Das Magazin für Innere und Äußere Sicherheit, Bevölkerungsschutz, Katastrophenhilfe und Kritische Infrastrukturen
Home

Berlin, 05.10.2015

Leitfaden zum IT-Sicherheitskatalog veröffentlicht

Gemeinsam mit dem Digitalverband BITKOM hat der VKU (Verband kommunaler Unternehmen e.V.) zur Umsetzung des Katalogs einen Leitfaden erarbeitet. Diese Hilfestellung richtet sich an die Geschäftsführung, an Leiter von IT-Abteilungen und an Mitarbeiter, die für Informationssicherheit zuständig sind oder zukünftig sein sollen. Der Leitfaden soll die Verantwortlichen in den Unternehmen so vorbereiten, dass diese den Umsetzungsprozess möglichst strukturiert und damit effizient angehen können.

Zentrales Element des Katalogs stellt die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) dar. Entsprechend beschäftigt sich auch der Leitfaden vorrangig mit diesem Thema. Dazu wird erläutert, welche Personen in die Prozesse einzubeziehen, welche Umsetzungszeiträume anzusetzen und welche Systeme, Bestandteile und Komponenten in das ISMS einzubinden sind.

Wichtig ist, dass die Geschäftsführung die Führung beim Aufsetzen des Projektes zur Umsetzung des IT-Sicherheitskatalogs übernimmt. Einerseits sind die Fristen zur Umsetzung der Maßnahmen recht kurz, andererseits wird bei der Zertifizierung des ISMS auch die Einbindung der Geschäftsführung überprüft.

Die Frist zur Benennung eines "Ansprechpartners für IT-Sicherheit" gegenüber der Bundesnetzagentur läuft dabei schon am 30. November 2015 aus. Dieser Ansprechpartner muss nicht im eigenen Unternehmen sitzen, muss aber in die wesentlichen Abläufe in der Netzleitwarte eingebunden sein, sodass er frühzeitig bei Störungen in die Kommunikation eingebunden ist und bei Bedarf schnell zu den Hintergründen Auskunft geben kann.

Für die Einführung und Zertifizierung des ISMS läuft die Frist bis zum 31. Januar 2018. Da das ISMS je nach Unternehmen einen tiefgreifenden Einschnitt in Prozesse und Abläufe bedeuten kann, ist dieser Zeitraum durchaus ambitioniert. Es muss dabei berücksichtigt werden, dass das ISMS zum Zeitpunkt der Zertifizierung bereits einige Monate betrieben werden muss. Weiterhin könnte gerade kurz vor Ende der Frist die Auslastung bei den Zertifizierern sehr hoch sein. Das Zertifikat liegt derzeit allerdings noch nicht vor, sondern wird von der deutschen Akkreditierungsstelle im Laufe dieses und des kommenden Jahres erarbeitet. Durch das neue Zertifikat soll sichergestellt werden, dass neben der ISO 27001 auch der IT-Sicherheitskatalog und damit die ISO 27019 berücksichtigt werden. Der fachliche Rahmen für den Start ist somit vorhanden. Eine vertiefte Erläuterung zu den weiteren Schritten finden Sie unter dem folgendem Link.

>>> Leitfaden zum IT-Sicherheitskatalog

>>> zum Sicherheitskatalog