Informationssicherheit erfolgreich managen mit CISIS12
Sicherheit ist Chefsache!
Können Sie mit Gewissheit sagen, dass Ihr Unternehmen optimal vor Spionage, Diebstahl oder Manipulation geschützt ist? Mit dem zunehmenden Fortschritt der Digitalisierung und Vernetzung in allen Unternehmensbereichen gewinnen Informationssicherheit und Datenschutz an enormer Bedeutung. Das gestiegene Gefahrenpotenzial erfordert zwangsläufig eine regelmäßige Prüfung und Anpassung der Informationssicherheitsmaßnahmen in Unternehmen.
Es steht außer Frage: Die Unternehmensleitung trägt die Verantwortung dafür, die Widerstandsfähigkeit der eigenen Organisation gegenüber den gegenwärtigen Gefahren zu überprüfen und sicherzustellen.
Was ist CISIS12?
Der Name steht für Compliance & Informations-SIcherheits-Management-System in 12 Schritten.
CISIS12 besteht aus einer Norm, dem Maßnahmenkatalog und einem Handbuch als Grundlage der Umsetzung.
Durch die klar definierte Vorgehensweise in 12 aufeinander aufbauenden Stufen eignet sich CISIS12 bereits zum Einsatz in kleinen und mittleren Unternehmen und Kommunen. Bezüglich der Organisationsgröße gibt es für den Einsatz von CISIS12 aber nach oben keine Grenzen. Die Projektlaufzeit für CISIS12 für die Erstumsetzung unterscheidet sich je nach Organisationsgröße und Anforderungen.
Start des CISIS12 - Projekts
Die 12 Schritte im Einzelnen
Gemeinsames Verständnis / Mindset
01 Leitlinie erstellen
- Zentrales Positionspapier zur Sicherheitsstrategie des Unternehmens
- Sicherheitsziele zur Informationssicherheit
- Geltungsbereich
- Organisatorische Rahmenbedingungen
02 Beschäftigte sensibilisieren
- Schulungskonzept entwickeln
- Durchführung von Sensibilisierungsmaßnahmen
- Nachhaltigkeit und Aufrechterhaltung der
Informationssicherheit - Sicherheits-Kultur etablieren
Aufbau der IT-Sicherheits-Rahmenbedingungen
03 Informations-Sicherheitsteam aufbauen
- Benennung / Bestellung des ISB
- Organisationsstruktur abbilden
- Regelmäßige Jour fixe - Termine
04 IT-Dokumentations-Struktur festlegen
- Rahmendokumente
- Dokumenten-Struktur
- Dokumentationsrichtlinien
- Dokumentenlenkung
05 IT-Servicemanagement Prozesse (ITSM)
- Wartungsprozesse
- Änderungsprozesse
- Störungsbeseitigungsprozesse
Erfassung & Analyse kritischer Unternehmensprozesse
06 Compliance, Prozesse und Anwendungen
- Dokumentation der betrieblichen Prozesse
und Identifikation der kritischen Anwendungen - Definition der Schutzbedarfsklassen
07 IT-Struktur analysieren
- Erhebung der IT-Infrastruktur
- Erstellen von bereinigten Netzplänen
- Erhebung der Gebäude und Räume
- Qualifizierung der Ergebnisse
Problem Identifizierung Risikobetrachtung
08 Risikomanagement
- Erhebung der unternehmenskritischen Risiken hinsichtlich Eintrittswahrscheinlichkeit und möglicher Auswirkungen
- Entwicklung von Maßnahmen zur Vermeidung, Reduzierung oder Modifizierung
09 Soll - Ist - Vergleich
- Vergleich mit dem CISIS12 – Katalog
- Softwaregestützte Auswertung
Synthese, Strategie und Umsetzung
10 Umsetzung planen und durchführen
- Priorisierung der Maßnahmen
- Kalkulation und Budgetierung
- Einführung und Umsetzung
- Dokumentation (Änderungshistorie)
Kontinuierliche Überprüfung, Bewertung, Verbesserung
11 Internes Audit
- Qualitätsmanagement
- Bewertung aller Arbeitsschritte, Dokumentationen, Ergebnisse
12 Revision
- Setzen von Revisionsterminen
- CISIS12 als kontinuierlichen Verbesserungs-
Prozess (KVP) verstehen und einführen
CISIS12 - Management-Werkzeuge
Zum guten Schluss
Unterstützung
Ab Beginn der Einführung und bei jedem der 12 Schritte stehe ich Ihrer Organisation und dem Sicherheitsteam als zertifizierter CISIS12 - Berater (Information Security Officer) im benötigten und gewünschten Umfang zur Seite. In weiteren (Revisions-)Zyklen des Konzepts kann meine Unterstützung gern bei Bedarf in Anspruch genommen werden. Ich unterstütze Sie auch bei der Vorbereitung auf das Audit zur Zertifizierung.Zertifizierung
Nach erfolgreichem Durchlauf des CISIS12 – Zyklus kann das ISMS durch die DQS GmbH oder die datenschutz cert GmbH zertifiziert werden. Im Zertifizierungsaudit wird vor Ort begutachtet, ob alle Anforderungen von CISIS12 erfüllt sind. Das Zertifikat dokumentiert die erfolgreiche Umsetzung und hat eine Gültigkeit von drei Jahren.Fazit
Mit dem Vorgehensmodell CISIS12 und der abschließenden Zertifizierung erhalten Unternehmen und Kommunen- einen einfachen und finanziell tragbaren Einstieg in die systematische Informationssicherheit
- eine gesicherte Verfügbarkeit der IT-Systeme und -Prozesse
- einen anerkannten Nachweis Ihres geprüften Informationssicherheitsniveaus
- ein hohes Maß an Vertrauen bei allen Kunden und Partnern durch nachgewiesene Verlässlichkeit und Transparenz
- ein stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
- mehr Handlungssicherheit und die Einhaltung relevanter Compliance-Anforderungen