Anforderungen an ISO 27001 Auditoren im Bereich Energieversorgung

ISO 27001 Audit’s nach dem IT-Sicherheitskatalog der Bundesnetzagentur gemäß § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) dürfen nur von Auditoren durchgeführt werden, die an einer von der Bundesnetzagentur anerkannten Schulung erfolgreich teilgenommen haben.

Anforderung an Auditoren gemäß IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG

Nachweis der Teilnahme an einer ISO 27001 Auditoren Schulung im Bereich EnergieversorgungDie grundlegenden Anforderungen an ISO 27001 Auditoren von Zertifizierungsstellen sind im Abschnitt 7.1 der ISO/IEC 27006:2015 geregelt. Zusätzlich zu diesen Anforderungen müssen die Auditoren im Bereich Energieversorgung bzw. Netzbetreiber eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren. Die erfolgreiche Teilnahme an der Schulung ist am Schulungsende im Rahmen einer Prüfung nachzuweisen.

Die Schulung muss einschließlich der Prüfung mindestens 6 Tage umfassen und die folgenden Themengebiete abdecken:

  • Rechtliche Rahmenbedingungen und Anforderungen in der Energiewirtschaft, insbesondere Unbundling
  • Technische Grundlagen der Strom- und Gasversorgung
  • Grundlagen für den Netzbetrieb
  • Netzsteuerung, Dispatching sowie
  • IT-Kritische Infrastrukturen für den Netzbetrieb und den Scope des ISMS nach dem IT-Sicherheitkatalog

Weitere Details können dem Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006, Stand: 13. April 2016, entnommen werden.

Unterstützung bei ISO 27001 Audit’s im Bereich Energieversorgung

SITACS verfügt über anerkannte ISO 27001 Auditoren mit der von der Bundesnetzagentur geforderten Qualifikation und arbeitet mit entsprechenden Zertifizierungsstellen zusammen. Gerne unterstützen wir Energieversorger bzw. Netzbetreiber bei der Zertifizierung nach ISO 27001 gemäß IT-Sicherheitskatalog nach Energiewirtschaftsgesetz und unterbreiten Ihnen gerne ein entsprechendes Angebot. Sprechen Sie uns an.

ISO 27001 Beratung und Zertifizierung

ISO 27001 Zertifizierung ihres InformationsverbundesIm Rahmen einer ISO 27001 Beratung und Zertifizierung unterstützen wir durch unsere qualifizierten ISO 27001 Auditoren und Berater interessierte Unternehmen und Behörden bei der Einführung bzw. Zertifizierung eines Informationssicherheitsmanagementsystems bzw. ISMS nach der internationalen Norm ISO/IEC 27001.

Informationen stellen heutzutage einen wesentlichen Wert für Unternehmen und Behörden dar und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Daher wird die Sicherheit und Zuverlässigkeit der eingesetzten Informations- und Kommunikationstechniken sowie die Vertraulichkeit der Informationen immer wichtiger. Die Informationen müssen daher angemessen geschützt und vor Manipulationen und Verlust gesichert werden, so dass keine Risiken für die betroffenen Unternehmen bzw. Behörden entstehen können. Ein angemessener Schutz der unternehmensinternen Informationen sowie eine Grundsicherung der eingesetzten Informationstechnologie sind schon mit geringem Aufwand erreichbar. Informationssicherheit sollte heutzutage nicht als einmaliges Projekt, sondern als kontinuierlicher Prozess verstanden werden.

ISO 27001 Beratung und Zertifizierung eines Informationssicherheitsmanagementsystems

Im Rahmen unserer ISO 27001 Beratung unterstützen wir Unternehmen und Behörden bei der Einführung eines Informationssicherheitsmanagementsystems bzw. Information Security Management Systems – kurz ISMS genannt – und helfen Ihnen dabei, die Prozesse an die internationale Norm ISO 27001 anzugleichen. Neben der Erstellung organisatorischer Regelungen unterstützen wir Sie auch dabei, die Sicherheit der IT-Systeme durch technische Vorkehrungen aktiv zu verbessern.

ISO 27001 Beratung und Zertifizierung im Bereich von kritischen Infrastrukturen.

Netzbetreiber gehören zu den kritischen Infrastrukturen und müssen ihr internes Informationssicherheitsmanagementsystem (ISMS) bis Januar 2018 zertifizieren lassen.

Wir verstehen IT-Sicherheit nicht als einmalige Aktion, sondern als aktiven und wiederkehrenden Prozess, der die Wirksamkeit und Angemessenheit der Sicherheit ihrer IT-Systeme kontinuierlich gewährleisten und dauerhaft verbessern soll.

Auch wenn Ihr Unternehmen nicht zu den kritischen Infrastrukturen, wie beispielsweise Banken, Energieversorger, Telekommunikation, etc.  gehört, kann die Einführung eines Informationssicherheitsmanagementsystems durchaus sinnvoll sein. Dies ist immer dann wichtig, wenn Ihr Unternehmen über hoch vertrauliche Informationen verfügt, beispielsweis aus dem Bereich der Forschung oder wenn andere Informationen in hohem Maße schützenswert sind. Ein angemessener Schutz der Informationen liegt immer dann vor, wenn die Aspekte der Vertraulichkeit, Verfügbarkeit bzw. Integrität bei den zu treffenden Maßnahmen betrachtet wurden. Beispielsweise können die Anforderungen an die Verfügbarkeit einen höheren Stellenwert haben als die Anforderungen an die Vertraulichkeit. Dies ist beispielsweise immer dann der Fall, wenn der Ausfall von einzelnen IT-Systemen einen hohen Schaden im Unternehmen verursachen würde, z.B. wenn Online-Bestellungen nicht mehr eingehen und verarbeitet werden können. Andererseits können die Anforderungen an die Vertraulichkeit sehr hoch sein, beispielsweise bei der Speicherung sensibler personenbezogener Daten und die Anforderungen an die Verfügbarkeit normal oder gering sein. Entsprechende Maßnahmen, die diesen unterschiedlichen Anforderungen gerecht werden, gilt es im Rahmen einer ISO 27001 Beratung zu identifizieren.

