UMSETZUNG eines ISMS nach ISO 27001  zur Erfüllung der Anforderungen des NISG

unter Berücksichtigung weiterer branchenspezifischer Sicherheitsnormen (z.B. ISO 27019 für EVU)

Netz- und Informationssystemsicherheitsgesetz, kurz „NISG“

Mit der fortschreitenden Digitalisierung unserer Gesellschaft steigt gleichzeitig auch das Risiko hinsichtlich möglicher Angriffe auf die Netz- und Informationssicherheit. Ziel des NIS-Gesetzes ist die Prävention gegen Sicherheitsvorfälle, die Netz- und Informationssysteme betreffen und deren Störung oder Zerstörung schwerwiegende Auswirkungen auf Gesundheit, Sicherheit oder das wirtschaftliche und soziale Wohl der Bevölkerung haben würde.

Zielsetzung

Der Gesetzgeber sieht für "Betreiber wesentlicher Dienste" (sog. kritische Infrastruktur), also Unternehmen aus wirtschaftlich oder gesellschaftlich wichtigen Sektoren wie z.B. Energie-, Transport-, Gesundheits-, Trinkwasserversorger sowie einige Finanzdienstleister und in geringerem Umfang auch Anbieter von digitalen Diensten vor, dass eine Informationssicherheitsorganisation etabliert wird, welche Sicherheitsmaßnahmen zur Vermeidung und Minimierung der Auswirkungen von Zwischenfällen und Sicherheitsririsken vorgibt und umsetzt.

 

 

Vorgehen

 

 

  1. ISMS GAP-Analyse zur Identifikation fehlender Prozesse nach ISO 27001:2013 und ggf. weiterer branchenspezifischen Standards (z.B. ISO 27019 für EVU)

  2. Analyse der Unternehmensorganisation sowie Erhebung der IT-Systeme und Komponenten, welche für den Betrieb des wesentlichen Dienstes (Stromnetzsteuerung, Akutversorgung in Landeskrankenanstalten, Wassergewinnung und -versorgung etc.) maßgeblich sind

  3. Definition des sachlichen und räumlichen ISMS-Geltungsbereichs (Scope) und Aufbau der ISMS Organisation. Definition von Rollen und Verantwortlichkeiten

  4. Erstellung der durch die ISO 27001 geforderten Leitlinien und Verfahrensbeschreibungen zur Informationssicherheit (ggf. erwetiert um weitere branchensepzifischen Sicherheitsvorschriften)

  5. Erstellung von Sicherheitsleitlinien für den Umgang mit prozesssteuerungsrelevanten Komponenten (Leitstelle, Warte, Übergabestationen, Notfallaufnahme, Kraftwerke etc.)

  6. Durchführen einer Risikoanalyse zur Identifikation und Behandlung​ von Informationssicherheitsrisiken auf Basis von Gefährdungen, Schwachstellen und Controls aus den verwendeten ISO-Standards

  7. Prozessgestaltung für Sicherheitsvorfall-Management und Umsetzung der gesetzlichen Meldepflichten hinsichtlich Sicherheitsvorfällen an die europaweit agierenden Computer Security Incident Response Teams
  8. Effektive Umsetzung der Vorgaben aus Sicherheitsleitlinien (Integration in bestehende Unternehmensprozesse)

  9. Durchführen von Schulungen aller Mitarbeiter im Scope (insb. Mitarbeiter mit prozessrelevanten Funktionen) sowie Sensbilisierung des Managements

  10. Umsetzung eines kontinuierlichen Verbesserungsprozesses sowie einer Reportingstruktur (als Teil des Managementsystems)

  11. Durchführen eines internen Audits zur Vorbereitung auf die Zertifizierung

  12. Begleitung und Unterstützung des Kunden beim Zertifizierungsaudit, welches durch eine akkreditierte Zertifizierungstelle durchgeführt wird.

Auditfähig und
zertifizierungsreif

Nutzen

  • Erfüllung der gesetzlichen Vorschriften hinsichtlich Betreiber wesentlicher Dienste

  • Steigerung der allgemeinen Unternehmenssicherheit

  • Klassifizierung und Schutz von Daten

  • Unser Wissen als Zertifizierungsauditor!

  • Positive Innen- und Außenwirkung

  • Zusammenarbeit mit anerkannten Zertifizierungsstellen

Ergebnis

  • Individuelle Sicherheitsorganisation für Ihr Unternehmen, eindeutige Regelungen von Verantwortlichkeiten

  • Identifizierte und dokumentierte kritische prozesssteuerungsrelevante IT-Systeme und Komponenten

  • Spezifische Sicherheitsleitlinien, Verfahrens- und Prozessdokumentation

  • Umgesetztes Modell zur Risikoidentifikation und -dokumentation (integriert in das bereits vorhandene Unternehmensrisikomanagement)

  • Etabliertes Informationssicherheitsvorfallmanagement an CSIRT

  • Übersicht, Priorisierung und laufende Verfolgung von Sicherheitsmaßnahmen

  • Umgesetzte Sicherheitsanforderungen lt. Branchenkodex des NIS-Gesetzes

  • Zertifizierungsreif nach ISO 27001:2013

Mit einem Anruf sind Sie besser beraten: +43 (0)463 276376

by secriso Consulting GmbH

Österreich | Austria

All rights reserved.

Social Web: