Über ISIS12

- InformationsSicherheitsmanagementSystem in 12 Schritten

Was ist ISIS12?

  • Ein Vorgehensmodell, das ein InformationsSicherheitsManagementSystem beschreibt
  • Das Verfahren kann als mögliche Vorstufe zur ISO/IEC 27001- bzw. BSI IT-Grundschutz-Zertifizierung verwendet werden
  • Einführung durch speziell ausgebildete ISIS12-Dienstleister
  • Unabhängige Zertifizierung

2019 wird sich bei ISIS12 einiges ändern und vieles noch anwenderfreundlicher gestaltet werden.
Wir sprachen mit Michael Gruber, Leiter der Entwicklung von ISIS12 über die Änderungen und Kontinuitäten, die ISIS12 2.0 bringen wird.

 

Für wen ist ISIS12?

 

 

Warum sollte ISIS12 eingesetzt werden?

  • Radikal reduzierter Maßnahmenkatalog im Vergleich zum BSI Grundschutz
  • Zertifizierung von speziell von der DQS ausgebildeten Auditoren möglich
  • Einführung anhand des ISIS12-Handbuchs und ISIS12-Katalogs
  • Unterstützung durch speziell entwickelte ISIS12-Software

 

 

Haben Sie weitere Fragen zu ISIS12?

Hier finden Sie ein Sammlung der Fragen, die uns am häufigsten erreichen.

 

 

Wer hat ISIS12 entwickelt?

ISIS12 wird vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitscluster e.V. für mittelständische Unternehmen und Organsiationen entwickelt.

Deutschlandweit gibt es verschiedene Programme die Digitalisierung und IT-Sicherheit fördern.
In einigen wird der Standard ISIS12 berücksichtigt:

 

ISIS12 Fördermöglichkeiten:

Verbesserung des Informationssicherheitsniveaus in KMU – Mittelstandsrichtlinie

Förderung für bayerische Kommunen

Digitalbonus.Bayern für KMU

 

 

Schritte von ISIS12

Schritt 1: Leitlinie erstellen

ISIS12 Schritt 1 beschäftigt sich mit der Erstellung einer Unternehmensleitlinie für Informationssicherheit. Diese ist von der Unternehmensleitung zu unterzeichnen. Die Unternehmensleitlinie ist das zentrale Strategiepapier, in die Ziele sowie die daraus abgeleiteten und abzuleitenden Konzepte und Maßnahmen festgehalten werden. Die Mitarbeiter müssen zur Einhaltung und Umsetzung von der Unternehmensleitung motiviert werden und immer Zugang zu einer schriftlichen Version haben. Je nach Festlegung, ist die Unternehmensleitlinie für das gesamte Unternehmen oder nur für Teilbereiche gültig. Zu berücksichtigen sind auch die unternehmensspezifischen Sicherheitsziele wie z.B. Reduzierung der Kosten im Schadensfall oder Aufrechterhaltung der Produktionsfähigkeit.

 

Schritt 2: Mitarbeiter sensibilisieren

In ISIS12 Schritt 2 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen werden. Neben dem Erhalt eines schriftlichen Exemplars der Leitlinie für Informationssicherheit, sollen die Mitarbeiter regelmäßig (z.B. über das Intranet) über Neuerungen wie z.B. Ansprechpartner, Änderungen der Leitlinie oder Hinweise auf Verhaltensfehler informiert werden.

 

Schritt 3: Informationssicherheitsteam aufbauen

ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12-Prozesses verantwortlich ist. Neben einem Mitglied der Unternehmensleitung, ist zudem der IT-Leiter Mitglied dieses Teams. Die Berichterstattung erfolgt direkt an die Unternehmensleitung. In der ISIS12-Einführungsphase ist die Unterstützung eines ISIS12-Dienstleisters empfehlenswert. Zu berücksichtigen ist, dass dem ISB zu Beginn des Projekts ausreichend Arbeitszeit gewährt wird. Abhängig von der Unternehmensgröße kann zu Beginn eine Auslastung bis zu 100% möglich sein. Später kann der Arbeitsaufwand auf ca. 20% einer Vollzeitstelle sinken.

 

Schritt 4: IT-Dokumentationsstruktur festlegen
ISIS12 Schritt 4 beschäftigt sich mit einer zielführenden IT-Dokumentation. Absolut wichtig ist die Aktualität der Daten, die der IT-Verantwortliche kontinuierlich kontrollieren muss. Um Änderungen nachzuvollziehen, ist eine Versionierung der Dokumente erforderlich. Nach der Erfassung des IST-Zustands, verlangt ISIS12 die Erstellung eines Netzplans und bis zum Beginn des zweiten ISIS12-Durchlaufs nach ein bis zwei Jahren auch die Einführung eines Softwaretools, das das Management der IT-Systeme unterstützt (CMDB-Tool). Die Dokumentation im IT-Handbuch erfolgt in Systemakten und in Prozesssteckbriefen. Das IT-Notfallhandbuch regelt die Abläufe im Notfall.

