DocSetMinder® Erweiterung "ISO/IEC 27019"

Im August 2015 veröffentlichte die Bundesnetzagentur (BNetzA) den „IT-Sicherheitskatalog“, in dem Strom- und Gasnetzbetreiber verpflichtet werden, einen Mindeststandard an IT-Sicherheitsmaßnahmen umzusetzen. Im Vordergrund des „IT-Sicherheitskataloges“ steht der Schutz der drei Grundwerte der Telekommunikations- und elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb erforderlich sind:

  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit

Die Schutzziele werden durch die Umsetzung vordefinierter technischer und organisatorischer Maßnahmen im Rahmen eines Informationssicherheits-Managementsystems (ISMS) erreicht. Hier schreibt der „IT-Sicherheitskatalog“ die Implementierung der folgenden Normen vor:

Die Normen DIN ISO/IEC 27001 und 27002 liefern eine allgemeingültige Methodik für die Planung, Umsetzung und Aufrechterhaltung eines Managementsystems für Informationssicherheit. Die Norm ISO DIN/IEC TR 27019 liefert Ihnen eine Umsetzungsanleitung für die IT-Sicherheitsmaßnahmen der Prozessteuerungssysteme der Energieversorgung. Es handelt sich dabei neben dem Umsetzungsleitfaden um einen erweiterten Maßnahmenkatalog für die Energieversorgung. Beide Maßnahmenkataloge aus dem Anhang A der Norm ISO DIN/IEC 27002 und ISO DIN/IEC TR 27019 sind umzusetzen und zu dokumentieren.

Eigenschaften der Erweiterung

Modulbeschreibung

Die Erweiterung ISO/IEC 27019 ist im DocSetMinder® -Modul "ISMS-ISO/IEC 27001" nahtlos in die Modulstruktur integriert und steht den involvierten Mitarbeitern und Beratern zur Verfügung. Ein integraler Bestandteil des Moduls sind die importierten Maßnahmenziele und Maßnahmen aus der Norm ISO/IEC 27019. Die Erweiterung sind wie folgt strukturiert:

Kapitel 1 - 3 

Die Norm-Kapitel beschreiben den Anwendungsbereich der Norm, normative Verweisungen und Begriffe/Definitionen, u.a.:

  • Schutzbedarfskategorien
  • Schadensszenarien
  • Risikoparameter (Eintrittswahrscheinlichkeit, Auswirkung mit festgelegten Schadenskategorien)

Kapitel 4 - 10

  • Anwendbarkeitserklärung auf Basis der Maßnahmenziele und Maßnahmen ISO/IEC 27019
  • Risikoanalyse und Risikobehandlung mit den vorgeschriebenen Kriterien des IT-Sicherheitskataloges
  • IT-Sicherheitsanalyse für IT-Verbund und die Leitsysteme, Übertragungstechnik und Fernwirktechnik

Dokumentation und Berichte 

  • Berichte A0 - A7 (angepasst für die ISO-Norm)
  • Dokumentation (Microsoft® Word-Format)
  • Individuelle Berichte
  • Managementberichte
Nutzen

Mit der Erweiterung ISO/IEC 27019 zum DocSetMinder® -Modul "ISMS-ISO/IEC 27001" erhalten Sie einen durchdachten und ausgereiften Dokumentationsbaustein, um den Vorgaben des IT-Sicherheitskataloges der Bundesnetzagentur gerecht zu werden:

  • Standardisierte Modul- und Inhaltsvorlagenstruktur genau nach ISO/IEC 27001, ISO/IEC 27019 und High-Level-Structure
  • Alle Anforderungen des IT-Sicherheitskataloges sind erfüllt 
  • Integration mit weiteren ISO-Normen, wie z.B. ISO 22301, ISO 9001, ISO 14001, ISO 50001 etc.
  • Konfigurierbare Importe der Assets aus Fremdsystemen
  • Verwendbar für mehrere IT-Verbünde
  • Mandantenfähig
  • Standard- und benutzerdefinierte Reports A0 bis A7

Das Modul nutzt die bereits im DocSetMinder®-Modul „Unternehmensorganisation“ bereitgestellten Informationen zur Aufbauorganisation, den Prozessen und zentralen Inhalten wie Richtlinien, Verträge, Anweisungen sowie die im Modul "IT-Dokumentation" erfassten Sachverhalte des IT-Verbundes für die Strukturanalyse des Energieversorges. Für die Strukturanalyse der Steuerungs- und Leitsysteme steht ein explizit dafür nach BDEW konzipiertes Modul "ST-TK" zur Verfügung.

Sämtliche Maßnahmenziele und Maßnahmen der relevanten ISO-Normen stehen den Benutzern in den DocSetMinder® Stammdaten zur Verfügung. Sie werden regelmäßig aktualisiert. Benutzerdefinierte Bausteine können einfach erstellt und im Modellierungsprozess verwendet werden. Auch die IT-Grundschutz-Kataloge können bei der Umsetzung der Sicherheitsmaßnahmen verwendet werden. 

Wir unterstützen Sie

Für eine effiziente Umsetzung des ISMS gemäß ISO/IEC 27001 bieten wir Ihnen eine Reihe von Dienstleistungen an:

  • Planung und Umsetzung des Managementsystems für Informationssicherheit (ISMS)
  • Anpassung der Modulstruktur und der Inhaltsvorlagen gemäß der individuellen Anforderungen (Modellierung)
  • Konfiguration der Import-Schnittstelle für den automatischen und wiederholbaren Datenimport aus Fremd-Systemen, wie z.B.: Microsoft® Active Directory, ERP-Systemen, IT-Management- & -Inventory-Systemen, CMDB
  • GAP Analyse 
  • Vollständige Erstellung des IT-Sicherheitskonzeptes (auch mit Partner-Unternehmen)
  • Durchführung der Datenimports
  • Begleitendes Coaching durch erfahrene Berater
  • Technische und inhaltliche Unterstützung Ihrer Implementierungspartner
  • Konzeption und Erstellung von individuellen Reports
  • Technischer Support