ISIS12 – Informations-Sicherheit in 12 Schritten…!

ISIS12 ist ein Informationssicherheitsmanagementsystem in 12 Schritten. Es wurde in einem Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. entwickelt und beschreibt ein Vorgehensmodell, welches auf die Bedürfnisse von mittelständigen Unternehmen und Kommunen zugeschnitten ist.

Ein wesentlicher Bestandteil – der ISIS12 von anderen Vorgehensmodellen unterscheidet – ist das integrierte Managementsystem, das das ISMS und das IT-Servicemanagement miteinander verknüpft.

ISIS12 kann als mögliche Vorstufe zur ISO/IEC 27001- bzw. BSI-IT-Grundschutz-Zertifizierung verwendet werden.

Getreu dem Motto „Think Big, Start small and grow step by step“ erleichtert ISIS12 den Einstieg in die Thematik Informationssicherheit und den damit verbundenen Aufbau und Etablierung eines ISMS.

Nach dem Durchlaufen der 12 Schritte von ISIS12 kann dieses ISMS durch die DQS (Gesellschaft zur Zertifizierung von Managementsystemen) als Exklusivpartner auditiert werden. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei Überprüfungsaudits statt. Im dritten Jahr kann durch eine Rezertifizierung das Zertifikat erneut erteilt werden.

Für wen ist ISIS12 geeignet??

  • Klein- und Mittelstandsunternehmen
  • Dienstleistungsunternehmen
  • Kommunen/Stadt- und Kreisverwaltung

Warum ISIS12??

  • reduzierter Maßnahmenkatalog (im Vergleich zu BSI-IT-Grundschutz)
  • Zertifizierung von speziell von der DQS ausgebildeten Auditoren
  • Einführungsprojekt anhand des ISIS12-Handbuchs und ISIS12-Katalogs
  • Strukturiertes Vorgehensmodell entlang der 12 Schritte
  • Unterstützung durch speziell entwickelte Software
  • Unterstützung durch zertifizierte Berater
  • Bonus: Integriertes Modul zur Umsetzung der EU-DSGVO

Mit dem ISIS12-Tool haben Sie Ihre Assets im Blick?

1. Universale Aspekte

Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) ist vorwiegend eine organisatorische, strategische und steuernde Aufgabe. Dies gilt auch für den Weg mit ISIS12. D.h. Prozesse wie Planung, Organisation, Personal, Führung und Kontrolle müssen berücksichtigt werden, um darauf ein ISMS mit Hilfe von ISIS12  aufzubauen. In der ersten Schicht des ISIS12-Vorgehensmodell sind somit einige Bausteine wie ISMS, Organisation/Personal, Notfallmanagement,  Datensicherung, Datenschutz (inkl. EU-DSGVO), Virenschutz, Hard- und Softwaremanagement, Outsourcing, Cloud-Nutzung, Patch-Management, Berechtigungsmanagement und zum Schluss mobile Datenträger zu berücksichtigen. 

Unabhängig von den in Schicht 2 bis 4 zu erfassenden Assets ist hierdurch bereits ein großer Schritt in Richtung ISMS erledigt. Denn nur ein in der Organisation etabliertes Team kann auf Basis der Leitlinie für Informationssicherheit ein Projekt zum Aufbau und Etablierung eines ISMS nachhaltig in der Organisation in Kooperation mit allen Fachabteilungen und Mitarbeitern voran treiben.

2. Gebäude / Standorte / Räume

Durch die Erfassung der Standort-, Gebäude- und Rauminformationen bilden Sie die Struktur Ihrer Organisation übersichtlich ab. Sie können dadurch bestimmte Fragen beantworten bzw. besser geographische/strukturelle Gegebenheiten berücksichtigen (z.B. Stromversorgung, Hochwasserrisiken, usw.). 

