ICS/OT Security Management

Die Lösung von Sicherheitsproblemen durch ad-hoc Einzelmaßnahmen führt in der Regel nicht zum erwünschten dauerhaften Erfolg, da häufig nur Symptome bekämpft werden und nicht die eigentlichen Ursachen. Weitere Risiken bleiben bis zum Auftreten konkreter Probleme unentdeckt. Stattdessen müssen im Rahmen einer systematischen Herangehensweise die grundlegenden Problemursachen beseitigt werden. Notwendig hierfür ist der Aufbau einer auf die Besonderheiten der ICS- und OT-Umgebung angepassten Sicherheitsorganisation im Rahmen eines standardisierten Informationssicherheits-Managementsystems (ISMS).

Durch unsere vielfältige Erfahrung sowohl im Industrieumfeld als auch beim ISMS-Aufbau sind wir in der Lage, ein speziell auf Ihre ICS- und OT-Organisation abgestimmtes ISMS zu planen und zu etablieren. Wir legen dabei besonderen Wert auf die Orientierung an den spezifischen Betriebs- und Geschäftsprozessen und der bestehenden Sicherheits- und Organisationsstruktur Ihrer Prozesstechnikbereiche. Wir richten uns – auch in Abhängigkeit von organisationsinternen oder regulatorischen Vorgaben – jeweils an anerkannten Sicherheitsstandards wie ISO/IEC 27001, IEC 62443 und branchenspezifische Erweiterungen wie ISO/IEC 27019, B3S oder VGB-S-175 aus.

Ein ISMS lebt von kontinuierlicher Anwendung und Verbesserung. Unsere Zielsetzung ist daher erreicht, wenn Ihre Mitarbeiter diese Prozesse eigenständig weiterführen können. Deshalb planen wir mit Ihnen realistische Teilprojekte und Meilensteine für eine schrittweise Integration des ISMS in Ihre bestehenden Prozesse. Falls Sie eine Zertifizierung des ISMS anstreben, bereiten wir Sie auf den Zertifizierungsaudit vor.

Unser Leistungsumfang umfasst alle relevanten Phasen des ISMS-Aufbaus:

Konzeption
  • Zielsetzung und Scoping (Abgrenzung des Geltungsbereichs)
  • Entwicklung der ISMS Policy
  • Erfassung der vorhandenen Sicherheitsarchitektur
  • Durchführung der Risikoanalysen
  • Erstellung angepasster Maßnahmenkataloge
  • Entwurf der neuen Sicherheitsarchitektur
  • Beschreibung der Schnittstellen zu Qualitäts- und Risikomanagement
  • Entwicklung eines Migrationskonzeptes
Umsetzung
  • Erstellung der geforderten Dokumentation
  • Aufbau der Sicherheitsorganisation
  • Implementierung der Managementprozesse
  • Formulierung der Sicherheitsarchitektur (Regelwerk)
  • Sensibilisierung- und Schulungsmaßnahmen
  • Implementierung von Sicherheitsmaßnahmen
  • Abschließende Soll- / Ist-Analyse
  • Vorbereitung auf das Zertifizierungsaudit
Überprüfung
  • Durchführung von internen Audits
  • Unterstützung beim Incident-Management

Bei Bedarf können wir all diese Leistungen auch ergänzen durch unsere Angebote zum Aufbau eines Notfallmanagements (BCM). Diese umfassen alle notwendigen Arbeiten durchgängig von der Analyse über die Konzeption bis hin zur Tool-gestützten Umsetzung.