Implementierung eines ISMS für Betreiber kritischer Infrastruktur

aufgabe

Im Zuge des IT-Sicherheitsgesetzes müssen alle Betreiber von kritischen Dienstleistungen oberhalb eines bestimmten Schwellenwertes ein Informationssicherheitsmanagementsystem (ISMS) einführen und durch das BSI auditieren lassen. Damit soll sichergestellt werden, dass die Erbringung der kritischen Dienstleistungen jederzeit gewährleistet werden kann. Das ISMS sollte nach ISO 27001 aufgebaut und implementiert sein und auch die branchenspezifischen Anforderungen der VDV 440 erfüllen. Die Frist des BSI musste eingehalten werden.

vorgehen

  • Kurze Projektlaufzeit und effizientes Projektmanagement zur Einhaltung des BSI-Termins
  • Abgrenzung des OT-relevanten Bereichs und Definition des Anwendungsbereichs
  • Erstellung des Dokumentationsrahmens
  • Durchführung der Schutzbedarfs-, Struktur- und Risikoanalyse
  • Durchführung eines internen Audits
  • Kommunikation zwischen Business IT und Tech IT (OT)

nutzen

  • Revisionssicherer Dokumentationsrahmen
  • Festgelegte Informationssicherheitspolitik und abgeleitete Maßnahmen
  • Klar formulierte Verantwortlichkeiten und Zuständigkeiten
  • Implementierter Plan-Do-Check-Act-Kreislauf
  • Plan zur Risikobehandlung
  • Plan zur Bewusstseinsbildung und Schulung