Über ISIS12

- InformationsSicherheitsmanagementSystem in 12 Schritten

Was ist ISIS12?

ISIS12 ist ein Standard unter den Informationssicherheitsmanagementsystemen (ISMS). Beliebt ist das ISMS vor allem deshalb, weil es in seinen konkreten 12 Schritten klare Handlungsanweisungen bietet und daher mit vergleichsweise geringer externer Unterstützung eingeführt werden kann und dadurch eine hohe Fertigstellungsgarantie aufweist.

Warum sollte ISIS12 eingesetzt werden?

ISIS12 ist ein radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI Grundschutz. Eine Zertifizierung ist von speziell von der DQS ausgebildeten Auditoren möglich.

ISIS12 Schritt 1 beschäftigt sich mit der Erstellung einer Unternehmensleitlinie für Informationssicherheit. Diese ist von der Unternehmensleitung zu unterzeichnen. Die Unternehmensleitlinie ist das zentrale Strategiepapier, in die Ziele sowie die daraus abgeleiteten und abzuleitenden Konzepte und Maßnahmen festgehalten werden. Die Mitarbeiter müssen zur Einhaltung und Umsetzung von der Unternehmensleitung motiviert werden und immer Zugang zu einer schriftlichen Version haben. Je nach Festlegung, ist die Unternehmensleitlinie für das gesamte Unternehmen oder nur für Teilbereiche gültig. Zu berücksichtigen sind auch die unternehmensspezifischen Sicherheitsziele wie z.B. Reduzierung der Kosten im Schadensfall oder Aufrechterhaltung der Produktionsfähigkeit.

 

In ISIS12 Schritt 2 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen werden. Neben dem Erhalt eines schriftlichen Exemplars der Leitlinie für Informationssicherheit, sollen die Mitarbeiter regelmäßig (z.B. über das Intranet) über Neuerungen wie z.B. Ansprechpartner, Änderungen der Leitlinie oder Hinweise auf Verhaltensfehler informiert werden.

ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12-Prozesses verantwortlich ist. Neben einem Mitglied der Unternehmensleitung, ist zudem der IT-Leiter Mitglied dieses Teams. Die Berichterstattung erfolgt direkt an die Unternehmensleitung. In der ISIS12-Einführungsphase ist die Unterstützung eines ISIS12-Dienstleisters empfehlenswert. Zu berücksichtigen ist, dass dem ISB zu Beginn des Projekts ausreichend Arbeitszeit gewährt wird. Abhängig von der Unternehmensgröße kann zu Beginn eine Auslastung bis zu 100% möglich sein. Später kann der Arbeitsaufwand auf ca. 20% einer Vollzeitstelle sinken.

 

ISIS12 Schritt 4 beschäftigt sich mit einer zielführenden IT-Dokumentation. Absolut wichtig ist die Aktualität der Daten, die der IT-Verantwortliche kontinuierlich kontrollieren muss. Um Änderungen nachzuvollziehen, ist eine Versionierung der Dokumente erforderlich. Nach der Erfassung des IST-Zustands, verlangt ISIS12 die Erstellung eines Netzplans und bis zum Beginn des zweiten ISIS12-Durchlaufs nach ein bis zwei Jahren auch die Einführung eines Softwaretools, das das Management der IT-Systeme unterstützt (CMDB-Tool). Die Dokumentation im IT-Handbuch erfolgt in Systemakten und in Prozesssteckbriefen. Das IT-Notfallhandbuch regelt die Abläufe im Notfall.

In ISIS12 Schritt 5 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Die Wartungsprozesse werden im IT-Betriebshandbuch beschrieben. Wird im Rahmen einer Wartung eine Änderung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert. Hier wendet sich der Benutzer an die IT-Abteilung, die unter Zuhilfenahme der Ergebnisse von Schritt 7 die einzuleitenden Maßnahmen priorisieren kann.

 

Mit ISIS12 Schritt 6 beginnt die operative Phase des ISIS12 Vorgehensmodells. Dabei werden wenige unternehmenskritische Anwendungen identifiziert und bewertet. Diesen werden jeweils 3 Schutzbedarfskategorien bezogen auf die Grundwerte „Vertraulichkeit, Integrität und Verfügbarkeit“ zugeordnet. Aus der Schutzbedarfsfeststellung werden dann die Maximal Tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet und im Service-Katalog dokumentiert, der über ein CMDB-Softwaretool verwaltet wird.

Nach der Lokalisierung kritischer Applikationen steht in ISIS12 Schritt 7 die Definition des Informationsverbunds im Mittelpunkt. In diesem werden die technischen, personellen, organisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen im Unternehmen benötigt werden, zusammen gefasst. Die Objekte werden in sicherheitsrelevanter Abhängigkeit zu den kritischen Applikationen erfasst und weitergehend in Teilbereichen gruppiert. Der Schutzbedarf der kritischen Applikationen und die MTA werden den Objekten vererbt.

In ISIS12 Schritt 8 erfolgt die Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den in Schritt 7 ermittelten Objekten. Diese erfolgen in Anlehnung an den ISIS12-Katalog, der einen gegenüber dem BSI-Grundschutzkatalog reduzierten Maßnahmenkatalog enthält. Die Bausteine, die für den gesamten Informationsverbund anzuwenden sind, lauten: Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4). Diese Bausteine werden den IT-Objekten zugeordnet, z.B. Gebäude und Serverraum gehören zur Infrastruktur. Eine Erleichterung schafft in diesem Schritt das ISIS12-Softwaretool, mit dem die Zuordnung bereits in der IT-Strukturanalyse automatisch erfolgt.

In ISIS12 Schritt 9 soll mit dem Ist-Soll-Vergleich ein Überblick über den Umsetzungsgrad, der in Schritt 8 geforderten Maßnahmen gegeben werden. Die Erhebung kann durch die vom ISB ernannten verantwortlichen Spezialisten im Unternehmen durchgeführt werden. Die möglichen Beurteilungen der Umsetzung lauten: „ja“, „teilweise“, „nein“ oder „nicht notwendig.

In ISIS12 Schritt 10 wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzenden Maßnahmen werden priorisiert und zusammen mit einer Kostenabschätzung der Geschäftsleitung als Vorschlag präsentiert. Nach Festlegung der Umsetzungsreihenfolge der Maßnahmen, werden diese in ISIS12 Schritt 11 final umgesetzt.

In ISIS12 Schritt 11 werden die konsolidierten und genehmigten Sicherheitsmaßnahmen im Unternehmen umgesetzt. Für jede Maßnahmen, sind die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festzulegen. Bei einer komplexen Umsetzung ist zu überlegen, ob eine Schulung der Mitarbeiter sinnvoll ist.

Mit dem Abschluss des Schritts fordert das ISIS12-Softwaretool zur Eingabe eines Revisionstermins für eine oder mehrere Maßnahmen auf. Die gescannte Revisionsliste wird in Schritt 12 erzeugt.
War es während des ersten ISIS12-Zyklusses so, dass die Schritte nacheinander abzuarbeiten waren, so ist es nach Abschluss von Schritt 12 möglich auf jeden Schritt im Softwaretool direkt zuzugreifen. In Schritt 12 erzeugt das ISIS12-Softwaretool eine Kennzahl, die den Umsetzungsgrad der Maßnahmen darstellt.

 

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen