Beitrag

E-World 2015 – Nachlese Fr 27.02.2015

Jetzt neu: Zertifizierungen gem. ISO/IEC TR 27019 für die Energiewirtschaft

Steuerungssysteme der Energieversorgung müssen sicher sein. Und verfügbar! Und das betrifft nicht nur die Energienetze selber, sondern auch die IT in der Energieversorgung. Um Informationssicherheit in der Energiewirtschaft nachweisen zu können, ist die Norm ISO/IEC TR 27019 „Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry“ erschienen; die Norm war vormals als DIN SPEC 27009 entwickelt worden. Damit kann durch ein ISO-Zertifikat die Umsetzung der Anforderungen dieser Norm dokumentiert werden.

 

Die ISO-Norm 27019 setzt dabei auf ein Informationssicherheits-Managementsystem (ISMS) gem. ISO/IEC 27001 auf, das zertifiziert werden kann. Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle (DAkkS) entsprechend akkreditiert und darf international gültige Zertifikate erteilen.

ISO 27019 spezialisiert Controls aus ISO 27002 derart, dass spezifische Anforderungen zu Steuerungssystemen der Energieversorgung in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gem. ISO/IEC 27001 auch den Nachweis für die Erfüllung dieser Spezialnorm erbringen.

Wichtig: Nach dieser Norm kann nicht direkt zertifiziert werden. Zertifiziert wird stets ein ISMS gem. ISO/IEC 27001.

Wie wird nun ISO 27019 in ein ISO 27001-konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden typischerweise Maßnahmen (sogenannte Controls) herangezogen, um Risiken zu begegnen; diese Auswahl von Maßnahmen wird im sogenannten Statement of Applicability (SOA) fixiert. Das SOA bildet somit den Maßstab für das ISMS. Aus diesem Grund wird das jeweilige SOA auch im Zertifikat explizit referenziert. Meist werden Controls aus der ISO 27002 herangezogen; es lassen sich aber auch andere einschlägige Standards anwenden – beispielsweise ISO/IEC 27019 Dadurch, dass diese Norm dann im SOA aufgeführt ist, ist sie Bestandteil einer Zertifizierung gem. ISO/IEC 27001.

Lesen Sie mehr unter: ISO/IEC TR 27019.

Von Dr. Sönke Maseberg in der Rubrik cert News