Inhalte des Anforderungskataloges in Bezug auf das ACO RZ
Grundsätzlich werden alle im Katalog aufgeführten Anforderungen im ISMS des ACO RZ behandelt.
Hier ein Auszug relevanter Aussagen:
1.1 Zielsetzung und Adressatenkreis
- Das vorliegende Dokument bietet Betreibern Kritischer Infrastrukturen (KRITIS-Betreibern) und prüfenden Stellen eine Konkretisierung der Anforderungen des § 8a Absatz 1 BSIG. Zudem stellt der Anforderungskatalog den prüfenden Stellen geeignete Kriterien für eine sachgerechte Prüfung der eingesetzten Sicherheitsvorkehrungen vor, um die geforderten Nachweise gemäß § 8a Absatz 3 BSIG erbringen zu können. [...]
1.4 Weiterführende Informationen
- [...] Weitere Informationen für eine geeignete Umsetzung der Anforderungen des § 8a Absatz 1 BSIG können entnommen werden: [...]
- den einschlägigen Standards (z. B. Zertifizierungsschemata für ISO/IEC 27001 (nativ oder auf Basis von IT-Grundschutz) [...]
2.1 Informationssicherheitsmanagementsystem (ISMS)
- Nr. 1 Managementsystem für Informationssicherheit
Die Unternehmensleitung initiiert, steuert und überwacht ein Managementsystem zur Informationssicherheit (ISMS), das sich an etablierten Standards orientiert [...]
2.7 Bauliche/physische Sicherheit
- Nr. 71 Rechenzentrumsversorgung
Die Versorgung der für den Betrieb der kritischen Dienstleistung notwendigen IT-Systeme (z. B. Elektrizität, Temperatur- und Feuchtigkeitskontrolle, Telekommunikation und Internetverbindung) ist abgesichert, überwacht und wird regelmäßig gewartet und getestet, um eine durchgängige Wirksamkeit zu gewährleisten. Sie ist mit automatischen Ausfallsicherungen und anderen Redundanzen konzipiert [...]
2.11 Lieferanten, Dienstleister und Dritte
- Nr. 98 Richtlinie zum Umgang mit und Sicherheitsanforderungen an Dienstleister des KRITIS-Betreibers
Richtlinien und Anweisungen zur Sicherstellung des Schutzes von Informationen (insb. deren Verfügbarkeit) auf sonstige Dritte (z. B. Dienstleister bzw. Lieferanten des KRITIS Betreibers), die wesentliche Teile für den Betrieb der kritischen Dienstleistung beitragen, sind gemäß IT-Informationssicherheitsrichtlinie dokumentiert, kommuniziert und bereitgestellt. Die Vorgaben dienen der Reduzierung von Risiken, die durch die Auslagerung von IT-Systemen entstehen können. Dabei werden mindestens die folgenden Aspekte berücksichtigt: [...]
- Weitergabe und vertragliche Verpflichtung auf die Mindest-Sicherheitsanforderungen auch an Unterauftragnehmer, wenn diese nicht nur unwesentliche Teile zu Entwicklung oder Betrieb der kritischen Dienstleistung (z. B. RZ-Dienstleister) beitragen [...]