Über ISIS12

- InformationsSicherheitsmanagementSystem in 12 Schritten

Was ist ISIS12?

ISIS12 ist ein Standard unter den Informationssicherheitsmanagementsystemen (ISMS). Beliebt ist das ISMS vor allem deshalb, weil es in seinen konkreten zwölf Schritten klare Handlungsanweisungen bietet und daher mit vergleichsweise geringer externer Unterstützung eingeführt werden kann. Daraus resultiert eine hohe Fertigstellungsgarantie. Eine Zertifizierung ist von speziell von der DQS ausgebildeten Auditoren möglich.
ISIS12 ab der Version 2.0 wurde entwickelt von: Michael Gruber, Thorsten Dombach und Stefan Lew.

Die 12 Schritte von ISIS12

Wir geben Ihnen eine Übersicht über die 12 Schritte, die in ISIS12 durchlaufen werden.

ISIS12 Schritt 1 beschäftigt sich mit der Erstellung einer Unternehmensleitlinie für Informationssicherheit. Diese ist von der Unternehmensleitung zu unterzeichnen. Die Unternehmensleitlinie ist das zentrale Strategiepapier, in die Ziele sowie die daraus abgeleiteten und abzuleitenden Konzepte und Maßnahmen festgehalten werden. Die Mitarbeiter müssen zur Einhaltung und Umsetzung von der Unternehmensleitung motiviert werden und immer Zugang zu einer schriftlichen Version haben. Je nach Festlegung, ist die Unternehmensleitlinie für das gesamte Unternehmen oder nur für Teilbereiche gültig. Zu berücksichtigen sind auch die unternehmensspezifischen Sicherheitsziele wie z. B. Reduzierung der Kosten im Schadensfall oder Aufrechterhaltung der Produktionsfähigkeit.

 

In ISIS12 Schritt 2 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen werden. Neben dem Erhalt eines schriftlichen Exemplars der Leitlinie für Informationssicherheit, sollen die Mitarbeiter regelmäßig (z. B. über das Intranet) über Neuerungen wie z. B. Ansprechpartner, Änderungen der Leitlinie oder Hinweise auf Verhaltensfehler informiert werden.

ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12-Prozesses verantwortlich ist. Neben einem Mitglied der Unternehmensleitung, ist zudem der IT-Leiter Mitglied dieses Teams. Die Berichterstattung erfolgt direkt an die Unternehmensleitung. In der ISIS12-Einführungsphase ist die Unterstützung eines ISIS12-Dienstleisters empfehlenswert. Zu berücksichtigen ist, dass dem ISB zu Beginn des Projekts ausreichend Arbeitszeit gewährt wird. Abhängig von der Unternehmensgröße kann zu Beginn eine Auslastung bis zu 100 Prozent möglich sein. Später kann der Arbeitsaufwand auf ca. 20 Prozent einer Vollzeitstelle sinken.

ISIS12 Schritt 4 beschäftigt sich mit einer zielführenden IT-Dokumentation. Absolut wichtig ist die Aktualität der Daten, die der IT-Verantwortliche kontinuierlich kontrollieren muss. Um Änderungen nachzuvollziehen, ist eine Versionierung der Dokumente erforderlich. Nach der Erfassung des IST-Zustands, verlangt ISIS12 die Erstellung eines Netzplans und bis zum Beginn des zweiten ISIS12-Durchlaufs nach ein bis zwei Jahren auch die Einführung eines Softwaretools, das das Management der IT-Systeme unterstützt (CMDB-Tool). Die Dokumentation im IT-Handbuch erfolgt in Systemakten und in Prozesssteckbriefen. Das IT-Notfallhandbuch regelt die Abläufe im Notfall.

In ISIS12 Schritt 5 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Die Wartungsprozesse werden im IT-Betriebshandbuch beschrieben. Wird im Rahmen einer Wartung eine Änderung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert. Hier wendet sich der Benutzer an die IT-Abteilung, die unter Zuhilfenahme der Ergebnisse von Schritt 7 die einzuleitenden Maßnahmen priorisieren kann.

 

Mit ISIS12 Schritt 6 beginnt die operative Phase des ISIS12 Vorgehensmodells. Dabei werden wenige unternehmenskritische Anwendungen identifiziert und bewertet. Diesen werden jeweils 3 Schutzbedarfskategorien bezogen auf die Grundwerte „Vertraulichkeit, Integrität und Verfügbarkeit“ zugeordnet. Aus der Schutzbedarfsfeststellung werden dann die Maximal Tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet und im Service-Katalog dokumentiert, der über ein CMDB-Softwaretool verwaltet wird.

Nach der Lokalisierung kritischer Applikationen steht in ISIS12 Schritt 7 die Definition des Informationsverbunds im Mittelpunkt. In diesem werden die technischen, personellen, organisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen im Unternehmen benötigt werden, zusammen gefasst. Die Objekte werden in sicherheitsrelevanter Abhängigkeit zu den kritischen Applikationen erfasst und weitergehend in Teilbereichen gruppiert. Der Schutzbedarf der kritischen Applikationen und die MTA werden den Objekten vererbt.

Zur Vorbereitung auf den Ist-Soll-Vergleich im nachfolgenden ISIS12-Schritt 9 wird in diesem Kapitel die Modellierungsphase durchgeführt, also die Zuordnung der empfohlenen Sicherheitsmaßnahmen (siehe ISIS12-Katalog) zu den in den Schritten 6 und 7 ermittelten Objekten (IT-Verbund). „Die Festlegung zutreffender Sicherheitsmaßnahmen für die ISIS12 einsetzende Organisation (KMO) ist das Ziel.“
Als Ergebnis liegt dann ein spezifisch angepasster Prüfplan vor, der dann im Schritt 9 abgearbeitet wird.

Der neunte Schritt beschreibt den Soll-Ist-Vergleich der empfohlenen und die für die Organisation spezifischen Sicherheitsmaßnahmen (Best-Practice-Maßnahmen). Dieser Soll-Ist-Vergleich gibt einen Überblick über den Umsetzungsgrad der umzusetzenden Maßnahmen. Die Qualität der Ergebnisse hängt dabei von der wahrheitsgemäßen und objektiven Beurteilung des Umsetzungsgrades einer Maßnahme ab.

Die aus dem IST-SOLL-Vergleich (Schritt 9) erhaltenen, noch zu realisierenden Maßnahmen werden im Rahmen der Realisierungsplanung manuell konsolidiert, priorisiert und zusammen mit einer Kostenabschätzung und der Zeitplanung (durch die Spezialisten) der Organisationsleitung als Vorschlag präsentiert.

Nach Realisierung von ISIS12-Schritt 10 ergibt sich ein Überblick darüber, welche Maßnahmen bereits vollständig umgesetzt sind und welche noch in der Umsetzung sind. In diesem Schritt wird geprüft, wie gut die einzelnen Maßnahmen umgesetzt sind und damit den Vorgaben entsprechen.  Schritt 11 ist im ISIS12-Vorgehensmodell als optionaler, aber empfohlener Schritt anzusehen. Sollte zu einem späteren Zeitpunkt eine Zertifizierung nach ISO/IEC 27001 gewünscht sein, ist dieser Schritt verpflichtend. Das interne Audit kann als Werkzeug zur Identifikation von Verbesserungspotenzialen fungieren. Als „intern“ wird ein Audit bezeichnet, wenn es in der Verantwortung der Organisation selbst liegt, die Auditkriterien und den Umfang des Audits festzulegen. Somit unterstützt das interne Audit den Wunsch nach kontinuierlicher Verbesserung aus dem PDCA-Zyklus (Plan, Do, Check, Act).

Der Schritt 12 markiert das Ende der Umsetzungsphase und ist zugleich der dauerhafte Auftrag, das ISMS auf Aktualität und Wirksamkeit hin zu überprüfen und bei Bedarf anzupassen. Grundsätzlich sind die Schritte 1 bis 11 jährlich zu durchlaufen und auf Änderungen, Anpassungen und Ergänzungen zu überprüfen. Die Aufgaben und die damit verbundenen Maßnahmen ergeben sich aus der Überprüfung der elf Schritte und der Informationssicherheitsmaßnahmen.