Informationssicherheit für KMU – CISIS12®

Inhalt

• Informationssicherheit für KMU – CISIS12^® als praxisorientierte Lösung
• CISIS12^® als konsequente Weiterentwicklung
• Was ändert sich für Nutzer?
• DQS – Der Zertifizierungspartner an Ihrer Seite
• Unser Tipp für Sie

Informationssicherheit bei KMU – CISIS12^® als praxisorientierte Lösung 

ISIS12 wurde erstmals im Dezember 2012 vom Bayerischen IT-Sicherheitscluster e.V. herausgegeben. Seither wurde das Regelwerk für mehr Informationssicherheit konsequent weiterentwickelt, um den sich ständig ändernden Anforderungen und technischen Entwicklungen gerecht zu werden. Im Jahr 2021 wurde die Version 3 unter dem neuen Namen CISIS12^® veröffentlicht. Der neue Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. Damit wird deutlich, dass das Thema Compliance im gesamten Prozess stark an Bedeutung gewonnen hat und die oberste Leitung stärker einbezogen wird.

CISIS12^® (ISIS12 V3) bietet in 12 konkreten Schritten klare Handlungsanweisungen, unterstützt durch ein Handbuch und ein praxisorientiertes Softwaretool. So können alle Anforderungen gerade von mittelständischen Unternehmen und Kommunen vergleichsweise einfach nacheinander umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden. Für den Einsatz gibt es bezüglich der Organisationsgröße jedoch nach oben keine Grenzen. 

Als Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter können Sie jetzt entscheiden, ob CISIS12^® (ISIS12 V3) als einfacher Einstieg in die Informationssicherheit auch bei Ihnen demnächst eine tragende Rolle spielt. Die erfolgreiche Einführung können Sie sich durch die DQS zertifizieren lassen. Eine Weiterentwicklung hin zu einem vollumfänglichen Informationssicherheits-Managementsystem nach ISO 27001 ist dabei jederzeit möglich, wie die Praxis zeigt: Die ENTERBRAIN Software AG hat ihr Managementsystem bereits in 2018 auf diese Weise erfolgreich weiterentwickelt.

CISIS12^® als konsequente Weiterentwicklung

Der konsequent weiterentwickelte Anforderungskatalog von CISIS12^® betrachtet die Informationssicherheit ganzheitlich: Von der Compliance-Ebene und Prozessebene (Strategieebene) über die Anwendungsebene, IT-Infrastrukturebene zur Gebäudeebene (Systemebene). Dabei werden auch Best Practice-Beispiele der Informationssicherheit von KMU einbezogen.

CISIS12^® orientiert sich mit allgemeinen Handlungsempfehlungen stark an der internationalen Norm für Informationssicherheits-Managementsysteme ISO 27001. Dabei geht es nicht alleine um die Sicherheit in der Informationstechnik. Auch bauliche Maßnahmen, organisatorische Abläufe und Prozesse sowie personelle Vorgaben müssen berücksichtigt werden. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein, den es entsprechend zu berücksichtigen gilt.    

Konkrete Neuerungen beziehen sich vor allem auf die Berücksichtigung von Compliance und Risikomanagement. CISIS12^® enthält zudem umfangreiche Verweise auf Standards für Informationssicherheit (ISO/IEC 2700x-Normen, BSI) sowie auf ISIS12-Vorgängermodelle. 

Die Anforderungen zur Durchführung eines internen Audits, zur Messung der Sicherheit sowie zur Implementierung eines fortlaufenden Verbesserungsprozesses bestehen bereits seit der Version ISIS12 2.0. Auch wurde die bisherige Struktur des Regelwerks beibehalten, so dass die Überführung auf die neue Version 3.0 problemlos möglich ist.

Anwender von ISIS12 können ohne Mehrarbeit zur Version 3.0 (CISIS12^®) migrieren. Durch Matching-Tabellen werden bereits erhobene Datenbestände von der bisherigen Version auf die neue Version übernommen. Auch hat sich die bisherige Struktur mit dem Handbuch, Katalog und unterstützender Software bewährt und bleibt unverändert.

Neben der Möglichkeit, die DS-GVO-Compliance durch Integration von Datenschutzkriterien zu erweitern, kann in einem weiteren Schritt die Entwicklung des Managementsystems hin zu ISO 27001 erfolgen.

Informationssicherheit für KMU – Was ändert sich für Nutzer?

Die neue Version ist noch besser zu skalieren als zuvor und lässt Verantwortliche ein System zur Informationssicherheit quasi in Eigenregie einführen.

Projektbeginn
Einführung einer Projektplanung vor dem Start, das bedeutet

• CISIS12^® nach bewährten Projektmanagementphasen planen, koordinieren und überwachen
• Detailplanungen zeitlich, sachlich und sozial abgegrenzt vornehmen
• Geeignete Projektmanagement-Software einsetzen

Die Zusammenfassung in einem Projekthandbuch ist ein wichtiges Informations-, Controlling-, Dokumentations- und Kommunikationsinstrument.

