Dokumentationspflicht im Datenschutz für die sogenannten Verfahrensverzeichnisse prinzipiell die gleichen Anforderungen an das Änderungsmanagement wie bei der Informationssicherheit. Also liegt der Einsatz von i-doit auch dafür nahe. Doch damit nicht genug: wegen der hohen Flexibilität des Werkzeuges kann durchaus ein Einsatz in den Bereichen Gefahrgut-, Fuhrpark-, Gebäude- und Lizenzmanagement sehr intensiv betrachtet werden.

In allen Fällen gilt es aber den Faktor Mensch nicht zu vergessen, denn technische Maßnahmen wirken nur dann, wenn sie mit organisatorischen und personellen flankiert werden.

Über den Autor: Andreas Liefeith

Über den Autor: Andreas Liefeith

procilon IT-Solutions GmbH

Software & Beratung für IT-Sicherheit und Datenschutz aus einer Hand. Die procilon GROUP ist langjährige i-doit Partner und unterstützt Sie durch Ihre exzellente Erfahrung.

Newsletter

Newsletter

Erhalten Sie aktuelle Artikel, Infos und i-doit Updates bequem per E-Mail.

Vielen Dank für Ihr Interesse! Wir hören dann voneinander.