Sofern wir im Rahmen einer ISO 27001 Einführung eines Informationssicherheitsmanagementsystems beteiligt waren können wir nicht als ISO 27001 Auditoren bzw. Zertifizierer tätig werden. Wir sind jedoch gerne bereit, Sie bei der Auswahl eines ISO 27001 Zertifizierers zu unterstützen und stellen entsprechende Kontakte her.

Unsere Leistungen im Rahmen der ISO 27001 Beratung und Zertifizierung

Als zertifizierte ISO 27001 LeadAuditoren unterstützen wir Sie bei der Einführung und Gestaltung eines Informationssicherheitsmanagementsystems, beispielsweise durch

  • Coaching und Training Ihrer Mitarbeiter,
  • aktive Projektleitung,
  • Einführung bzw. Anpassung von Prozessen an die ISO 27001 Anforderungen sowie
  • Zertifizierung des Informationssicherheitsmanagementsystems nach ISO 27001

Für eine erste unverbindliche Kontaktaufnahme benutzen Sie bitte unser Kontaktformular oder rufen Sie uns einfach an.

ISO 27001 Zertifikat für ein Stadtwerk erteilt

Erteilung eines ISO 27001 Zertifikat für ein StadtwerkZiel dieses Projektes war die erfolgreiche Durchführung einer ISO 27001 Erst-Zertifizierung bei einem regionalen Energieversorger bzw. Stadtwerk, so dass im Anschluss ein ISO 27001 Zertifikat auf Basis von IT-Grundschutz durch das BSI ausgestellt werden konnte.

Grundlage für die Zertifizierung war das Zertifizierungsschema des BSI. Vor der ISO 27001 Zertifizierung wurde vom Auftraggeber im Rahmen eines über mehrere Monate laufenden internen Projektes die notwendige Dokumentation erstellt sowie die entsprechenden Maßnahmen umgesetzt und erforderliche Prozesse eingeführt.

Projekt: ISO 27001 Zertifikat auf Basis von IT-Grundschutz bei einem Stadtwerk / Energieversorger

Im Zusammenhang mit der ISO 27001 Zertifizierung bei dem Stadtwerk haben wir

  • eine Prüfung der vorhandenen Dokumentation sowie
  • eine Prüfung der vom BSI geforderten Referenzdokumente

durchgeführt. Hierbei haben wir besonders auf die Ausgestaltung der Prozesse des Informationssicherheitsmanagements (ISMS) sowie die korrekte Umsetzung der zu prüfenden Bausteine aus den IT-Grundschutzkatalogen geachtet. Im Anschluss an die Dokumentationsprüfung wurde mit dem ISO 27001 Audit vor Ort fortgefahren und in Stichproben geprüft, ob die in der Dokumentation enthaltenen Angaben angemessen und sachgerecht umgesetzt wurden.

Projektergebnis

Die Ergebnisse über die Dokumentationsprüfung sowie die Prüfung bei dem Auftraggeber vor Ort wurden im Anschluss in einem Auditbericht festgehalten. Dieser wurde dem BSI zur weiteren Prüfung vorgelegt und anschließend wurde vom BSI das ISO 27001 Zertifikat auf Basis von IT-Grundschutz erteilt. Das Projekt wurde von uns innerhalb Time und Budget durchgeführt.

Hinweis!

Bundesnetzagentur schreibt ISO 27001 Zertifizierung vor.

Eine ISO 2001 Zertifizierungen wurde kürzlich von der Bundesnetzagentur für alle Netzbetreiber gefordert und diese hat die Anforderungen in einem ersten  IT Sicherheitskataloges zusammengestellt. Gemäß diesem Sicherheitskatalog sollen alle Netzbetreiber verpflichtet werden, bis spätestens 31. Januar 2018 ein Informationssicherheitsmanagement (ISMS)  gemäß ISO 27001 aufzubauen. Hierbei soll der IT Sicherheitskatalog auf alle Netzkomponenten oder Teilsysteme, die einem unmittelbaren oder mittelbaren Einfluss auf die Netzfahrweise haben, angewendet werden. Hiervon sind fast alle Netzbetreiber betroffen.


Wir unterstützen Sie gerne bei dem Aufbau eines Informationssicherheitsmanagements (ISMS) gemäß ISO 27001, beispielsweise durch ein aktives Coaching Ihrer Mitarbeiter und die Erstellung der notwendigen Dokumentationsunterlagen bzw. bei der Implementierung der notwendigen Prozesse. Außerdem nehmen wir gerne ISO 27001 Zertifizierungsaufträge von Kunden entgegen, bei denen wir nicht zuvor in einem ISO 27001 Beratungsprojekt mitgewirkt haben. Sprechen Sie uns bitte an oder benutzen Sie unser Kontaktformular.