Im gesamten Compliance Bereich setzen Standards immer wieder neue Maßstäbe. Natürlich gehen wir mit unsere Compliance Suite diesen Weg mit und haben bereits etliche bekannte und wichtige Normen in unsere Anwendung integriert.

Uns ist es nicht egal wie wir etwas machen. Wir möchten auf Standards setzen und diese ständig weiterentwickeln. Auch integrieren wir neuen Normen ein und führen Aktualisierungen durch.

ISO 27001 / ISO 27002

Die ISO 27001 stellt einen zertifizierbaren Management-Standard dar der definiert, wie ein Informationssicherheitsmanagementsystem (ISMS) innerhalb einer Organisation zu betreiben ist. Hierbei muss die Informationssicherheit geplant, umgesetzt, überwacht und überprüft, und stetig verbessert werden (PDCA-Zyklus). Verantwortlichkeiten müssen festgelegt, und Ziele gesetzt, gemessen und überprüft werden. Die ISO 27001 gibt hierzu das Regelwerk vor. Auch ist eine Risikoanalyse und -bewertung innerhalb dieses Management-Standards ein wesentlicher Bestandteil.

Im Gegensatz zur ISO 27001 kann eine Organisation nicht nach der ISO 27002 zertifiziert werden. Die ISO 27002 stellt vielmehr einen Anhang im Rahmen einer Erweiterung zur ISO 27001 dar, welcher einen höheren Detaillierungsgrad als die ISO 27001 hat.

ISO 27019

Von staatlicher Seite wurde daher das IT-Sicherheitsgesetz (IT-SiG) verabschiedet, um kritische Infrastrukturen vor potentiellen Gefahren zu schützen und die Sicherheit der damit verbundenen informationstechnischen Systeme zu erhöhen. Dieses Gesetz verpflichtet Betreiber kritischer Infrastrukturen, angemessene technische und organisatorische Maßnahmen zum Schutz dieser Infrastrukturen zu treffen, und diese mindestens alle zwei Jahre nachzuweisen.

Für Netzbetreiber, zum Beispiel Stadtwerke, wurden diese Vorgaben durch den von der Bundesnetzagentur (BNetzA) veröffentlichten IT-Sicherheitskatalog präzisiert. Dieser fordert gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) die Umsetzung eines Informationssicherheits-managementsystems (ISMS) und die Zertifizierung dieses ISMS nach ISO 27001 und ISO 27019. Diese Zertifizierung muss der Bundesnetzagentur bis zum 31.01.2018 schriftlich nachgewiesen werden.

Die Zertifizierung umfasst unter anderem

  • die Festlegung des Geltungsbereiches (Scope) des ISMS für den sicheren Betrieb des Netzes,
  • eine Risikoanalyse des Netzbetreibers mit Schutzzielen und der Beachtung besonderer Schadensszenarien,
  • der Erstellung und Pflege eines Netzstrukturplanes und
  • weiteren Punkten, um den Betrieb des Netzes sicherzustellen.

Darüber hinaus müssen auch noch weitere fachspezifische Standards und Vorgaben, auf die die jeweilige geforderte Norm referenziert, beachtet werden (zum Beispiel das BDE-Whitepaper).

IT-Grundschutz (BSI)

Der IT-Grundschutz ist eine deutsche, zertifizierbare Norm, welche vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wurde. Diese Norm definiert, wie ein Informationssicherheitsmanagementsystem (ISMS) innerhalb einer Organisation zu betreiben ist. Hierbei muss die Informationssicherheit geplant, umgesetzt, überwacht und überprüft, und stetig verbessert werden (PDCA-Zyklus). Verantwortlichkeiten müssen festgelegt, und Ziele gesetzt, gemessen und überprüft werden. Auch ist eine Risikoanalyse und -bewertung innerhalb dieses Management-Standards ein wesentlicher Bestandteil.

Im Gegensatz zur ISO 27001 und ISO 27002 unterstützt der IT-Grundschutz die Umsetzung mit einem sehr umfangreichen und erklärenden Regelwerk. Hierbei wird – neben dem Aufbau des Informationssicherheitsmanagementsystems (ISMS) – auch die IT-Sicherheit, das heißt die technisch-organisatorische Absicherung der mittelbaren und unmittelbaren IT-Technik, betrachtet.

DIN EN 80001-1

Für Betreiber medizinischer Netzwerke, wie zum Beispiel Krankenhäuser und Pflegeeinrichtungen, wurde die DIN EN 80001-1 zur Anwendung des Risikomanagements für medizinische IT-Netzwerke aufgelegt. Hierbei umfasst das Risikomanagement sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken der Medizinprodukte (was ein Medizinprodukt ist, ist im Medizinproduktegesetz (MPG) klar definiert).

Diese Norm sollte umgesetzt werden, um möglichen Haftungsansprüchen gegen Betreiber medizinischer Netzwerke entgegenzuwirken.