Zertifizierung sicher und unternehmensgerecht vorbereiten

Dokumentation der IT-Prozesse und -Systeme bei Netzbetreibern:
Zertifizierung sicher und
unternehmensgerecht vorbereiten
Die Bundesnetzagentur hat im August 2015 den IT-Sicherheitskatalog für Betreiber von Energieversorgungsnetzen festgelegt. Kern des Kataloges ist die Einführung und Zertifizierung eines
Informationssicherheits-Managementsystems (ISMS). IT-Prozesse und IT-Systeme sind darin zu
dokumentieren, Umsetzungszeiträume festzulegen sowie verantwortliche Personen zu benennen.
Einführung und Zertifizierung des ISMS sind bis Ende Januar 2018 abzuschließen.
Symbion unterstützt Stadtwerke bei den Vorbereitungen zur Zertifzierung des ISMS. Aus Unternehmenssicht ist wichtig, aus der Fülle an möglichen Maßnahmen die für die Unternehmensgröße
und –komplexität angemessenen Pakete auszuwählen und umzusetzen. Der Symbion-Ansatz für die
Dokumentation der IT-Prozesse und –Systeme richtet sich daher in besonderer Weise an den Anforderungen der Organisation aus und speist sich aus langjährigen Erfahrungen in der Energiewirtschaft.
Alle Dokumentationsbausteine werden so aufgebaut, dass sie jederzeit leicht angepasst werden
können (Skalierbarkeit).
Prozessdokumentation
Bei der Prozessdokumentation empfehlen wir, den
„FitSM-Standard“ (Federate IT Service Management)
zugrunde zu legen. Dieses Regelwerk orientiert sich an
bekannten Management-Systemen wie der ISO 20000.
Je nach Größe und Aufbau der IT Organisation werden
die wichtigsten Geschäftsprozesse festgelegt und auf
ihren Reifegrad hin analysiert. Diese Kernprozesse
sind z.B.:
•
Veränderungs-Management
•
IT-Störungs-Management
•
IT-Sicherheits-Management
•
Lieferketten-Management
•
Risiko-Management
Diese Prozesse sollten mindestens auf dem ReifegradLevel 2, alle anderen Prozesse auf dem Level 1 dokumentiert werden können (siehe Erläuterung im Kasten
rechts).
Level 1:
Die Tätigkeiten des Prozesses werden
durchgeführt, allerdings sind nicht alle
Schritte definiert bzw. einige Aktivitäten
werden nicht durchgeführt.
Level 2:
Die Tätigkeiten sind soweit dokumentiert und bekannt, dass sie wiederholbar
durchgeführt werden können.
Level 3:
Alle Tätigkeiten sind definiert und dokumentiert, alle Rollen und Verantwortlichkeiten festgelegt und die Mitarbeiter sind
entsprechend geschult.
© Symbion AG 2015 – www.symbion-ag.de
1
Systemdokumentation
Die Dokumentation richtet sich nach der Ausprägung der Unternehmensorganisation. Sie kann nach
folgendem Stufen-Modell festgelegt werden, das die Anforderungen an Umfang und Inhalt der
Dokumentation stufenweise erhöht (jeweils blau markiert, siehe unten). Um den Systemaufwand in
Grenzen zu halten, kann die vorhandene Infrastruktur zur Ablage der Dokumentation aus dem
Office-Umfeld (z.B. Excel) genutzt werden. Die Systematik richtet sich nach dem Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Stufe
1
Dokumentationsumfang
•Operative Tätigkeiten: Anlassbezogen/nicht standardisiert – IT Sicherheit wird rudimentär betrachtet
•Prozesse: sind nicht definiert
•IT Services: sind nicht definiert
2
•Operative Tätigkeiten: Festgelegte Verfahren/standardisiert – IT Sicherheit wird rudimentär betrachtet
•Prozesse: sind nicht definiert
•IT Services: sind nicht definiert
•Operative Tätigkeiten: Festgelegte Verfahren/standardisiert – IT Sicherheit wird ganzheitlich betrachtet
3
•Prozesse: Einzelne Prozesse sind definiert,
IT Sicherheit wird als Prozess betrachtet
•IT Services: Einzelne IT Services sind definiert
Anforderungen
•Systemdokumentation
•Sicherheits- und Datenschutzdokumentation
•Systemdokumentation
•Sicherheits-und Datenschutzdokumentation
•Dokumentation der operativen
Tätigkeiten
•Systemdokumentation
•Sicherheits- und Datenschutzdokumentation
•Dokumentation der operativen
Tätigkeiten
•Prozessdokumentation
•Systemdokumentation
4
•Operative Tätigkeiten: Anlassbezogen/nicht standardisiert – IT Sicherheit wird ganzheitlich betrachtet
•Sicherheits- und Datenschutzdokumentation
•Prozesse: Notwendige Prozesse sind definiert,
IT Sicherheit wird als Prozess betrachtet
•Dokumentation der operativen
Tätigkeiten
•IT Services: Einzelne IT Services sind definiert,
ein Service Katalog ist vorhanden.
•Prozessdokumentation
•Operative Tätigkeiten: Anlassbezogen/nicht standardisiert – IT Sicherheit wird rudimentär betrachtet
5
•Prozesse: Alle notwendigen Prozesse sind definiert,
IT Sicherheit wird als Prozess betrachtet
•IT Services: Einzelne IT Services sind definiert,
ein Service Katalog ist vorhanden.
Ein Servicemanagement ist eingeführt.
•IT-ServicemanagementDokumentation
•Systemdokumentation
•Sicherheits- und Datenschutzdokumentation
•Dokumentation der operativen
Tätigkeiten
•Prozessdokumentation
•IT-ServicemanagementDokumentation
•Wissensmanagement
© Symbion AG 2015 – www.symbion-ag.de
2

Download Report