CISIS12
Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein Information Security Management System (ISMS), das vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben wird. Es umfasst die Beschreibung des Standards, eine Norm, ein Handbuch zur Einführung und einen Baustein und Maßnahmenkatalog. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". Es ergänzt den bereits seit mehreren Jahren etablierten Standard ISIS12 um eine zusätzliche Schicht mit Complianceaspekten und gibt somit der Version 3 ihren neuen Namen CISIS12.
Einführung
- Leitlinie erstellen und Ziele definieren
- Sensibilisieren
- ISMS-Team
- Dokumentation
- ITSM-Prozesse
- Compliance / Prozesse / Anwendungen
- Infrastruktur
- Risiko (neu)
- IST-SOLL Vergleich
- Umsetzung
- Audit intern (neu)
- Revision
Die Schritte werden kontinuierlich im PDCA-Zyklus durchlaufen.
Integration der Prozessschicht
Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt.
Wichtige Prozesse
Einige wichtige Prozesse bei CISIS12 sind:
- Risikomanagementprozess:Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung, Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit. Dieser Prozess hilft dabei, potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.
- Incident-Managementprozess: Der Incident-Managementprozess umfasst die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Hierbei geht es darum, schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren, um Schäden zu minimieren.
- Change-Managementprozess: Der Change-Managementprozess regelt die Umsetzung von Änderungen an IT-Systemen oder Prozessen, um sicherzustellen, dass diese Änderungen keine negativen Auswirkungen auf die Informationssicherheit haben.
- Kontinuierlicher Verbesserungsprozess: Der kontinuierliche Verbesserungsprozess (KVP) umfasst die ständige Überprüfung und Verbesserung der ISMS-Prozesse, um sicherzustellen, dass sie den sich ändernden Anforderungen und Bedrohungen gerecht werden.
- Schulungs- und Sensibilisierungsprozess: Der Schulungs- und Sensibilisierungsprozess umfasst Schulungen und Awareness-Kampagnen, um das Sicherheitsbewusstsein und -wissen der Mitarbeiter zu verbessern.
- Überwachungs- und Messprozess: Der Überwachungs- und Messprozess umfasst die Überwachung der Umsetzung der ISMS-Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.
Diese Prozesse sind eng miteinander verknüpft und bilden zusammen ein umfassendes System zur Gewährleistung der Informationssicherheit in einer Organisation.
Zertifizierbarkeit
CISIS12 ist unabhängig zertifizierbar.
ISIS12
Bis zur Version 3 wurde der Name ISIS12 verwendet.
Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist die frühere Version des Modells zur Einführung eines Information Security Management System (ISMS). Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit.
ISIS12 war eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS.
Grundgedanke
Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen (IT-Sicherheitsgesetz, Bayerisches E-Government Gesetz Art. 11). Außerdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit (z. B. DSGVO, GmbH-Gesetz §43 Abs. 1, Basel II, S-Ox, Telemediengesetz, Aktiengesetz §91 Abs. 2 & § 93 Abs. 2, Handelsgesetz §317 Abs. 4 uvm.), meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen.
Schwierigkeiten bei der praktischen Einführung und Umsetzung eines ISMS bestehen erfahrungsgemäß unter anderem in personellen Engpässen, mangelndem Fachwissen und der Überlastung der meist kleinen IT-Abteilungen.
Grundgedanke bei der Entwicklung von ISIS12 war es daher, die Lücke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schließen. Als Resultat dieser Überlegungen entstand ein Modell in zwölf konkreten Schritten[1], abgeleitet aus IT-Grundschutz und der Norm ISO/IEC 27001.
Förderung
Die ursprüngliche Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.
Zudem war ISIS12 im Rahmen verschiedener Initiativen förderfähig:
Anerkennung
ISIS12/CISIS12 für die kommunale Sicherheit
Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen.[5] Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netz „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.
Gutachten von Fraunhofer AISEC
Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten[6] bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.
Weblinks
- CISIS12 – Compliance und Informationssicherheit in 12 Schritten
- Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (vom 30. März 2015; auf der Webseite des IT-Planungsrats)
- ISIS12/CISIS12 - ein Informations-Sicherheitsmanagement System in 12 Schritten
Quellen
- Andreas Reichelt: Verbesserte Datensicherheit. Tele Regional Passau 1 (TRP1), abgerufen am 24. Oktober 2020.
- Schutz der Öffentlichen Netze. Abgerufen am 17. Juli 2018.
- Digitalbonus – Digitalbonus Bayern. Abgerufen am 17. Juli 2018.
- Pressemitteilung Saarland heute | Saarland.de. Abgerufen am 17. Juli 2018.
- IT-Planungsrat Entscheidung 2013/01 - Steuerungsprojekt „Leitlinie Informationssicherheit“ (Memento vom 9. Februar 2015 im Internet Archive)
- Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer) (PDF; 602 kB)