ISIS12 hat sich längst als ein Standard unter den Informationssicherheitssystemen etabliert. Das speziell für den Bedarf von KMU, Kommunen und Verwaltungen ausgelegte Regelwerk wurde Mitte 2021 in der Version 3 unter dem neuen Namen CISIS12® veröffentlicht – unter anderem mit einer deutlicheren Orientierung an der international anerkannten Norm für Informationssicherheits-Managementsysteme ISO 27001. Lesen Sie mehr über die Neuerungen.

Loading...

Informationssicherheit bei KMU – CISIS12® als praxisorientierte Lösung 

ISIS12 wurde erstmals im Dezember 2012 vom IT-Sicherheitscluster e.V. herausgegeben. Seither wurde das Regelwerk für mehr Informationssicherheit konsequent weiterentwickelt, um den sich ständig ändernden Anforderungen und technischen Entwicklungen gerecht zu werden. Im Jahr 2021 wurde die Version 3 unter dem neuen Namen CISIS12® veröffentlicht. Der neue Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. Damit wird deutlich, dass das Thema Compliance im gesamten Prozess stark an Bedeutung gewonnen hat und die oberste Leitung stärker einbezogen wird.

CISIS12® (ISIS12 V3) bietet in 12 konkreten Schritten klare Handlungsanweisungen, unterstützt durch ein Handbuch und ein praxisorientiertes Softwaretool. So können alle Anforderungen gerade von mittelständischen Unternehmen und Kommunen vergleichsweise einfach nacheinander umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden. Für den Einsatz gibt es bezüglich der Organisationsgröße jedoch nach oben keine Grenzen. 

Als Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter können Sie jetzt entscheiden, ob CISIS12® (ISIS12 V3) als einfacher Einstieg in die Informationssicherheit auch bei Ihnen demnächst eine tragende Rolle spielt. Die erfolgreiche Einführung können Sie sich durch die DQS zertifizieren lassen. Eine Weiterentwicklung hin zu einem vollumfänglichen Informationssicherheits-Managementsystem nach ISO 27001 ist dabei jederzeit möglich, wie die Praxis zeigt: Die ENTERBRAIN Software AG hat ihr Managementsystem bereits in 2018 auf diese Weise erfolgreich weiterentwickelt.

 

CISIS12® als konsequente Weiterentwicklung

Der konsequent weiterentwickelte Anforderungskatalog von CISIS12® betrachtet die Informationssicherheit ganzheitlich: Von der Compliance-Ebene und Prozessebene (Strategieebene) über die Anwendungsebene, IT-Infrastrukturebene zur Gebäudeebene (Systemebene). Dabei werden auch Best Practice Beispiele der Informationssicherheit von KMU einbezogen.

CISIS12® orientiert sich mit allgemeinen Handlungsempfehlungen stark an der internationalen Norm für Informationssicherheits-Managementsysteme ISO 27001. Dabei geht es nicht alleine um die Sicherheit in der Informationstechnik. Auch bauliche Maßnahmen, organisatorische Abläufe und Prozesse sowie personelle Vorgaben müssen berücksichtigt werden. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein, den es entsprechend zu berücksichtigen gilt.    

Konkrete Neuerungen beziehen sich vor allem auf die Berücksichtigung von Compliance und Risikomanagement. CISIS12® enthält zudem umfangreiche Verweise auf Regelwerke, BSI-Standards, ISO/IEC-2700x-Normen sowie auf ISIS12-Vorgängermodelle. 

dqs-fragen-antwort-fragezeichen auf würfeln aus holz auf tisch
Loading...

Gerne beantworten wir Ihre Fragen

Kontaktieren Sie uns.
Ganz unverbindlich und kostenfrei.

Die Anforderungen zur Durchführung eines internen Audits, zur Messung der Sicherheit sowie zur Implementierung eines fortlaufenden Verbesserungsprozesses bestehen bereits seit der Version ISIS12 2.0. Auch wurde die bisherige Struktur des Regelwerks beibehalten, so dass die Überführung auf die neue Version 3 problemlos möglich ist.

Anwender von ISIS12 können ohne Mehrarbeit zur Version 3 (CISIS12®) migrieren. Durch Matching-Tabellen werden bereits erhobene Datenbestände von der bisherigen Version auf die neue Version übernommen. Auch hat sich die bisherige Struktur mit dem Handbuch, Katalog und unterstützender Software bewährt und bleibt unverändert.

Neben der Möglichkeit, die DS-GVO-Compliance durch Integration von Datenschutzkriterien zu erweitern, kann in einem weiteren Schritt die Entwicklung des Managementsystems hin zu ISO 27001 erfolgen.

 

Informationssicherheit für KMU – Was ändert sich für Nutzer?

Die neue Version ist noch skalierbarer als zuvor und lässt Verantwortliche ein System zur Informationssicherheit quasi in Eigenregie einführen.

Projekt Start-up
Einführung einer Projektplanung vor dem Start, das bedeutet

 

  • CISIS12® nach bewährten Projektmanagementphasen planen, koordinieren und überwachen
  • Detailplanungen zeitlich, sachlich und sozial abgegrenzt vornehmen
  • Geeignete Projektmanagement-Software einsetzen


Die Zusammenfassung in einem Projekthandbuch ist ein wichtiges Informations-, Controlling-, Dokumentations- und Kommunikationsinstrument.

 

Risikomanagement (Schritt 8)
Einführung eines Risikomanagementprozesses, weil

 

  • mit strukturierten Managementprozessen bei der Risikobetrachtung und Risikobeurteilung nachvollziehbare Ergebnisse zu erzielen sind
  • durch den Ausgangspunkt „unternehmenskritische Kernprozesse“ und deren nachgelagerten „kritischen Anwendungen“ vereinfacht werden können
  • die Risikobehandlung und die damit verbundenen Maßnahmen auf soliden, nachvollziehbaren Entscheidungskriterien zu entwickeln und umzusetzen sind
  • die Informationsbasis für notwendige Ergebnisdokumentation (Managementberichte, Interne Audits, Revision, Zertifizierung) geliefert wird


Zudem liefert ein geeigneter Risikomanagementprozess die Informationsbasis für notwendige Ergebnisdokumentation, zum Beispiel Managementberichte, Interne Audits und Revision

 

Compliance
Einführung einer prozessualen Sichtweise zur Compliance-Erfüllung.

 

  • Die Compliance-Ebene berücksichtigt alle internen und externen Vorgaben. Diese werden durch die Leitungsebene verantwortet und mit entsprechenden Prozessen geplant und entschieden.
  • Die Umsetzung erfolgt in der Systemebene bestehend aus den Anwendungen, der IT-Infrastruktur und den Gebäuden.
  • Die Schnittstelle zwischen Prozess- und Systemebene bildet die Grundlage eines integrierten Gesamtsystems.


Alle Anforderungen werden in übergeordneten PDCA-Zyklen geplant, umgesetzt und kontrolliert. Die sich sich daraus ergebenden Verbesserungen werden vorgeschlagen und dokumentiert (Plan-Do- Check-Act/ kontinuierliche Verbesserung).

Revision  (Schritt 12)
Die Revision:

 

  • stellt das Erreichen und die Aufrechterhaltung eines angemessenen Sicherheitsniveaus einer Organisation fest
  • sichert eine andauernde und nachhaltige Implementierung von CISIS12®
  • sichert die Kontinuität und anhaltende Unterstützung der obersten Leitung
  • liefert Aussagen über die wirksame Umsetzung, Aktualität, Vollständigkeit, Angemessenheit und aktuellen Zustand des Informationssicherheitsmanagements

 

Informationssicherheit für KMU – Fazit

Gerade für kleine und mittlere Unternehmen (KMU) sowie öffentliche Verwaltungen und Kommunen ist das Regelwerk CISIS12® (ISIS12 V3) ein guter Einstieg in die Informationssicherheit. Die Anforderungen sind speziell für derartige Organisationsstrukturen ausgelegt und können vergleichsweise einfach umgesetzt werden. Die erfolgreiche Einführung können sich Unternehmen und Kommunen durch die DQS zertifizieren lassen. Vielfach ist eine bundeslandspezifische Förderung anfallender Kosten möglich.

CISIS12® ist eine gute Lösung für die genannten Zielgruppen. Komplexere Unternehmensstrukturen und ein höherer Schutzbedarf verlangen jedoch nach einem entsprechenden Schutz, wie ihn zum Beispiel die internationale Norm ISO 27001 bietet. Die neue Version 3 erleichtert mithilfe neu aufgenommener Aspekte eine spätere Migration auf die ISO-Norm. Die DQS ist durch die DAkkS (Deutsche Akkreditierungsstelle GmbH) für ISO/IEC 27001 akkreditiert.

 

DQS – Der Zertfizierungspartner an Ihrer Seite

Die DQS ist seit 2012 Partner des IT-Sicherheitsclusters. Durch unsere Zertifizierung nach CISIS12® (ISIS12) können Sie sicher sein: Die Qualität Ihres eingeführten Systems wurde von einer externen, unabhängigen und Stelle überprüft und bestätigt. Das Zertifikat hat eine Gültigkeit von 3 Jahren.

dqs-fragen-antwort-fragezeichen auf würfeln aus holz auf tisch
Loading...

Gerne beantworten wir Ihre Fragen

Welche Voraussetzungen bestehen für eine Zertifizierung und mit welchem Aufwand müssen Sie rechen? Informieren Sie sich. Unverbindlich und kostenfrei.

Im Jahr 1985 als Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen mbH gegründet, tragen wir aus gutem Grund bis heute das „Q“ in unserem Namen – auch wenn aus den Qualitätssicherungssystemen von einst längst Managementsysteme geworden sind. Die DQS begutachtet im ganzheitlichen Sinn mit weltweit etwa 1.800 Mitarbeitern nach allen führenden Managementsystemnorm und anerkannten Standards.

 

Unser Tipp für Sie

Die Schnelligkeit von Informationen in der Verteilung und Verarbeitung stellt heute eine große Herausforderung in Organisationen dar. Durch die Vielfalt an Informationen wird es zunehmend schwieriger, die entscheidenden und für die Organisation und ihr Managementsystem relevanten Informationen zu erkennen.

Gleichzeitig ergeben sich mit der Anwendung moderner Kommunikationsmittel zur Lenkung der dokumentierten Information gänzlich neue Aspekte. Verfügbarkeit, Integrität und Vertraulichkeit rücken damit immer stärker in den Vordergrund. Doch mit zunehmendem Grad der Verfügbarkeit nimmt die Informationssicherheit ab, sofern keine angemessenen Schutzmaßnahmen getroffen werden.

whitepaper-dqs-mann-liest-auf-einem-ipad
Loading...

Whitepaper

ISO 9001 & ISO 27001 – In Zeiten der Digitalisierung

 

  • Wie viel Papier braucht Qualität?
  • Der richtige Umgang mit dokumentierter Information
  • Dokumentierte Information wirksam schützen
  • ISO 27001: Basis für eine sichere Digitalisierung
Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Loading...
<p>DQS-Normexperte Informationssicherheit</p>