3. IT-Systeme

Um Entscheidungen, gleich welcher Art bzgl. der IT-Infrastruktur treffen zu können, ist es notwendig die wesentlichen IT-Systeme zu erfassen und nachhaltig zu pflegen. Hierbei sind nicht nur die an das Netzwerk angeschlossene Geräte wichtig, sondern auch mit zunehmender Bedeutung die mobilen Endgeräte (Laptop, Tablet oder Smartphone), da diese über die sog. Luftschnittstelle auch von außen und auch oft 24/7 auf die internen IT-Infrastrukturen, Anwendungen und somit auch Daten zugreifen.

Im Einzelnen sind somit folgende Assets zu erfassen: Server, Netzwerkkomponenten, Clients und Peripheriegeräte wie Drucker oder Scanner.

4. Anwendungen / kritische Applikationen

Daten und Informationen entstehen durch das Interaktion zwischen Mensch und Anwendung. Zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Anwendungen, sind diese Anwendungen zu erfassen und mit den bereits erfassten anderen Assets (IT-System, Räume) zu verknüpfen. Im Ergebnis kann für alle Assets eine Modellierung, d.h. Zuordnung zu den Baustein- und Maßnahmen des ISIS12-Katalogs stattfinden.

Eng verbunden mit Anwendungen sind die dahinter stehenden (Unternehmens/Organisations-)Prozesse. 

In Summe sind folgende Assets zu betrachten: Kern- und Unterstützungsprozesse der Organisation, Managementprozesse und die damit verbundenen Fachanwendungen und Dienste.

5. Ergebnis oder der Weg zur Compliance

Das Thema Prozessmanagement, Qualitätsmanagement aber auch Informationssicherheitsmanagement stützt sich auf auf Regeln oder sog. Normen (ISO 9001, ISO 27001, ISIS12, BSI-IT-Grundschutz). Diese Normen und Regeln fokussieren das Ziel, ein Managementsystem, gleich für welche Zwecks aufzubauen und nachhaltig zu etablieren.

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) kommen seit dem 25.05.2018 weitere Regeln hinzu, die im weitesten Sinn unter dem Begriff „Compliance“ zusammengefasst werden können.

Durch die Erhebung der o.g. drei Asset-Bereiche, deren Modellierung und damit Absicherung stellen Sie sicher, dass Ihr(e) Unternehmen/Verwaltung compliant wird. Durch die Verknüpfung aller Asset-Bereiche werden alle Zusammenhänge über alle Ebenen dargestellt. Mit diesem Überblick über Ihre Assets, können Sie diese dadurch besser überwachen und schlussendliche steuern, Sie haben eine Informationsgrundlage für Managemententscheidungen (Make or Buy it), Sie erhöhen die Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) und erfüllen am Ende auch noch ganz automatisch die Anforderungen der EU-DSGVO.

Darüber hinaus entstehen weitere Synergieeffekte:

  • einfache Übersicht, welche Anwendungen/Systeme/Räume im Falle eines Falles betroffen sind
  • für welche Anwendungen/Systeme/Räume besteht Handlungsbedarf
  • Möglichkeit der einfachen Priorisierung
  • Steuerung des ISMS-Prozesses über mehrere PDCA-Zyklen
  • Erstellung von Risikoberichten
  • Erstellung von Verfügbarkeitsanalysen
  • Überblick und damit Gruppierung von gleichen oder ähnlichen Maßnahmenpaketen

Unser Ziel, Ihr Vorteil

Unser Ziel ist es zusammen mit dem Kunden dessen individuellen Bedürfnisse bzgl. der Informationssicherheit zu ermitteln und angemessene Sicherheitsmaßnahmen kompetent und zielorientiert umzusetzen. 

Hierbei legen wir großen Wert auf eine Zertifizierung durch die DQS als Nachweis der erfolgreichen Einführung eines Managementsystems.

Unsere Zielgruppe

Wir fokussieren uns im wesentlichen auf Kunden aus folgenden Bereichen:

  • Banking- und 
  • Versicherungsbereich
  • Klein- und Mittelstand
  • SAP-Nutzer

Wann starten Sie Ihr ISIS12-Projekt???