ISIS12

ISIS12 – ISMS in 12 Schritten

KMU und kleinere Kommunalverwaltungen können Unterstützung bei der Einführung eines Informationssicherheits-Managementsystems gut gebrauchen. Mit ISIS12 hat das Netzwerk Informationssicherheit im Mittelstand (NIM) ein Vorgehensmodell in zwölf Schritten entwickelt. Gefördert wurde die Entwicklung vom Bayerischen IT-Sicherheitscluster, in dem Unternehmen, Hochschulen, Forschungs- und Weiterbildungseinrichtungen sowie Juristen an gemeinsamen Zielen im Bereich der Informationssicherheit zusammenarbeiten.

Erfahrungsgemäß stehen kleinere Unternehmen und kleinere kommunale Verwaltungen bei der Einführung und Umsetzung eines ISMS vor erheblichen Herausforderungen, denn sie haben mit personellen Engpässen und fehlendem Fachwissen in knapp ausgestatteten IT-Abteilungen zu kämpfen. Grundgedanke bei der Entwicklung von ISIS12 war deshalb, die Gradwanderung hinzubekommen zwischen dem, was im Hinblick auf die Informationssicherheit notwendig ist und dem, was kleine Organisationen stemmen können. Das Ergebnis ist ein sehr konkret gehaltenes Vorgehensmodell zur Einführung eines Informationssicherheits-Managementsystems (ISMS), mit dem sie die Sicherheit in zwölf Schritten deutlich verbessern können.

Konkrete Anweisungen statt abstraktem Modell

ISIS12 leitet sich aus IT-Grundschutz und ISO 27001 her. Gegenüber IT-Grundschutz arbeitet ISIS12 mit einem deutlich zusammengestrichenen Maßnahmenkatalog; das Modell ersetzt den abstrakten Charakter der ISO 27001 durch zwölf konkrete Einzelschritte und verzichtet darauf, eine möglichst umfassende Bandbreite an Bedrohungen abzudecken. Zudem ist ISIS12 skalierbar: Bei der Umsetzung wird in einem ersten Durchlauf das ISMS etabliert; anschließend wird das Verfahren für interne (aber auch externe) Audits verwendet, mit deren Hilfe das ISMS fortlaufend aktualisiert und verbessert werden kann. Es geht also darum, den Unternehmen und Verwaltungen eine übersichtliche Handlungsanweisung an die Hand zu geben, einen verständlich geschriebenen Leitfaden für die „Hilfe zur Selbsthilfe“.

Aktuelle Weiterentwicklung in Richtung ISO 27001

Das Konzept ist aufgegangen, sehr viele Umsetzungsprojekte werden nicht nur angefangen, sondern auch fertiggestellt. Das „Handbuch zur effizienten Gestaltung von Informationssicherheit für Kleine und Mittlere Organisationen“ sowie unterstützende Software ermöglichen es den Unternehmen, viele Maßnahmen in Eigenregie umzusetzen, sodass der Aufwand für externe Unterstützung überschaubar bleibt. Ein Zusatzmodul für die DSGVO hilft bei der Integration eines Datenschutz-Managements in das ISMS. Die aktuelle Weiterentwicklung mit der Bezeichnung ISIS12 2.0, die im März 2020 veröffentlicht wurde, orientiert sich statt am IT-Grundschutz-Katalog verstärkt an ISO 27001 und soll dabei helfen, vorrangig auf die Zertifizierung nach der Norm hinzuarbeiten. Dafür wurde beispielsweise eine optionale Risikoanalyse integriert sowie interne Audits für die kontinuierliche Verbesserung der Informationssicherheit.

Die Einführung eines ISMS nach ISIS12 kann im Rahmen eines Audits zertifiziert werden; weiterhin kann ISIS12 als Einstieg für weitergehende Zertifizierungen nach ISO 27001 oder IT-Grundschutz genutzt werden.

guest
0 Comments
Inline Feedbacks
View all comments