Einführung eines ISMS für KRITIS-Unternehmen

Bevor wir mit der Umsetzung konkreter Maßnahmen beginnen, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und legen das Fundament für ein funktionierendes und wirksames ISMS entsprechend dem Stand-der-Technik. 

• Wir definieren und beschreiben den Prüfgegenstand basierend auf den Anforderungen an die kritische(n) Dienstleistung(en).
• Wir wählen eine passende Prüfgrundlage aus (B3S, Orientierungshilfe B3S, einschlägige Standards wie die ISO 27001, eigener Prüfstandard, usw.).
• Wir definieren und etablieren die Sicherheitspolitik und -ziele.
• Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
• Wir schaffen die Projektorganisation für den Aufbau Ihres ISMS. 

Die definierten Informationssicherheitsziele bzw. den gewünschten ISMS- / BCMS-Reifegrad können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche.

Das Informationssicherheits-Risikomanagement stellt das Herzstück eines wirksamen ISMS dar, denn es hilft Ihnen Wichtiges von Unwichtigen zu unterscheiden und pragmatisch vorzugehen. Für Kritische Infrastrukturen gibt es im Bereich Risikomanagement zusätzliche Anforderungen, und zwar

• den "All-Gefahrenansatz", d.h. es müssen alle maßgeblichen Bedrohungen und Schwachstellen, die im Zusammenhang mit der Erbringung der Kritischen Dienstleistung stehen, berücksichtigt werden und 

• die eingeschränkte Akzeptanz von Risiken, d.h. Risiken dürfen nicht rein betriebswirtschaftlich betrachtet bzw. uneingeschränkt akzeptiert oder transferiert werden, insbesondere, wenn es durch das Risiko zu Versorgungsengpässen bei der Erbringung der kritischen Dienstleistung kommen könnte. 

Wir erschaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern ihn ggf. um fehlende relevante Aspekte (z.B. eine unzureichende Berücksichtigung der Schutzziele) an.

Jetzt müssen Sie "nur" noch die definierten Maßnahmen umsetzen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben eines Information Security Officers vorzubereiten.

Wir legen bei der Umsetzung von Maßnahmen sehr viel Wert auf praktikable Lösungen, also Maßnahmen, die

• die Versorgungssicherheit und Aufrechterhaltung der kritischen Dienstleistung(en) sicherstellen,
• helfen, das gewünschte Sicherheitsniveau zu erreichen,
• dabei wirtschaftlich und umsetzbar sind und
• trotzdem den anwendbaren gesetzlichen Anforderungen (IT-Sicherheitsgesetz, BSI-Gesetz, etc.) bzw. Normanforderungen genügen.

Damit Sie alle formalen Anforderungen an KRITIS-Betreibende erfüllen und die erforderliche Zertifizierungsreife erlangen, müssen Sie regelmäßig interne ISMS-Audits durchführen. Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer internen KRITIS-Audits.

Und damit wir hier nicht unsere eigene Beratungsarbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - kann das interne KRITIS-Audit von einer erfahrenden Person für KRITIS-Prüfungen aus unserem Partnernetzwerk durchgeführt werden, die nicht am Aufbau Ihres ISMS beteiligt war und daher unabhängig ist. 

Die "Pre-Audits" liefern unserer Erfahrung nach einen hohen Nutzen:

• Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
• Sie erfüllen damit die ISO 27001 Anforderung interne Audits durchzuführen.
• Sie bereiten Audit-Teilnehmende auf die echten Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten Audit "typische Fettnäpfchen" souverän zu umgehen.

Der letzte formelle Schritt ist die KRITIS-Prüfung, also die Nachweiserbringung des Stands-der-Technik. Diese muss von einer vom BSI akkreditierten Prüfstelle für Prüfungen gem. §8a BSIG durchgeführt werden.

Grundsätzlich sind wir eine solche geeignete Prüfstelle und führen KRITIS-Prüfungen gem. §8a BSIG durch. Wenn wir Sie beim Aufbau Ihres ISMS begleitet haben, können wir Sie aber nicht auch noch prüfen, wir würden dabei unsere eigene Arbeit zertifizieren.