Einführung eines ISMS
Das VTA Leipzig ist als Betreiber Kritischer Infrastrukturen i.S.d BSI-Gesetzes und der BSI-KritisV verpflichtet, Nachweise für das Bestehen eines angemessenenen Informationssicherheitsniveaus zu erbringen.
secunet wurde 2020 mit einem Sicherheitsaudit, im Sinne der Nachweisprüfung und anschließender Konzeption und Einführung eines Informationssicherheitsmanagementsytems (ISMS) unter Berücksichtigung der ISO/IEC 27001 und des DIN VDE 0832-700 (branchenspezifischer Sicherheitsstandard für Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr) beauftagt.
Das Projekt wurde in drei Phasen aufgeteilt: Die Phase I (Analysephase) beinhaltete eine detaillierte Bestandsaufnahme inkl. der Erstellung einer Projektplanung über sämtliche geplante Aktivitäten sowie die Überprüfung bzw. Anpassung des Geltungsbereiches und die Erstellung des Nachweises gem. § 8a BSIG.
Die Phase II und III (Konzeptions- und Einführungsphase) beinhalteten die Umsetzung der geplanten Aktivitäten und somit den Aufbau eines ISMS. Insbesondere bei der Erstellung des Rahmen- und Regelwerkes konnte auf den secunet ISMS-Baukasten zurückgegriffen werden. Hierdurch konnten in kurzer Zeit die ISMS-Leitlinie, die ISMS-Organisationsrichtlinie sowie weitere Dokumente des Regelwerkes einschließlich eines ISMS-Handbuches mit Beschreibung des kontinuierlichen Verbesserungsprozesses erstellt werden.
Risikomanagement
Für das Management von Informationssicherheitsrisiken wurde ein einheitliches und transparentes Risikomanagement implementiert, das die Anforderungen der ISO/IEC 27001 und des B3S - DIN VDE V 0832-700 (beispielsweise im Sinne der zu berücksichtigenden Gefährdungen) erfüllt.
Zur Ermittlung der zu analysierenden Werte, wurden die vom ISMS-Anwendungsbereich umfassten physischen Infrastrukturen, beschäftigen Mitarbeiter, Systeme und Komponenten mit den eingesetzten Technologien und deren Kommunikationsverbindungen betrachtet. Die Risikoanalysen wurden durchgeführt und die Ergebnisse in einen Risikobehandlungsplan übertragen, welcher zur Abnahme an die Amtsleitung übergeben wurde.
Security Awareness
Im Rahmen des Projektes wurden die Inhalte eines E-Learning-Moduls zur Informationssicherheit auf Angemessenheit überprüft. In Ergänzung zum E-Learning erfolgte die Umsetzung von Webinaren, in welchen die Mitarbeiter zum gesetzlichen Hintergrund (§ 8a BSI-Gesetz), zum Thema KRITIS und den daraus folgenden Konsequenzen für das VTA Leipzig bzw. hinsichtlich der Einführung eines ISMS sensibilisiert wurden.
Internes Audit
Zum Abschluss des Projekts und zur Vorbereitung auf die nächste Nachweisprüfung gemäß § 8a BSIG wurde ein internes Audit geplant und umgesetzt. Zur Gewährleistung der Objektivität und Unparteilichkeit des Auditprozesses wurde das interne Audit durch secunet Mitarbeiter durchgeführt, die nicht an dem Einführungsprojekt des ISMS betiligt waren. Das Ergebnis des internen Audits wurde mittels eines Auditberichts an das VTA Leipzig bereitgestellt. Abschließend fand ein Projektabschluss-Workshop statt. In diesem wurde - basierend auf den ermittelten Befunden der ersten Nachweisprüfung und dem internen Auditbericht - die Entwicklung des ISMS dargestellt. Ergänzend wurde ein Ausblick auf zu berücksichtigende Themen gegeben und verdeutlicht, welche bestehenden Lücken priorisiert behandelt werden sollten.
Schicken Sie uns eine Anfrage über das Kontaktformular. Wir helfen gerne weiter.
