Der ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Die Umsetzung des Standards erlaubt es einem Unternehmen ein gezieltes IT-Sicherheitsniveau in sein operatives Geschäft zu integrieren. Der ISO/IEC 27001 verfolgt einen prozessorientierten Ansatz und hat die Einführung eines auf die individuelle Risikosituation der jeweiligen Organisation zugeschnittenen ISMS zum Ziel. Er bietet einer Organisation damit die Möglichkeit, effektiv und auf Dauer das benötigte Maß an Informationssicherheit zu erreichen und zu erhalten.
Dadurch sollen sämtliche „Informations-Werte“ wie Informationen, Dienste oder Systeme (im Wortlaut des Standards die so genannten „Assets“) des Unternehmens bezüglich der drei grundlegenden Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden.
Der ISO/IEC 27001 gibt durch die Verpflichtung auf eine Reihe von Sicherheitsprozessen eine Methodik zum Erreichen eines individuell definierten Sicherheitsniveaus vor. Seine Umsetzung resultiert also in erster Linie in einem übergeordneten Managementrahmen, vor dessen Hintergrund die Definition eigener Sicherheitsmaßnahmen erfolgt.
Vorteile Informationssicherheits-Managementsystem (ISMS)
Ein ISMS nach ISO/IEC 27001 wird grundsätzlich in vier Phasen eingeführt, die wieder in einzelnen Schritten unterverteilt sind. In der fünften Phase erfolgt das Zertifizierungsaudit.
1. Initiierung des Sicherheitsprozesses
2. Erstellung der Sicherheitskonzeption
3. Umsetzung der Sicherheitskonzeption
4. Aufrechterhaltund und Verbesserung
Die vierte Phase ist die Aufrechterhaltung und Verbesserung des Managementsystems. In dieser Phase ist das Managementsystem implementiert und wird kontinuierlich verbessert. Dazu gehört, ob die gesetzten Ziele des Systems erreicht werden bzw. ob diese angemessen sind oder angepasst werden müssen.
Das Ergebnis ist ein Managementsystem, das auf dem klassischen Plan-Do-Check-Act Zyklus basiert: die geplante Maßnahmen („plan“) werden umgesetzt („do“), evaluiert („check“) und ggf. angepasst („act“).
5. Zertifizierungsaudit
Durchführung des externen Zertifizierungsaudits durch die spezialisierten Auditoren der ZER-QMS, um die Erfüllung der Anforderung gemäß ISO/IEC 27001 zu bewerten.
Zur Beurteilung des benötigten Manntageaufwandes bieten neben den individuellen Angaben des Unternehmens Aufwandslisten Anhaltspunkte, die z.B. von den Akkreditierern im internationalen Normungswesen herausgegeben werden.
Zur Abschätzung des Aufwands finden generell die Tätigkeiten, die Anzahl der Standorte und die Mitarbeiterzahl Berücksichtigung. In jedem Fall wird das Angebot auf individuelle Besonderheiten des Kunden Rücksicht nehmen, z. B. mögliche Aufwandsreduktionen bei gleichartigen oder gering komplexen Tätigkeiten bei großer Mitarbeiterzahl. Bei gleichartigen Tätigkeiten an mehreren oder auch einer Vielzahl von Standorten kann auch ein Stichprobenverfahren angewandt werden.
Bei guter Vorbereitung im Unternehmen kann ein Erstzertifizierungsverfahren innerhalb weniger Wochen komplett abgewickelt werden.
Das erteilte Zertifikat hat eine Laufzeit von drei Jahren. Die Einhaltung der Normforderungen während der Laufzeit wird durch jährliche (also zwei) Überwachungsauditierungen festgestellt, die einen erheblich verminderten Umfang gegenüber der Zertifizierungsauditierung haben. Zum Ablauf der Zertifikatsgültigkeit schließt sich ein Wiederholungsaudit an, das vom Umfang her zwischen dem Aufwand der Erstauditierung und den jährlichen Überwachungsaudits liegt.
Das IT-Sicherheitsgesetz (IT-SiG) sowie der IT-Sicherheitskatalog der BNetzA fordern die Konzeption, Aufbau und Zertifizierung des eines Informationssicherheits-Managementsystems (ISMS) von betroffenen Unternehmen. Das IT-Sicherheitsgesetz grenzt die Pflicht hierzu auf Unternehmen ein, die ein Versorgungsgebiet versorgen. Anhand des aktuellen „Referentenentwurf - Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ lässt sich ableiten, dass die Schwellwerte im Sektor Energie bei 500.000 versorgten Personen liegen. Bei der Umsetzung der Anforderungen des IT-Sicherheitskataloges der BNetzA bestehen hingegen keinerlei Ausnahmen von der Umsetzungspflicht.
Mit dem IT-Sicherheitskatalog der Bundesnetzagentur werden Netzbetreiber verpflichtet, ein ISMS nach ISO/IEC 27001:2013 aufzubauen und dieses bis zum 31. Januar 2018 zu zertifizieren. Bereits seit dem 30. November 2015 ist ein Ansprechpartner für Informationssicherheit zu benennen und der Bundesnetzagentur mitzuteilen.
Der Geltungsbereich des IT-Sicherheitskatalogs der BNetzA und damit des zu erstellenden ISMS umfasst „alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind. Enthalten sind demnach zumindest alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d.h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Daneben sind auch TK- und EDV-Systeme im Netz betroffen, die selbst zwar nicht direkt Teil der Netzsteuerung sind, deren Ausfall jedoch die Sicherheit des Netzbetriebs gefährden könnte. Darunter fallen z.B. Messeinrichtungen an Trafo- oder Netzkoppelstationen.“.