Informationssicherheitsmaßnahmen für die Energieversorgung
Die Norm ISO/IEC 27019 betrifft vorrangig Betreiber einer kritischen Infrastruktur (Kritis).
Ab dem 01.01.2021 ist dieser Standard verpflichtend für alle Betreiber von Gas- sowie Stromnetzen. Ferner wurde der Öl-Energie-Sektor ergänzt. Die aktuelle Versionsnorm ist die ISO/IEC 27019:2017 (Stand Februar 2021).
Worum geht’s in der ISO/IEC 27019?
Die Grundlage der ISO 27019 ist die DIN EN ISO/IEC 27001.
In der ISO 27001 sind Handlungsanweisungen für ein standardisiertes Informationssicherheits-Managementsystem hinterlegt, unabhängig davon, um welche Branche es sich handelt.
Die ISO/IEC 27019 hingegen bringt neben vielen Definitionen auch verbindliche Erweiterungen zu Zielen und Maßnahmen zur Risikoreduktion speziell für ISMS aus dem Bereich der Energieversorgung mit sich.
Veränderungen in der ISO/IEC 27019
Ursprünglich wurde die DIN ISO/IEC TR 27019:2015 über die ISO/IEC 27002:2005 strukturiert. Durch Veränderungen der Norm 27019 musste anschließend eine Mapping-Tabelle zur Zuordnung von energiespezifischen Änderungen zum Maßnahmenkatalog verwendet werden. Dabei sind oft Probleme während Audits entstanden.
Mit Hilfe der neuen Norm ISO/IEC 27019:2017 kann die Mapping-Tabelle entfallen, da nun eine einheitliche Struktur innerhalb der Normen gegeben ist, die die Zuordnung der Maßnahmen vereinfacht.
Grundsätzlich wurde nicht viel zum bestehenden Maßnahmenkatalog der 27019 ergänzt. Es müssen zwei neue Maßnahmen komplett neu betrachtet sowie angewandt werden und bei 13 Bestandsmaßnahmen sind Ergänzungen zu machen.
Was sind die Vorteile einer ISO/IEC 27019 Zusatzzertifizierung?
Mit einem Zertifikat nach ISO/IEC 27019 erhalten Sie einen weltweit anerkannten Nachweis über die Wirksamkeit Ihrer Sicherheitsmaßnahmen. Dies stärkt nicht nur das Vertrauen aller Stakeholder, sondern auch das Sicherheitsbewusstsein Ihrer Mitarbeiter und Führungskräfte.
Schließlich sorgen Sie bei Ihren Angestellten mit dem Implementieren dieser Norm für mehr Handlungs- und Rechtssicherheit indem Sie die Einhaltung relevanter Compliance-Anforderungen einfordern.
Sie installieren einen Standard in Ihrem Unternehmen, welcher für eine fortlaufende Verbesserung des Sicherheitsniveaus sorgt und die Widerstandsfähigkeit gegen ungewollte Zugriffe vergrößert. Ferner systematisieren Sie die Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität und Verbindlichkeit von Informationen in Ihrem ISMS.
Wie läuft die Zertifizierung ab?
Grundsätzlich unterscheidet sich der Ablauf einer Zusatzzertifizierung nach ISO/IEC 27019 nicht von der Zertifizierung nach DIN EN ISO/IEC 27001.
Der einzige Unterschied ist, dass die ISO 27001 die Basis für ein Zertifikat nach ISO 27019 darstellt. Alle weiteren Schritte laufen analog ab.
- Informationsgespräch
In einem unverbindlichen Gespräch nehmen wir uns Zeit um Ihre Fragen zur Zertifizierung zu behandeln und formulieren bei Interesse die nächsten Handlungsschritte. Auf Wunsch führen wir auch mehrere Zertifizierungen gleichzeitig für Sie durch. - Audit und Dokumenteneinsicht
In einem Vor-Ort-Audit sichtet der Prüfer Ihre Dokumentationen zu Maßnahmen, die nach ISO&/IEC 27019 gefordert werden. Er prüft die Definition Ihrer Prozesse, wie sie angewandt werden und wie sie laut der ISO/IEC 27019 durchzuführen sind. - Auswertung, Abschlussbericht und Zertifizierung
Am Ende des Audits wird ein Prüfbericht erstellt und an den zuständigen Zertifizierungsauschuss übergeben. Der Ausschuss entscheidet darüber, ob Sie die Anforderungen erfüllen und das zusätzliche Zertifikat erhalten.
Sie bekommen Ihren persönlichen Auditbericht außerdem zugeschickt und können anhand dessen nachvollziehen in welchen Bereichen sie gut abgeschnitten haben und wo noch Nachholbedarf ist. - Jährliche Audits
Jedes Jahr wird ein Überwachungsaudit durchgeführt um die Einhaltung der Zertifizierungsmaßnahmen zu überprüfen. - Rezertifizierung
Nach Ablauf einer Frist von drei Jahren nach Ausstellung des ersten Zertifikats werden Rezertifizierungaudits durchgeführt.
Informieren Sie sich gerne auf unserer Seite weiter über die DIN EN ISO/IEC 27001, die ISO/IEC 27017 sowie ISO/IEC 27018.