Informationssicherheitsmanagementsystem
DIN EN ISO/IEC 27001
Das IT-Sicherheitsgesetz trat am 25. Juli 2015 in Kraft. Das Gesetz wurde zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundesgesetzblatt veröffentlicht. Durch die Umsetzung eines Informationssicherheits-Managementsystems wird die IT und die IT-Sicherheit transparent gemacht und es werden IT-Prozesse standardisiert.
AKTUELLES - DAS BSI-GESETZ
Neuer KRITIS-Sektor Entsorgung
Im Referentenentwurf zum IT-Sicherheitsgesetz 2.0 ist eine Erweiterung der bestehenden KRITIS-Sektoren geplant. Neu hinzukommen wird der Bereich Entsorgung von Siedlungsabfällen. Die kritische Dienstleitung im Sektor Entsorgung umfasst das Sammeln, Beseitigen und Verwerten von anfallenden Abfällen, um so eine mögliche Gefährdung der Bevölkerung (Seuchen) und der Umwelt (Verschmutzung mit gefährlichen Stoffen) bei einem Ausfall zu vermeiden.
Korb 2 muss ISMS-Nachweis bis zum 30.09.2019 erbringen
Die Anforderungen aus dem 2. Korb der BSI-Kritisverordnung müssen demnächst umgesetzt sein. Nachdem die Frist für den 1. Korb der BSI-Kritisverordnung für die Sektoren Energie, Wasser, Ernährung und Informations- und Kommunikationstechnik bereits in Jahr 2018 abgelaufen ist, sind nun Betreiber aus den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr betroffen. Betreiber aus dem 2. Korb der Kritisverordnung müssen bis zum 30.06.2019 einen ISMS-Nachweis erbringen.
Wer ist betroffen?
Die DIN EN ISO/IEC 27001 kann generell von allen Betrieben, unabhängig von der Betriebsgröße, angewendet werden. Insbesondere Organisationen und Einrichtungen der kritischen Infrastrukturen (KRITIS) sind für folgende Bereiche betroffen:
- Energie
- Informationstechnik und Telekommunikation
- Gesundheit
- Wasser
- Ernährung
- Transport und Verkehr
- Finanz- und Versicherungswesen
- Staat und Verwaltung
- Medien und Kultur
- Entsorgung (geplant)
Das IT-Sicherheitsgesetz betrifft alle Unternehmen der Bereiche, die für das Zusammenleben der Bevölkerung elementar sind. Die Bundesnetzagentur hat erstmals für alle Strom- und Gasnetzbetreiber die Zertifizierung nach der ISO 27001 bis zum 31.01.2018 vorgeschrieben. Dies ist im IT-Sicherheitskatalog der Bundesnetzagentur festgelegt.
Was sind die Vorteile der DIN ISO/IEC 27001?
Die DIN EN ISO/IEC 27001 hat das Ziel die Informations-Sicherheit durch ein umfassendes Management nachweislich zu verbessern. Zur Informations-Sicherheit gehört u.a.
die Verfügbarkeit der von der IT abhängigen Dienste sicherzustellen. Heute sind viele Kernprozesse der Produktion bzw. der Dienstleistungserbringung von der IT abhängig, dadurch können auch kurzzeitige Ausfälle zu hohen Kosten führen.
die Vertraulichkeit personenbezogener Daten zu verwalten
Minimierung von Risiken und potenziellen Schäden
Identifizierung von möglichen Schwachstellen im Vorfeld
Ablauf der Zertifizierung nach der DIN EN ISO/IEC 27001
Ein wertiges ISO/IEC 27001 Zertifikat erhält man nur bei einer von der DAkkS akkreditierten Prüfstelle. Nur ein bereits gelebtes ISMS kann durch die PÜG zertifiziert werden. Für die Einführung der ISO/IEC 27001 sind die Kenntnisse dieser Norm und deren Umsetzung erforderlich. Üblicherweise benötigt ein Unternehmen einen ISMS-Beauftragten, der für die Planung, Einführung und Aufrechterhaltung eines zertifizierungsfähigen Informationssicherheitsmanagementsystems (ISMS) in dem Betrieb zuständig ist.
Die Zertifizierung nach DIN EN ISO/IEC 27001 folgt einem 3-jährigen Rhythmus:
Erstzertifizierung > 1. Überwachung > 2. Überwachung > 3. Re-Zertifizierung