Allgemeines und Zielgruppe von ISIS12

ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). So kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Das Vorgehen besteht aus zwölf Schritten, die sich in drei Phasen einteilen lassen:

  • Initialisierungsphase
  • Aufbau- und Ablauforganisation
  • Entwicklung und Umsetzung ISIS12Konzept

Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.  

Neuerungen und Änderungen in ISIS12 2.0

Neuerungen ISIS12 2.0

In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 mit der Identifikation kritischer Applikationen zusammengeführt. Auch in Schritt 11 wird mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.

ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Auch die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung wird deutlich verbessert.

Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.

Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.

Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris

ISIS12 2.0 mit ibi systems iris

Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:

Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren:
In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.

Schritt 7, IT-Struktur analysieren:
Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.

Schritt 8, Risikomanagement (optional):
ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung wird das Risiko neu bewertet. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.

Schritt 9, SOLL-IST vergleichen:
Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.

Schritt 10, Umsetzung planen + Umsetzung:
Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt hierbei eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.

Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional):
Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.

Übergreifend zum Thema DSGVO
Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.

Fazit

Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.

Zurück zur Übersicht

____________________

Quellen: