Informationssicherheit ist keine statische Angelegenheit. Immer neue Bedrohungen stellen Unternehmen vor neue Herausforderungen. Laut einem Studienbericht 2020 der bitkom sind Spionage, Sabotage und Datendiebstahl weiter ein großes Thema, demnach sind drei von vier Unternehmen Opfer geworden. Dabei stehen kleine Unternehmen weiterhin im Fokus der Angreifer. Digitale Angriffe haben bei 70% der Unternehmen Schäden verursacht, 2017 traf das hingegen nur auf 43% zu. Technische Absicherung wie Firewalls und Virenschutzprogramme sind im Fall von Social Engineering, beispielsweise Phishing, machtlos. Eine Lösung für alle offenen Fragen rund um die Informationssicherheit im eigenen Unternehmen bietet der Einstieg in ein Informationssicherheits-Managementsystem nach ISIS12.
Informationssicherheit für öffentliche Einrichtungen, Verwaltung sowie kleine und mittlere Unternehmen
ISIS12 ist ein vom IT-Sicherheitscluster e.V. entwickelter Standard. Ursprünglich wurde ISIS12 für kleine und mittlere Unternehmen (KMU) konzipiert, dann aber durch eine kommunale Adaption ergänzt und durch Handreichungen und Mustervorlagen für Kommunen sowie deren Eigen- und Beteiligungsgesellschaften mit bis zu 500 Mitarbeitern ergänzt. ISIS12 trägt stark der personellen Ausgestaltung sowie den finanziellen und zeitlichen Ressourcen der angesprochenen Zielgruppe Rechnung. Es ist ein relativ kompaktes und mit kleinen Projektteams in circa 18 Monaten aufzubauender Informationssicherheitsstandard, der intern nur zusätzlich einen Projektleiter, Informationssicherheits-Beauftragten oder -Koordinator benötigt.
ISIS12 beschreibt eine Vorgehensweise zur Etablierung eines Informationssicherheitsstandards um Schwachstellen sowie gesetzliche Anforderungen mit einem vertretbaren Aufwand zu begegnen. Es ist ein erster Einstieg in das Thema Informationssicherheitsmanagementsysteme (ISMS).
Beliebt ist der ISIS12 Standard vor allem deshalb, weil er in seinen konkreten zwölf Schritten klare Handlungsanweisungen vorgibt und daher mit vergleichsweise geringer externer Unterstützung eingeführt werden kann. Eine Zertifizierung ist durch lizenzierte, qualifizierte und zugelassene ISIS12-Auditoren möglich.
Die Einführung vollzieht sich in drei Phasen und zwölf Schritten, die vergleichsweise einfach nacheinander bearbeitet werden können. In Phase I erstellen Sie eine Leitlinie zur Informationssicherheit und sensibilisieren Ihre Mitarbeiter. Die nächste Phase dient der Festlegung der Aufbau- und Ablauforganisation. Phase III umfasst die Entwicklung und Umsetzung des Konzepts. Die Einführung wird unterstützt durch ein Handbuch. Die Nutzung eines Softwaretools wird vom IT-Sicherheitscluster e.V empfohlen.
Damit gibt ISIS12 dem Anwender einen konkreten Handlungsrahmen vor.
Phase I
- Schritt 1: Leitlinie erstellen
- Schritt 2: Mitarbeiter sensibilisieren
Phase II
- Schritt 3: Informationssicherheitsteam aufbauen
- Schritt 4: IT-Dokumentationsstruktur festlegen
- Schritt 5: IT-Servicemanagement-Prozess einführen
- Schritt 6: Kritische Applikationen identifizieren
- Schritt 7: IT-Struktur analysieren
- Schritt 8: Modellierung
- Schritt 9: Soll-Ist-Vergleich
Phase III
- Schritt 10: Umsetzung planen + Umsetzung
- Schritt 11: Internes Audit
- Schritt 12: Revision
Ihre Vorteile
- Relativ einfacher, geführter und finanziell überschaubarer Einstieg in eine systematische Vorgehensweise zum Thema Informationssicherheit
- unabhängiger Nachweis Ihres umgesetzten Informationssicherheitsniveaus
- Sensibilisierung von Mitarbeitern und Führungskräften
- Unterstützung von Compliance-Anforderungen
- bundeslandspezifische Förderung der Zertifizierungskosten möglich
Der ISIS12 Standard ist ein Vorgehensmodell das im Mittel lediglich nur 25 % vom Aufwand anderer Standards verlangt und reduziert damit die Komplexität der Einführung eines ISMS.
Den Unternehmen, Kommunen sowie deren Eigen- und Beteiligungsgesellschaften steht damit ein vielfach bewährtes Rahmenwerk zur Verfügung, mit dem sie das Sicherheitsniveau im Bereich Information und IT mit messbarem Erfolg erhöhen können. ISIS12 bezieht Best Practice Beispiele mit ein und orientiert sich mit allgemeinen Handlungsempfehlungen an der ISO/IEC 27001. Es ist damit möglich ISIS12 als Zwischenschritt zu ISO/IEC 27001 zu verwenden. Eine Zertifizierung nach dem Standard ISIS12 wird durch lizenzierte, qualifizierte und zugelassene ISIS12-Auditoren durchgeführt. Die datenschutz cert ist eine anerkannte Zertifizierungsstelle für ISIS12. Für Fragen stehen wir gerne zur Verfügung.
Autor: Matthias Mühlhause