SC124: ISMS-Implementierung für EVU/KRITIS gemäß ISO/IEC 27001:2022 und 27019

Agenda:

• Teil 1: Kurze Einführung: Informationssicherheit verstehen und Gefährdungslage
  
  
• Teil 2: Die ISO/IEC 27001-Normenfamilie, sowie gesetzliche, regulatorische Anforderungen
  • Überblick über die Normenvielfalt
  • Aufbau der ISO/IEC 27001, 27002 und ISO/IEC 27019
  • IT-Sicherheitskataloge §11 (1a), (1b) EnWG (IT-SiK)
  • Konformitätsbewertungsprogramm der BNetzA
  • BSI™-Gesetz und BSI™-Kritis-Verordnung, §8a-Anforderungen
  • Branchenspezifische Sicherheitsstandards (B3S)
    
    
• Teil 3: Das Managementsystem ISO/IEC 27001, Kapitel 4 - 10
  • Kapitel 4: Kontext der Organisation
    • Was ist der interne und externe Kontext, interessierte Parteien?
    • Wie sollte der sog. Andwendungsbereich hergeleitet werden und wie könnte ein Scope-Dokument aufgebaut werden?
    • Welchen Einfluss auf den Scope nehmen IT-SiK und §8a-Anforderungen
  • Kapitel 5: Führung
    • Anforderungen und Rollen der Geschäftsführung im ISMS
    • Bestandteile einer Informationssicherheitspolicy/-leitlinie
    • Rollen und Verantwortlichkeiten im ISMS
  • Kapitel 6: Planung
    • ISMS-Risikomanagement: Normanforderungen und Lösungsansätze für die Praxis, um die Anforderungen aus IT-SiK oder §8a BSI™-G zu erfüllen
    • Bestandteile eines Risikomanagements gem. ISO/IEC 27005
    • Aufbau einer Erklärung zur Anwendbarkeit (SoA)
    • Wie werden unternehmensspezifische Maßnahmen angemessen implementiert? "Alle lesen aus der gleichen Norm, doch was bedeutet das konkret für Energieversorger?"
    • Risikomatrix, Risiko-Owner und Risikobehandlungsoptionen/-pläne
  • Kapitel 7: Unterstützung
    • Ressourcen, Kompetenzen, Awareness, dokumentierte Information
  • Kapitel 8: Betrieb
    • Anforderungen und Herausforderungen an die Aufrechterhaltung eines Managementsystems
  • Kapitel 9: Bewertung und Leistung
    • Messen und Bewerten mit Messwerten und KPIs
    • Durchführung interner Audits, Aufbau von Auditplänen und Auditprogrammen
    • Bestandteile einer Managementbewertung
  • Kapitel 10: Verbesserung
    • Anforderungen an Korrekturmaßnahmen aus Audits und Sicherheitsvorfällen
    • Etablierung eines kontinuierlichen Verbesserungsprozesses (KVP)
      
      
• Teil 4: Vorstellung und Diskussion ausgewählter technisch-organisatorischer Maßnahmen aus ISO/IEC 27001, Anhang A
  
  • ISO/IEC 27001/27002: u.a. Asset-Management, Lieferantenmanagement, Vorfallsmanagement
  • ISO/IEC 27019: Inhalte der 14 neuen Controls und Nutzung der ergänzenden Umsetzungsempfehlungen, u.a. physische Sicherheit von Leitwarten und Betriebsstätten.
  • Meldepflichten aus §11 (1c) EnWG und §8b (3) BSI™-G. Aufbau einer Kontaktstelle zur jederzeitigen Erreichbarkeit durch das Bundesamt für Sicherheit in der Informationstechnik
    
    
• Teil 5: Zertifizierung & Prüfungen
  • Der Zertifizierungszyklus
  • Der Weg zur erfolgreichen Zertifizierung - auf was muss geachtet werden?
    
    

Ziele:

• SC185 Praxisumsetzung der ISO 27001/27002
• SC135 Interner Auditor
• SC150 ISMS Auditor/Lead Auditor (IRCA™ A17608)

Zielgruppe:

Voraussetzungen:

Beschreibung: