CISIS12 – Compliance und Informationssicherheit in 12 Schritten…!

CISIS12 ist ein Compliance- und Informationssicherheitsmanagementsystem in 12 Schritten. Es wurde von SlyCon in Kooperation mit dem IT-Sicherheitsclusters e.V. entwickelt und beschreibt ein Vorgehensmodell, welches auf die Bedürfnisse von mittelständigen Unternehmen und Kommunen zugeschnitten ist.

Ein wesentlicher Bestandteil, der ISIS12 von anderen Vorgehensmodellen unterscheidet, ist das integrierte Managementsystem, das das ISMS und das IT-Servicemanagement miteinander verknüpft.

Getreu dem Motto „Think Big, Start small and grow step by step“ erleichtert CISIS12 den Einstieg in die Thematik Compliance und Informationssicherheit und den damit verbundenen Aufbau und Etablierung eines ISMS.

Nach dem Durchlaufen der 12 Schritte von CISIS12 kann dieses ISMS von einer der beiden Zertifizierungsgesellschaften, nämlich DQS bzw. Datenschutz-CERT auditiert bzw. zertifiziert werden. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei Überprüfungsaudits statt. Im dritten Jahr kann durch eine Rezertifizierung das Zertifikat verlängert werden.

Für wen ist ISIS12 geeignet??

  • Für alle Organisationen, die ein ISMS einführen wollen oder müssen

Warum ISIS12??

  • Reduktion von Risiken und Haftungsrisiken durch Zertifizierung des Managementsystems
  • übersichtlicher Maßnahmenkatalog mit Handlungsempfehlungen zur Maßnahmenumsetzung
  • Zertifizierungsmöglichkeit 
  • Einführungsprojekt anhand des CISIS12-Handbuchs und CISIS12-Katalogs
  • Strukturiertes Vorgehensmodell entlang der 12 Schritte
  • Unterstützung durch zertifizierte Berater
  • Unterstützung durch speziell entwickelte Software M24S
  • Bonus bei M24S: Integriertes Modul zur Umsetzung der EU-DSGVO und weitere Module zur breiten Unterstützung beim Aufbau des ISMS

Mit dem CISIS12-Tool M24S haben Sie Ihre Assets im Blick?

1. Compliance

Im welchen Rahmenparameter oder unter der Notwendigkeit der Berücksichtigung von rechtlichen Vorgaben läuft ein Managementsystem ab bzw. welche Vorgaben müssen eingehalten werden. All dies wird unter dem Begriff Compliance zusammen gefasst. CISIS12 berücksichtigt diese Rahmenparameter beim Aufbau des ISMS und stellt somit sicher, dass das Managementsystem „compliant“ ist. 

2. Prozesse

CISIS12 stellt die (Geschäfts-)Prozesse in den Mittelpunkt der Betrachtung. Von diesen wird beim Durchlauf durch die 12 Schritte alles weitere abgeleitet. Prozesse sind in der Regel mit entsprechenden Daten verbunden und genau diese gilt es im Kontext von Informationssicherheit zu schützen. Dadurch sind die beiden wesentlichen Assets einer Organisation im Fokus der Betrachtung. 

3. Anwendungen

Daten und Informationen entstehen im Rahmen der Prozessbearbeitung durch die Interaktion zwischen Mensch und Anwendung. Zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Daten und Informationen, sind für die (Geschäfts-)Prozesse die Anwendungen zu identifizieren, durch die die (Geschäfts-)Prozesse gestützt werden. Anschließend werden mit Hilfe von CISIS12 diese Anwendungen zur Absicherung der (Geschäfts-)Prozesse mit entsprechenden Maßnahmen aus dem CISIS12-Maßnahmenkatalog modelliert und einer Soll-Ist-Analyse unterzogen.

In Summe sind folgende Assets zu betrachten: Kern- und Unterstützungsprozesse der Organisation, Managementprozesse und die damit verbundenen Fachanwendungen und Dienste.

