ISIS12

ISIS12 – Informations-Sicherheit in 12 Schritten!

ISIS12 ist ein Informationssicherheits-Managementsystem in 12 Schritten. Es wurde in einem Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. entwickelt. Das Ergebnis ist ein Vorgehensmodell, speziell zugeschnitten auf die Bedürfnisse von mittelständigen Unternehmen und Kommunen.

Ein wesentlicher Bestandteil – der ISIS12 von anderen Vorgehensmodellen unterscheidet – ist das integrierte Managementsystem! Es verknüpft das ISMS und das IT-Servicemanagement miteinander.

ISIS12 kann als mögliche Vorstufe zur ISO/IEC 27001- bzw. BSI-IT-Grundschutz-Zertifizierung verwendet werden.

Getreu dem Motto „Think Big, Start small and grow step by step“ erleichtert ISIS12 den Einstieg in die Thematik Informationssicherheit und den damit verbundenen Aufbau und Etablierung eines ISMS.

Nach dem Durchlaufen der 12 Schritte von ISIS12 kann dieses ISMS durch die DQS (Gesellschaft zur Zertifizierung von Managementsystemen) als Exklusiv-Partner auditiert werden. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei Überprüfungsaudits statt. Im dritten Jahr kann durch eine Re-Zertifizierung das Zertifikat erneut erteilt werden.

Für wen ist ISIS12 geeignet?

  • Klein- und Mittelstandsunternehmen
  • Dienstleistungsunternehmen
  • Kommunen/Stadt- und Kreisverwaltungen

Warum ISIS12?

  • Reduzierter Maßnahmenkatalog (im Vergleich zu BSI-IT-Grundschutz)
  • Zertifizierung durch speziell von der DQS ausgebildeten Auditoren
  • Einführungsprojekt anhand des ISIS12-Handbuchs und ISIS12-Katalogs
  • Strukturiertes Vorgehensmodell entlang der 12 Schritte
  • Unterstützung durch speziell entwickelte Software
  • Unterstützung durch zertifizierte Berater

Machen Sie unser Ziel zu Ihrem Vorteil!

Unser Ziel ist es Ihre individuellen Bedürfnisse bzgl. der Informationssicherheit zu ermitteln und angemessene Sicherheitsmaßnahmen kompetent und zielorientiert umzusetzen.

Hierbei legen wir großen Wert auf eine Zertifizierung durch die DQS als Nachweis der erfolgreichen Einführung eines Managementsystems.

Nehmen Sie für ein unverbindliches Gespräch Kontakt mit uns auf!

 

Mit dem ISIS12-Tool haben Sie Ihre Assets im Blick?

1. Universale Aspekte

Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) ist vorwiegend eine organisatorische, strategische und steuernde Aufgabe. Dies gilt auch für den Weg mit ISIS12. d.h. Prozesse wie Planung, Organisation, Personal, Führung und Kontrolle müssen berücksichtigt werden, um darauf ein ISMS mit Hilfe von ISIS12  aufzubauen. In der ersten Schicht des ISIS12-Vorgehensmodell sind somit einige Bausteine zu berücksichtigen

  • ISMS
  • Organisation/Personal
  • Notfallmanagement
  • Datensicherung
  • Datenschutz (inkl. EU-DSGVO)
  • Virenschutz
  • Hard- und Softwaremanagement
  • Outsourcing
  • Cloud-Nutzung
  • Patch-Management
  • Berechtigungsmanagemen
  • mobile Datenträger

Unabhängig von den in Schicht 2 bis 4 zu erfassenden Assets ist hierdurch bereits ein großer Schritt in Richtung ISMS erledigt. Denn nur ein in der Organisation etabliertes Team kann auf Basis der Leitlinie für Informationssicherheit ein Projekt zum Aufbau und Etablierung eines ISMS nachhaltig in Kooperation mit allen Fachabteilungen und Mitarbeitern voran treiben.

2. Gebäude / Standorte / Räume

Durch die Erfassung der Standort-, Gebäude- und Rauminformationen bilden Sie die Struktur Ihrer Organisation übersichtlich ab. Sie können dadurch bestimmte Fragen beantworten bzw. besser geographische/strukturelle Gegebenheiten berücksichtigen (z.B. Stromversorgung, Hochwasserrisiken, usw.).

3. IT-Systeme

Um Entscheidungen, gleich welcher Art bzgl. der IT-Infrastruktur treffen zu können, ist es notwendig die wesentlichen IT-Systeme zu erfassen und nachhaltig zu pflegen. Hierbei sind nicht nur die an das Netzwerk angeschlossene Geräte wichtig, sondern auch die mobilen Endgeräte (Laptop, Tablet oder Smartphone). Diese greifen über die sog. Luftschnittstelle auch von außen und oft 24/7 auf die internen IT-Infrastrukturen, Anwendungen und somit auch auf die Daten zu.

Im Einzelnen sind somit folgende Assets zu erfassen:

  • Server
  • Netzwerkkomponenten
  • Clients
  • Peripheriegeräte wie Drucker oder Scanner

4. Anwendungen / kritische Applikationen

Daten und Informationen entstehen durch das Interaktion zwischen Mensch und Anwendung. Zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit der Anwendungen, sind diese zu erfassen und mit den bereits erfassten anderen Assets (IT-System, Räume) zu verknüpfen. Im Ergebnis kann für alle Assets eine Modellierung, d.h. Zuordnung zu den Baustein- und Maßnahmen des ISIS12-Katalogs stattfinden.

Eng verbunden mit den Anwendungen sind die dahinter stehenden (Unternehmens/Organisations-)Prozesse.

  • In Summe sind folgende Assets zu betrachten:
  • Kern- und Unterstützungsprozesse der Organisation
  • Managementprozesse
  • Die damit verbundenen Fachanwendungen und Dienste

5. Ergebnis oder der Weg zur Compliance

Das Thema Prozessmanagement, Qualitätsmanagement aber auch Informationssicherheits-Management stützt sich auf Regeln oder sog. Normen (ISO 9001, ISO 27001, ISIS12, BSI-IT-Grundschutz). Diese Normen und Regeln fokussieren das Ziel, ein Managementsystem, gleich für welche Zwecke aufzubauen und nachhaltig zu etablieren.

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) kommen seit dem 25.05.2018 weitere Regeln hinzu, die im weitesten Sinn unter dem Begriff „Compliance“ zusammengefasst werden können.

Durch die Erhebung der o.g. drei Asset-Bereiche, deren Modellierung und damit Absicherung stellen Sie sicher, dass Ihr Unternehmen compliant wird. Durch die Verknüpfung aller Asset-Bereiche werden alle Zusammenhänge über alle Ebenen dargestellt. So können Sie Ihre Assets besser überwachen und schlussendlich steuern. Sie haben eine Informationsgrundlage für Management-Entscheidungen (Make or Buy it), Sie erhöhen die Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) und erfüllen am Ende auch noch ganz automatisch die Anforderungen der EU-DSGVO.

Weitere Synergieeffekte:

  • einfache Übersicht, welche Anwendungen/Systeme/Räume im Falle eines Falles betroffen sind
  • für welche Anwendungen/Systeme/Räume besteht Handlungsbedarf
  • Möglichkeit der einfachen Priorisierung
  • Steuerung des ISMS-Prozesses über mehrere PDCA-Zyklen
  • Erstellung von Risikoberichten
  • Erstellung von Verfügbarkeitsanalysen
  • Überblick und damit Gruppierung von gleichen oder ähnlichen Maßnahmenpaketen