Datenschutzzentrum Saarland nach ISIS12 zertifiziert

Inhalt

• Informationssicherheitsmanagement als logische Konsequenz
• ISIS12 im Datenschutzzentrum Saarland – Interview mit Frank Moses
• ISIS12 (CISIS12®) – Informationssicherheit in 12 Schritten
• DQS – das können wir für Sie tun

Informationssicherheit als logische Konsequenz 

Die Erfüllung der vielfältigen Aufgaben des Unabhängigen Datenschutzzentrums Saarland ist mit dem Umgang sensibler, also besonders schützenswerter Daten und Informationen verbunden, weshalb die Einführung eines geeigneten Standards für Informationssicherheit eine logische Konsequenz darstellt.

Frank Moses ist Leiter des Referats 4 mit Zuständigkeit für die technischen und organisatorischen Aspekte des Datenschutzes und der Datensicherheit beim Datenschutzzentrum Saarland. Über seine Erfahrungen mit der Einführung und Zertifizierung gemäß dem Standard ISIS12 (heute: CISIS12®) und über den Nutzen, den seine Organisation daraus zieht, berichtet er im folgenden Interview.

Hinweis: Mit CISIS12® hat das IT-Sicherheitscluster eine Erweiterung der bewährten Methodik ISIS12 entwickelt und im Jahr 2021 veröffentlicht. Der neue Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. CISIS12® entspricht der Version 3 von ISIS12.

ISIS12 im Datenschutzzentrum Saarland– Interview mit Frank Moses 

Das Unabhängige Datenschutzzentrum Saarland hat sich im Oktober 2018 zur Einführung des Standards ISIS12 entschlossen.

Herr Moses, was waren die Beweggründe für die Einführung?
Angesichts der zunehmenden Komplexität und Vernetzung der IT, aber auch der immer größeren Abhängigkeit der Organisation von dieser Technik, war es praktisch unumgänglich, ein Informationssicherheits-Managementsystem einzuführen. Einerseits um unsere IT nach einem geplanten Vorgehen auszurichten, aber auch um unsere Vorbildfunktion als Datenschutzzentrum zu erfüllen – denn Informationssicherheit geht zwar ohne Datenschutz, aber Datenschutz nicht ohne Informationssicherheit.

Warum haben Sie sich gerade für ISIS12 entschieden?
Grundsätzlich bietet der Standard einen sehr guten und auch vergleichsweise einfachen Einstieg für ein entsprechendes System und dessen nachhaltige Umsetzung. Dieser Einstieg ist dem mit dem Zertifikat gelungen. Ich bin der Ansicht, dass dieses Regelwerk besonders gut die Bedürfnisse kleinerer Organisationen trifft, was nicht heißen soll, dass es nicht auch für größere Unternehmen äußerst nützlich sein kann.

Welchen Aufwand mussten Sie für die Einführung betreiben?
Der Aufwand für den Aufbau und die Etablierung von ISIS12 blieb recht überschaubar. Alle notwendigen Aufgaben konnten in den täglichen Ablauf des Datenschutzzentrums Saarland integriert werden. Jedoch muss ich an dieser Stelle ehrlicherweise sagen, dass ich als Projektleiter über eine entsprechende Expertise bezüglich der Einführung von Managementsystemen verfüge – vor diesem Hintergrund war kein externer Berater notwendig. Nichtsdestotrotz empfehle ich bei Einführung eines solchen Regelwerks von Anbeginn einen Berater mit ins Boot zu nehmen.

Sie hatten aber schon einige Hürden im Zuge der Einführung von ISIS12 zu überwinden, oder?
Ja, durchaus. Die wesentlichen Hürden bei der Implementierung, wenn man das so nennen will, steckten in der Umsetzung des fünften Schrittes „IT-Servicemanagementprozesse“. Hier lag der Schwerpunkt darauf, die bereits in der Realität ablaufenden Prozesse, zum Beispiel Änderungsprozesse wie On-Off-Boarding, in Richtlinien und Prozessdokumente zu gießen.

Diese mussten dann für das Audit als dokumentierte Nachweise bereitgelegt werden. Aber damit wir uns nicht falsch verstehen: Solche Dokumente werden natürlich nicht nur für das Audit erstellt. Sie dienen vielmehr der Organisation als Basis für die täglichen Projektabläufe und gleichzeitig als Fundament für den kontinuierlichen Verbesserungsprozess.

Können Sie konkretisieren, auf welche Weise Ihre Organisation hier profitiert hat?
Es war tatsächlich gerade der Schritt 5 „IT-Servicemanagement“, der im Ergebnis das Unabhängige Datenschutzzentrum Saarland weiterentwickelt hat. Sämtliche Prozesse sind nun schriftlich dokumentiert und können von fachlich versierten externen Dritten umgesetzt beziehungsweise nachvollzogen werden.

Das heißt: Die Organisation hat dieses Prozesswissen nunmehr „schwarz auf weiß“. Hiermit wurde auch die Grundlage für mögliche Managemententscheidungen geschaffen, wie Outsourcing, Prozessverbesserung etc. Genau das ist auch ein wesentliches Feature von ISIS12, etwas, das es von anderen Vorgehensmodellen für den Aufbau und die Etablierung eines Managementsystems unterscheidet.

Welchen weiteren Nutzen bietet ISIS12 für Ihre Organisation?
Lassen Sie mich das anhand einer knappen Aufzählung beantworten: Wir haben

• dokumentierte Prozesse und einen Gesamtüberblick
• eine nachhaltige Umsetzung der Prozesse
• Messbarkeit der Prozessumsetzung
• eine Übersicht über die umgesetzten und noch offenen technischen-organisatorischen Maßnahmen
• einen Managementreport als Grundlage für weitere technische, organisatorische und kaufmännische Entscheidungen

Kurz gesagt: Wir haben eine schlanke Verwaltung!

Wie zufrieden waren Sie denn mit der DQS als Ihr Zertifizierer?
Ihr Auditor hat uns professionell durch das Zertifizierungsaudit geführt. Gerade der externe Blick des Auditors hat die eine oder andere Verbesserungsmöglichkeit aufgezeigt. Vor diesem Hintergrund wollen wir uns auch zukünftig mit der DQS und dem Auditor entwickeln und unser Informationssicherheitsmanagement spürbar verbessern.

Das freut uns – in welche Richtung planen Sie denn für die Zukunft, evtl. ein Upgrade auf ISO 27001?
Für uns sind jetzt noch einige Nacharbeiten und Verbesserungen auf der Planungs- und Strategieseite umzusetzen. Vor diesem Hintergrund wollen wir das Jahr nach der ISIS12 Zertifizierung nutzen, um diese offenen Punkte abzuarbeiten und dann entscheiden, wie es weitergeht. ISO 27001 könnte neben ISIS12 für das Unabhängige Datenschutzzentrum Saarland durchaus eine Option sein.

Herr Moses, wir bedanken uns für das interessante Gespräch!

ISIS12 (CISIS12®) – Informationssicherheit in 12 Schritten 

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und im Dezember 2012 vom IT-Sicherheitscluster e.V. erstmals herausgegeben. Seither wurde das Regelwerk konsequent weiterentwickelt und in der Version 3 als CISIS12® veröffentlicht. Formal macht CISIS12® gegenüber ISIS12 einen noch deutlicheren Schritt auf umfangreichere, etablierte Managementsysteme zu, wie beispielsweise ISO 27001.

Der neue Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. Damit wird deutlich, dass das Thema Compliance inhaltlich im gesamten Prozess stark an Bedeutung gewonnen hat und die oberste Leitung stärker einbezogen wird. Das Regelwerk enthält klare Handlungsanweisungen in zwölf Schritten, die vergleichsweise einfach nacheinander bearbeitet werden können. Begleitet wird die Einführung durch ein Handbuch und eine praxisorientierte Software.

Gerade Kommunen und mittelständischen Unternehmen wie dem Unabhängige Datenschutzzentrum Saarland wird mit ISIS12 (CISIS12®) die Umsetzung erleichtert. So können alle Anforderungen mit vergleichsweise geringer externer Unterstützung umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden. Das Regelwerk ist unabhängig zertifizierbar.

DQS – Das können wir für Sie tun

Seit mehr als 35 Jahren stehen wir mit unparteilichen Audits und Zertifizierungen für die Weiterentwicklung von Managementsystemen und Prozessen. Gegründet 1985 als erster Zertifizierer für Managementsysteme in Deutschland, zählt die DQS heute zu den führenden Auditspezialisten. 29.000 zertifizierte Managementsysteme von Organisationen aller Größen und Branchen sind Ausdruck unserer Erfolgsgeschichte als Premiumdienstleister und machen uns zur größten Tochter der international agierenden DQS Gruppe.

In dynamischen Märkten setzen wir immer neue Maßstäbe: Wir auditieren nach rund 100 anerkannten Normen und Regelwerken, nach branchenspezifischen Standards oder maßgeschneidert nach Ihren individuellen Vorgaben.

Unser Anspruch beginnt dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort!

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.