4. IT-Infrastruktur

Um Entscheidungen, gleich welcher Art bzgl. der IT-Infrastruktur treffen zu können, ist es notwendig die wesentlichen IT-Systeme zu erfassen und nachhaltig zu pflegen. Hierbei sind nicht nur die an das Netzwerk angeschlossene Geräte wichtig, sondern auch mit zunehmender Bedeutung die mobilen Endgeräte (Laptop, Tablet oder Smartphone), da diese auch von außen und auch oft 24/7 auf die internen IT-Infrastrukturen, Anwendungen und Prozesse und somit auch Daten zugreifen.

5. Gebäude

Durch die Erfassung der Standort-, Gebäude- und Rauminformationen bilden Sie die Struktur Ihrer Organisation übersichtlich ab. Sie können dadurch bestimmte Fragen beantworten bzw. besser geographische/strukturelle Gegebenheiten berücksichtigen (z.B. Stromversorgung, Hochwasserrisiken, usw.). 

Allgemeines

Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) ist vorwiegend eine organisatorische, strategische und steuernde Aufgabe. Dies gilt auch für den Weg mit CISIS12. D.h. Prozesse wie Planung, Organisation, Personal, Führung und Kontrolle müssen berücksichtigt werden, um darauf ein ISMS mit Hilfe von CISIS12 aufzubauen. 

Ergebnis oder der Weg zur Compliance

Das Thema Prozessmanagement, Qualitätsmanagement aber auch Informationssicherheitsmanagement stützt sich auf auf Regeln oder sog. Normen (ISO 9001, ISO 27001, BSI-IT-Grundschutz als auch CISIS12). Diese Normen und Regeln fokussieren das Ziel, ein Managementsystem, gleich für welche Zwecks aufzubauen und nachhaltig zu etablieren.

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) kommen seit dem 25.05.2018 weitere Regeln hinzu, die im weitesten Sinn unter dem Begriff „Compliance“ zusammengefasst werden können.

Durch die Erhebung der o.g. Asset-Bereiche, deren Modellierung und damit Absicherung stellen Sie sicher, dass Ihre Organisation compliant wird. Durch die Verknüpfung aller Asset-Bereiche werden alle Zusammenhänge über alle Ebenen dargestellt. Mit diesem Überblick über Ihre Assets, können Sie diese dadurch besser überwachen und schlussendliche steuern, Sie haben eine Informationsgrundlage für Managemententscheidungen (Make or Buy it), Sie erhöhen die Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit), schaffen eine Basis für innovative Managementstrategie, wie z.B. Enterprise Architecture Management (EAM) und erfüllen am Ende auch noch ganz automatisch die Anforderungen der EU-DSGVO.

Darüber hinaus entstehen weitere Synergieeffekte:

    • Prozessorientierung
    • einfache Übersicht, welche Prozesse/Anwendungen/IT-Infrastrukturen/Gebäude im Falle eines Falles betroffen sind
    • für welche Prozesse/Anwendungen/IT-Infrastrukturen/Gebäude besteht Handlungsbedarf
    • Möglichkeit der einfachen Priorisierung 
    • Steuerung des ISMS-Prozesses über mehrere PDCA-Zyklen
    • Erstellung von Risikoberichten
    • Erstellung von Verfügbarkeitsanalysen
    • Mit M24S als CISIS12-Tool ergeben sich weitere Effekte
    • CISIS12 kann als mögliche Vorstufe zur ISO/IEC 27001-Zertifizierung verwendet werden.

Unser Ziel, Ihr Vorteil

Unser Ziel ist es zusammen mit unseren Kunden deren individuelle Bedürfnisse bzgl. der Informationssicherheit zu ermitteln und angemessene Sicherheitsmaßnahmen kompetent und zielorientiert umzusetzen. 

Hierbei legen wir großen Wert auf eine Zertifizierung durch die DQS / Datenschutz-CERT als Nachweis der erfolgreichen Einführung eines Managementsystems.

Unsere Zielgruppe

Wir fokussieren uns im wesentlichen auf Kunden aus folgenden Bereichen:

  • Alle Organisationen, die ein ISMS einführen wollen oder müssen
  • Organisationen, die die Kritis-Anforderungen erfüllen müssen

Wann starten Sie Ihr CISIS12-Projekt???