Einführung & Betrieb eines Informationssicherheitssystems (ISMS)
Die BFS bietet Ihren Kunden Lösungen für die Einführung eines ISMS und dessen Betrieb bis zur Erstzertifizierung, die einerseits den Zertifizierungskriterien gerecht wird, andererseits aber die Zusatzbelastung der Mitarbeiter in den Unternehmen auf ein Minimum reduziert.
Durch die von branchenspezifischem Knowhow aus verschiedenen Unternehmen, verstehen wir uns als kompetenter Ansprechpartner für diese Branche. Die von uns für diese Projekte eingesetzten Mitarbeiter verfügen über eine langjährige Erfahrung bei der Durchführung von Projekten, auch bei Energieversorgern. Dazu kommt ein fundiertes Wissen über die Einführung und den Betrieb ISO 27001 konformer ISMS aus der Praxis. Deshalb sind wir sicher, dass unser Services die Anforderungen unserer Kunden erfüllen wird und wir unsere Kunden zu einer erfolgreichen Zertifizierung führen können, begleitet durch einen effektiven Betrieb des ISMS.
Einführung & Betrieb eines ISMS
Unsere Vorgehensweise bei der Einführung Ihres ISMS orientiert sich am IT-Sicherheitskatalog der Bundesnetzagentur und der daraus abgeleiteten Phasenelemente unseres Vorgehensmodells. Dabei haben wir einen besonderen Schwerpunkt auf die Standardisierung des ISMS für die KOS-Mitgliedsunternehmen gelegt und gleichzeitig eine möglichst geringe Belastung der Mitarbeiter dieser Unternehmen vorgesehen. Nur dadurch ist eine schnelle und problemlose Implementierung Ihres ISMS möglich und der Aufwand auf Seiten der Stadtwerke bleibt in einem leistbaren Rahmen.
Wir beginnen mit dem KickOff-Workshop zur Vorstellung unseres Projektteams und unserer Vorgehensweise sowie eines groben Projektplanes. Der danach folgende Teil dieser Phase besteht aus der Erstellung aller zentraler Pflichtdokumente, zur direkten Nutzung durch den Kunden. Das bedeutet, dass die Kunden direkt verwendbare Unterlagen erhalten, ohne eigenen Aufwand.
In dieser Phase erstellen wir aller Dokumente aus dem Bereich der Maßnahmen. Innerhalb dieser Dokumente befinden sich zu jedem der aufgeführten Controls die generelle Beschreibung sowie eine oder mehrere Möglichkeiten zur Umsetzung dieser Maßnahmen. Nach Abschluss dieser Phase werden alle relevante Dokumente in 3 Handbüchern (Anwender, Administratoren, Organisation) zusammengefasst. Damit steht den Mitarbeitern, auch nach der Erstzertifizierung, in ihrer täglichen Arbeit ein Nachschlagewerk zur Verfügung, in dem sie alle für sie relevanten Information nachlesen können.
Auf Basis der erstellten Dokumente, werden in dieser Phase alle notwendigen Maßnahmen, auf Basis von Checklisten individuell mit den Einzelkunden besprochen und aufgenommen. Nach Abschluss dieser Phase, stehen den Kunden alle notwendigen Dokumente, zur Verfügung. Auf Basis dieser Dokumente ergibt sich dann der jeweilige, individuelle Maßnahmenplan.
Wir definieren wir die Aufnahme der Assets zu erfolgen hat. Die Aufnahme der Assets erfolgt durch den jeweiligen Kunden selbst, wird aber durch begleitende Workshops unterstützt. Auf Basis vorgenommenen Klassifizierung der Assets, nehmen wir gemeinsam mit dem Kunden die Risikobewertung der als kritisch eingestuften Assets vor.
Ab dieser Phase beginnt der Betrieb des ISMS, den wir für unsere Kunden, bis zum ersten Zertifizierungsaudit, übernehmen.
Darüber hinaus erklären wir die Abläufe der Zertifizierung und unterstützen bei der Auswahl einer geeigneten Zertifizierungsstelle.
Weitere Services zum Betrieb Ihres ISMS
Zur Unterstützung bei der Einführung und beim Betrieb Ihres ISMS empfehlen wir das Management-System der Firma HiScout GmbH. Dieses Tool bietet Ihnen die notwendige Funktionalität zur einfachen Verwaltung Ihrer Prozesse, Systeme, Komponenten und Dokumente. Darüber hinaus unterstützt Sie dieses Tool beim Risiko-Management und der Verwaltung Ihrer Audits.
Wir stellen für Ihr Unternehmen den „Ansprechpartner IT-Sicherheit“, gemäß IT-Sicherheitskatalog. Dabei sind dieser Rolle folgende Aufgaben zugeordnet:
Koordination und Kommunikation der IT-Sicherheit gegenüber der Bundesnetzagentur Beantwortung von Anfrage der Bundesnetzagentur hinsichtlich Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog sowie Aufgetretener Sicherheitsvorfälle sowie Art und Umfang evtl. hierdurch hervorgerufener Auswirkungen
In der Praxis hat es sich bewährt, im Unternehmen eine Person als IT-Sicherheitsbeauftragten zu benennen, die die Einführung und den Betrieb des ISMS operativ verantwortet. Diese Rolle ist zwar gesetzlich nicht vorgeschrieben, es bietet sich jedoch an, eine zentrale Stelle mit dem Aufgabengebiet Informationssicherheit zu betrauen. Dabei übernimmt diese Person die Steuerung des Informationssicherheitsprozesses und wirkt bei allen damit zusammenhängenden Aufgaben entscheidend mit. Ferner ist diese Person der generelle Ansprechpartner für die Unternehmensleitung bei der Weiterentwicklung des ISMS
Nach erfolgreich durchgeführtem Zertifizierungsaudit muss das ISMS auch weiterhin gemäß des PDCA-Zyklus betrieben werden. Das bedeutet, alle eingeführten Prozesse und Maßnahmen müssen gelebt, weiter verbessert und kontrolliert werden. Wir unterstützen Sie auch nach der Erstzertifizierung beim Betrieb und der Weiterentwicklung Ihres ISMS mit unseren zahlreichen ISMS Services.