Risikomanagement (Schritt 8)
Einführung eines Risikomanagementprozesses, weil

• mit strukturierten Managementprozessen bei der Risikobetrachtung und Risikobeurteilung nachvollziehbare Ergebnisse zu erzielen sind
• durch den Ausgangspunkt „unternehmenskritische Kernprozesse“ und deren nachgelagerten „kritischen Anwendungen“ vereinfacht werden können
• die Risikobehandlung und die damit verbundenen Maßnahmen auf soliden, nachvollziehbaren Entscheidungskriterien zu entwickeln und umzusetzen sind
• die Informationsbasis für notwendige Ergebnisdokumentation (Managementberichte, interne Audits, Revision, Zertifizierung) geliefert wird

Compliance
Einführung einer prozessualen Sichtweise zur Compliance-Erfüllung.

• Die Compliance-Ebene berücksichtigt alle internen und externen Vorgaben. Diese werden durch die Leitungsebene verantwortet und mit entsprechenden Prozessen geplant und entschieden.
• Die Umsetzung erfolgt in der Systemebene bestehend aus den Anwendungen, der IT-Infrastruktur und den Gebäuden.
• Die Schnittstelle zwischen Prozess- und Systemebene bildet die Grundlage eines integrierten Gesamtsystems.

Alle Anforderungen werden in übergeordneten PDCA-Zyklen geplant, umgesetzt und kontrolliert. Die sich daraus ergebenden Verbesserungen werden vorgeschlagen und dokumentiert (Plan-Do- Check-Act/ kontinuierliche Verbesserung).

Revision  (Schritt 12)
Die Revision

• stellt das Erreichen und die Aufrechterhaltung eines angemessenen Sicherheitsniveaus einer Organisation fest
• sichert eine andauernde und nachhaltige Implementierung von CISIS12^®
• sichert die Kontinuität und anhaltende Unterstützung der obersten Leitung
• liefert Aussagen über die wirksame Umsetzung, Aktualität, Vollständigkeit, Angemessenheit und den aktuellen Zustand des Informationssicherheitsmanagements

Informationssicherheit für KMU – Fazit

Gerade für kleine und mittlere Organisationen (KMU) sowie öffentliche Verwaltungen und Kommunen ist das Regelwerk CISIS12^® (ISIS12 V3.0) ein guter Einstieg in die IT-Security. Die Anforderungen sind speziell für derartige Organisationsstrukturen ausgelegt und können vergleichsweise einfach umgesetzt werden. Die erfolgreiche Einführung können sich Unternehmen und Kommunen durch die DQS zertifizieren lassen. Vielfach ist eine bundeslandspezifische Förderung anfallender Kosten möglich.

CISIS12^® ist eine gute Lösung für die genannten Zielgruppen. Komplexere Unternehmensstrukturen und ein höherer Schutzbedarf verlangen jedoch nach einem entsprechenden Schutz, wie ihn zum Beispiel die internationale Norm ISO 27001 bietet. Die neue Version 3.0 erleichtert mithilfe neu aufgenommener Aspekte eine spätere Migration auf die ISO-Norm. Die DQS ist durch die DAkkS (Deutsche Akkreditierungsstelle GmbH) für ISO/IEC 27001 akkreditiert.

DQS – Der Zertfizierungspartner an Ihrer Seite

Die DQS ist seit 2012 Partner des Bayerischen IT-Sicherheitsclusters. Durch die Zertifizierung nach CISIS12^® (ISIS12 V3.0) können Sie sicher sein: Die Qualität Ihres eingeführten Systems wurde von einer externen, unabhängigen Stelle überprüft und bestätigt. Das Zertifikat hat eine Gültigkeit von 3 Jahren.

Im Jahr 1985 als Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen mbH gegründet, tragen wir aus gutem Grund bis heute das „Q“ in unserem Namen – auch wenn aus den Qualitätssicherungssystemen von einst längst Managementsysteme geworden sind. Die DQS begutachtet im ganzheitlichen Sinn mit weltweit etwa 1.800 Mitarbeitern nach allen führenden Managementsystemnorm und anerkannten Standards.

Unser Tipp für Sie

Die Schnelligkeit von Informationen in der Verteilung und Verarbeitung stellt heute eine große Herausforderung in Organisationen dar. Durch die Vielfalt an Informationen wird es zunehmend schwieriger, die entscheidenden und für die Organisation und ihr Managementsystem relevanten Informationen zu erkennen.

Gleichzeitig ergeben sich mit der Anwendung moderner Kommunikationsmittel zur Lenkung der dokumentierten Information gänzlich neue Aspekte. Verfügbarkeit, Integrität und Vertraulichkeit rücken damit immer stärker in den Vordergrund. Doch mit zunehmendem Grad der Verfügbarkeit nimmt die Informationssicherheit ab, sofern keine angemessenen Schutzmaßnahmen getroffen werden.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.