 

Schritt 5: IT-Servicemanagement-Prozess einführen
In ISIS12 Schritt 5 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Die Wartungsprozesse werden im IT-Betriebshandbuch beschrieben. Wird im Rahmen einer Wartung eine Änderung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert. Hier wendet sich der Benutzer an die IT-Abteilung, die unter Zuhilfenahme der Ergebnisse von Schritt 7 die einzuleitenden Maßnahmen priorisieren kann.

 

Schritt 6: Kritische Applikationen identifizieren

Mit ISIS12 Schritt 6 beginnt die operative Phase des ISIS12 Vorgehensmodells. Dabei werden wenige unternehmenskritische Anwendungen identifiziert und bewertet. Diesen werden jeweils 3 Schutzbedarfskategorien bezogen auf die Grundwerte „Vertraulichkeit, Integrität und Verfügbarkeit“ zugeordnet. Aus der Schutzbedarfsfeststellung werden dann die Maximal Tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet und im Service-Katalog dokumentiert, der über ein CMDB-Softwaretool verwaltet wird.

 

Schritt 7: IT-Struktur analysieren

Nach der Lokalisierung kritischer Applikationen steht in ISIS12 Schritt 7 die Definition des Informationsverbunds im Mittelpunkt. In diesem werden die technischen, personellen, organisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen im Unternehmen benötigt werden, zusammen gefasst. Die Objekte werden in sicherheitsrelevanter Abhängigkeit zu den kritischen Applikationen erfasst und weitergehend in Teilbereichen gruppiert. Der Schutzbedarf der kritischen Applikationen und die MTA werden den Objekten vererbt.

 

Schritt 8: Sicherheitsmaßnahmen modellieren

In ISIS12 Schritt 8 erfolgt die Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den in Schritt 7 ermittelten Objekten. Diese erfolgen in Anlehnung an den ISIS12-Katalog, der einen gegenüber dem BSI-Grundschutzkatalog reduzierten Maßnahmenkatalog enthält. Die Bausteine, die für den gesamten Informationsverbund anzuwenden sind, lauten: Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4). Diese Bausteine werden den IT-Objekten zugeordnet, z.B. Gebäude und Serverraum gehören zur Infrastruktur. Eine Erleichterung schafft in diesem Schritt das ISIS12-Softwaretool, mit dem die Zuordnung bereits in der IT-Strukturanalyse automatisch erfolgt.

 

Schritt 9: Ist-Soll vergleichen

In ISIS12 Schritt 9 soll mit dem Ist-Soll-Vergleich ein Überblick über den Umsetzungsgrad, der in Schritt 8 geforderten Maßnahmen gegeben werden. Die Erhebung kann durch die vom ISB ernannten verantwortlichen Spezialisten im Unternehmen durchgeführt werden. Die möglichen Beurteilungen der Umsetzung lauten: „ja“, „teilweise“, „nein“ oder „nicht notwendig.

 

Schritt 10: Umsetzung planen

In ISIS12 Schritt 10 wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzenden Maßnahmen werden priorisiert und zusammen mit einer Kostenabschätzung der Geschäftsleitung als Vorschlag präsentiert. Nach Festlegung der Umsetzungsreihenfolge der Maßnahmen, werden diese in ISIS12 Schritt 11 final umgesetzt.

 

Schritt 11: Umsetzen

In ISIS12 Schritt 11 werden die konsolidierten und genehmigten Sicherheitsmaßnahmen im Unternehmen umgesetzt. Für jede Maßnahmen, sind die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festzulegen. Bei einer komplexen Umsetzung ist zu überlegen, ob eine Schulung der Mitarbeiter sinnvoll ist.

 

Schritt 12: Revision

Mit dem Abschluss des Schritts fordert das ISIS12-Softwaretool zur Eingabe eines Revisionstermins für eine oder mehrere Maßnahmen auf. Die gescannte Revisionsliste wird in Schritt 12 erzeugt.
War es während des ersten ISIS12-Zyklusses so, dass die Schritte nacheinander abzuarbeiten waren, so ist es nach Abschluss von Schritt 12 möglich auf jeden Schritt im Softwaretool direkt zuzugreifen. In Schritt 12 erzeugt das ISIS12-Softwaretool eine Kennzahl, die den Umsetzungsgrad der Maßnahmen darstellt.

 

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen