Umsetzung der Anforderungen – was ist zu tun?
Wichtige Maßnahmen mit hoher Komplexität zur Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sind der Aufbau eines Risiko- und Krisenmanagements sowie die Planung, Etablierung, Aufrechterhaltung und ständige Verbesserung eines Information Security Management Systems (ISMS) nach dem internationalen Informationssicherheits-Standard ISO27001. Für den Aufbau des Risiko- und Security-Management-System empfiehlt es sich, bereits in der Planungsphase die Hilfe spezialisierter Berater in Anspruch zu nehmen. Soll das bestehende System im Unternehmen überprüft und angepasst werden, so bieten sich ein von extern durchgeführter Sicherheitscheck oder eine GAP Analyse an, um die wesentlichen Bausteine des ISMS zu testen. Technische, organisatorische, personelle und bauliche Maßnahmen werden dabei auf ihren Umsetzungsstatus hin geprüft. Ein abschließender Ergebnisreport gibt Aufschluss über den Status des ISMS im jeweiligen Unternehmen und zeigt den Handlungsbedarf auf. Nach der Umsetzung der dafür erforderlichen technischen und organisatorischen Maßnahmen, wie der Etablierung von Notfallmanagement- und Security-Incident-Prozessen oder der Besetzung der Rollen des Information Security Managers sowie Notfall- und Krisenmanagers, kann nach Erreichen des geforderten Umsetzungsgrads der Maßnahmen die Zertifizierung nach ISO27001 in Angriff genommen werden.
BSI-zertifizierte Revisoren
Der Einsatz BSI-zertifizierter Informationssicherheits-Revisions- und Beratungsexperten (IS-Revisor) gewährleistet die notwendige Qualität und stellt sicher, dass die Ergebnisse bei Behörden und externen Stellen anerkannt werden. Die erfolgreiche Zertifizierung ist der entscheidende Meilenstein bei der Umsetzung der Anforderungen des IT-Sicherheitsgesetzes und ein wirksamer Beitrag zur Abwehr von Cyber-Angriffen gegen die kritischen Infrastrukturen.