Zur Gewährleistung der Informationssicherheit betreibt die Creos Deutschland GmbH ein umfassendes Informationssicherheitsmanagementsystem (ISMS). Basis für dieses ISMS ist die internationale Norm DIN ISO/IEC 27001 und DIN ISO/IEC 27019.
Gegenstand des ISMS ist der Betrieb von Telekommunikations- und Datenverarbeitungssystemen, die nach dem IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) dem sicheren Netzbetrieb von Energieversorgungsnetzen dienen.
Der Geltungsbereich beinhaltet die Aktivitäten der Creos Deutschland GmbH, welche die Leistungen an technischen Standorten für die Prozessdatenverarbeitung erbringt als auch die Steuerung von ausgelagerten Tätigkeiten (interne und externe Dienstleister der Creos). Das ISMS wird mit dem Ziel eingeführt und betrieben, den sicheren und ordnungsgemäßen Betrieb der Unternehmenswerte im Geltungsbereich gegen Bedrohungen im täglichen Betrieb angemessen zu schützen, die Auswirkungen von Bedrohungen auf den Betrieb zu minimieren und die Aufrechterhaltung der Geschäftsprozesse auch bei Sicherheitsvorfällen sicherzustellen, bzw. ein definiertes Mindestmaß an Diensten bzw. Geschäftsprozessen schnellstmöglich wieder herzustellen.
Die Ziele des ISMS sind im Einzelnen:

I. Gewährleistung der Schutzziele bezüglich der Informationen zu Unternehmenswerten im Geltungsbereich hinsichtlich:

• des Schutzes gegen unberechtigten Zugriff (Vertraulichkeit),
• dem Schutz vor unberechtigten Modifikationen (Integrität) sowie,
• der Gewährleistung der Verfügbarkeit der Geschäftsprozesse (Verfügbarkeit) durch Erreichen eines möglichst vollständigen Basisschutzes und,

II. eine ordnungsgemäße und effiziente Handhabung operativer Risiken in Bezug auf die Informationssicherheit innerhalb des Geltungsbereichs durch:

• die Identifizierung von Risiken für die Sicherheit der Unternehmenswerte mit Hilfe von Schutzbedarfsfeststellungen und Risikoanalysen,
• eine zielführende Behandlung von Risiken hinsichtlich eines angemessenen Sicherheitsniveaus durch Planung, Implementierung und Pflege von Sicherheits-maßnahmen, um die Anzahl der Sicherheitsvorfälle und der ungeplanten operativen Unterbrechungen zu minimieren.

III. Kontinuierliche Verbesserung der Informationssicherheit und
IV. Sicherstellung der Kompetenz und Sensibilisierung der Mitarbeiter im Bereich der Informationssicherheit (IT-Sicherheit und Kommunikationssicherheit).