Einführung eines ISMS für KRITIS-Unternehmen

Einführung eines ISMS für Betreiber kritischer Infrastrukturen zur Etablierung des "Stands-der-Technik".

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Die Schritte zu Ihrem KRITIS konformen ISMS

KRITIS Gap-Analyse

Der erste Schritt ist eine KRITIS Gap-Analyse. Unsere KRITIS-Fachkräfte erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen bzw. den Betriebsverantwortlichen der kritischen Anlagen - den Stand Ihrer aktuellen Implementierung, basierend auf den anzuwendenden Anforderungen (z.B. B3S, Konkretisierung der Anforderungen an die umzusetzenden Maßnahmen, ...). Neben der Prüfung des ISMS-Frameworks erfolgt auch eine stichprobenhafte Prüfung des Stands-der-Technik für ausgewählte Anlagen.

Diese KRITIS Gap-Analyse gibt Ihnen und uns ein klares Bild über Ihren ISMS- bzw. BCMS-Reifegrad und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die einzelnen Arbeitspakete zu definieren.

Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.

KRITIS Gap-Analyse

"Wo stehen Sie aktuell?"
< >

Framework etablieren

Bevor wir mit der Umsetzung konkreter Maßnahmen beginnen, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und legen das Fundament für ein funktionierendes und wirksames ISMS entsprechend dem Stand-der-Technik. 

  • Wir definieren und beschreiben den Prüfgegenstand basierend auf den Anforderungen an die kritische(n) Dienstleistung(en).
  • Wir wählen eine passende Prüfgrundlage aus (B3S, Orientierungshilfe B3S, einschlägige Standards wie die ISO 27001, eigener Prüfstandard, usw.).
  • Wir definieren und etablieren die Sicherheitspolitik und -ziele.
  • Wir klären die erforderliche Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
  • Wir schaffen die Projektorganisation für den Aufbau Ihres ISMS. 

Framework etablieren

"Die richtige Basis schaffen"
< >

Richtlinien erstellen

Die definierten Informationssicherheitsziele bzw. den gewünschten ISMS- / BCMS-Reifegrad können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Softwareentwicklung, Einkauf, Personalwesen oder Facility Management).

Dabei erfinden wir hier das Rad nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen, die bereits mehrere Jahre erfolgreich in der Praxis erprobt sind und regelmäßig aktualisiert werden, sodass sie stets dem Stand-der-Technik entsprechen.

Die erstellten Richtlinien stimmen wir mit den erforderlichen Personen in den Fachbereichen ab und integrieren diese in die relevanten Geschäftsbereiche.

Richtlinien erstellen

"Ohne klare Regeln kein KRITIS ISMS"
< >

Informationssicherheits-Risikomanagement

Das Informationssicherheits-Risikomanagement stellt das Herzstück eines wirksamen ISMS dar, denn es hilft Ihnen Wichtiges von Unwichtigen zu unterscheiden und pragmatisch vorzugehen. Für Kritische Infrastrukturen gibt es im Bereich Risikomanagement zusätzliche Anforderungen, und zwar

  • den "All-Gefahrenansatz", d.h. es müssen alle maßgeblichen Bedrohungen und Schwachstellen, die im Zusammenhang mit der Erbringung der Kritischen Dienstleistung stehen, berücksichtigt werden und 
  • die eingeschränkte Akzeptanz von Risiken, d.h. Risiken dürfen nicht rein betriebswirtschaftlich betrachtet bzw. uneingeschränkt akzeptiert oder transferiert werden, insbesondere, wenn es durch das Risiko zu Versorgungsengpässen bei der Erbringung der kritischen Dienstleistung kommen könnte. 

Wir erschaffen mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen eigenen Risikomanagementansatz im Unternehmen haben, setzen wir darauf auf und reichern ihn ggf. um fehlende relevante Aspekte (z.B. eine unzureichende Berücksichtigung der Schutzziele) an.

Informationssicherheits-Risikomanagement

"Risiken identifizieren und Maßnahmen ableiten"
< >

Maßnahmen umsetzen

Jetzt müssen Sie "nur" noch die definierten Maßnahmen umsetzen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben eines Information Security Officers vorzubereiten.

Wir legen bei der Umsetzung von Maßnahmen sehr viel Wert auf praktikable Lösungen, also Maßnahmen, die

  • die Versorgungssicherheit und Aufrechterhaltung der kritischen Dienstleistung(en) sicherstellen,
  • helfen, das gewünschte Sicherheitsniveau zu erreichen,
  • dabei wirtschaftlich und umsetzbar sind und
  • trotzdem den anwendbaren gesetzlichen Anforderungen (IT-Sicherheitsgesetz, BSI-Gesetz, etc.) bzw. Normanforderungen genügen.

Maßnahmen umsetzen

"Defizite beseitigen und Anforderungen umsetzen"
< >

Pre-Audit & Vorbereitungssession

Damit Sie alle formalen Anforderungen an KRITIS-Betreibende erfüllen und die erforderliche Zertifizierungsreife erlangen, müssen Sie regelmäßig interne ISMS-Audits durchführen. Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer internen KRITIS-Audits.

Und damit wir hier nicht unsere eigene Beratungsarbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - kann das interne KRITIS-Audit von einer erfahrenden Person für KRITIS-Prüfungen aus unserem Partnernetzwerk durchgeführt werden, die nicht am Aufbau Ihres ISMS beteiligt war und daher unabhängig ist. 

Die "Pre-Audits" liefern unserer Erfahrung nach einen hohen Nutzen:

  • Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
  • Sie erfüllen damit die ISO 27001 Anforderung interne Audits durchzuführen.
  • Sie bereiten Audit-Teilnehmende auf die echten Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten Audit "typische Fettnäpfchen" souverän zu umgehen.

Pre-Audit & Vorbereitungssession

"Mal sehen, wie die KRITIS-Prüfung laufen würde"
< >

KRITIS-Prüfung

Der letzte formelle Schritt ist die KRITIS-Prüfung, also die Nachweiserbringung des Stands-der-Technik. Diese muss von einer vom BSI akkreditierten Prüfstelle für Prüfungen gem. §8a BSIG durchgeführt werden.

Grundsätzlich sind wir eine solche geeignete Prüfstelle und führen KRITIS-Prüfungen gem. §8a BSIG durch. Wenn wir Sie beim Aufbau Ihres ISMS begleitet haben, können wir Sie aber nicht auch noch prüfen, wir würden dabei unsere eigene Arbeit zertifizieren.

KRITIS-Prüfung

"Den Nachweis erbringen"
< >

Wollen Sie Hilfe zur Selbsthilfe?

Lassen Sie uns in einem Webmeeting kennenlernen und über ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir in vergleichbaren Kundensituationen geholfen haben.
Ja, wir sollten reden!

Welche Unternehmen sind eigentlich KRITIS relevant?

Kritische Infrastrukturen im Sinne des BSI Gesetzes (BSIG) sind Anlagen bzw. Einrichtungen

  • der KRITIS-Sektoren und
  • die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten.

Aus diesem Grund definiert das BSIG (insb. §8 BSIG) diverse Anforderungen an KRITIS-Betreiber und verpflichtet relevante Organisationen die Umsetzung angemessener Sicherheitsmaßnahmen nach dem aktuellen Stand-der-Technik nachzuweisen. Als Grundlage hierfür können branchenspezifische Sicherheitsstandards (B3S), einschlägige Standards oder eigene Prüfkataloge verwendet werden.

Kritis