Informationssicherheit erfolgreich managen mit CISIS12
Sicherheit ist Chefsache!
Können Sie heute mit Sicherheit sagen, dass Ihr Unternehmen bestmöglich vor Spionage, Diebstahl oder Manipulation geschützt ist?Je stärker Digitalisierung und Vernetzung in allen Bereichen fortschreiten, desto wichtiger werden auch die Informationssicherheit und der Datenschutz. Das gestiegene Gefahrenpotenzial bedeutet automatisch, dass auch die Informationssicherheit in Unternehmen geprüft und angepasst werden muss.
Denn Fakt ist: die Leitungsebene trägt die Verantwortung, die Informationssicherheit der eigenen Organisation zu überprüfen und zu gewährleisten.
Aus ISIS12 3.0 wird CISIS12
Mit CISIS12 schlagen wir ein neues Kapitel in der Geschichte der Informationssicherheitsmanagementsysteme (ISMS) auf, von dem auch Sie spürbar profitieren werden. CISIS12 ist die konsequente Weiterentwicklung und Erweiterung des bekannnten ISIS12.
ISIS12 wurde in CISIS12 umbenannt, um das Thema Compliance stärker in den Vordergrund zu rücken.
Der Name steht für Compliance & Informations-SIcherheits-Management-System in 12 Schritten.
CISIS12 besteht aus einer Norm, dem Maßnahmenkatalog und einem Handbuch als Grundlage der Umsetzung.
Durch den vergleichsweise geringeren Aufwand zur Einführung und Umsetzung eignet sich CISIS12 bereits zum Einsatz in kleinen und mittleren Unternehmen und Kommunen. Bezüglich der Organisationsgröße gibt es für den Einsatz von CISIS12 aber nach oben keine Grenzen. Die Projektlaufzeit für CISIS12 für die Erstumsetzung unterscheidet sich je nach Organisationsgröße und Anforderungen.
Start des CISIS12 - Projekts
Die 12 Schritte im Einzelnen
Gemeinsames Verständnis / Mindset
01 Leitlinie erstellen
- Zentrales Positionspapier zur Sicherheitsstrategie des Unternehmens
- Sicherheitsziele zur Informationssicherheit
- Geltungsbereich
- Organisatorische Rahmenbedingungen
02 Beschäftigte sensibilisieren
- Schulungskonzept entwickeln
- Durchführung von Sensibilisierungsmaßnahmen
- Nachhaltigkeit und Aufrechterhaltung der
Informationssicherheit - Sicherheits-Kultur etablieren
Aufbau der IT-Sicherheits-Rahmenbedingungen
03 Informations-Sicherheitsteam aufbauen
- Benennung / Bestellung des ISB
- Organisationsstruktur abbilden
- Regelmäßige Jour fixe - Termine
04 IT-Dokumentations-Struktur festlegen
- Rahmendokumente
- Dokumenten-Struktur
- Dokumentationsrichtlinien
- Dokumentenlenkung
05 IT-Servicemanagement Prozesse (ITSM)
- Wartungsprozesse
- Änderungsprozesse
- Störungsbeseitigungsprozesse
Erfassung & Analyse kritischer Unternehmensprozesse
06 Compliance, Prozesse und Anwendungen
- Dokumentation der betrieblichen Prozesse
und Identifikation der kritischen Anwendungen - Definition der Schutzbedarfsklassen
07 IT-Struktur analysieren
- Erhebung der IT-Infrastruktur
- Erstellen von bereinigten Netzplänen
- Erhebung der Gebäude und Räume
- Qualifizierung der Ergebnisse
Problem Identifizierung Risikobetrachtung
08 Risikomanagement
- Erhebung der unternehmenskritischen Risiken hinsichtlich Eintrittswahrscheinlichkeit und möglicher Auswirkungen
- Entwicklung von Maßnahmen zur Vermeidung, Reduzierung oder Modifizierung
09 Soll - Ist - Vergleich
- Vergleich mit dem CISIS12 – Katalog
- Softwaregestützte Auswertung
Synthese, Strategie und Umsetzung
10 Umsetzung planen und durchführen
- Priorisierung der Maßnahmen
- Kalkulation und Budgetierung
- Einführung und Umsetzung
- Dokumentation (Änderungshistorie)
Kontinuierliche Überprüfung, Bewertung, Verbesserung
11 Internes Audit
- Qualitätsmanagement
- Bewertung aller Arbeitsschritte, Dokumentationen, Ergebnisse
12 Revision
- Setzen von Revisionsterminen
- CISIS12 als kontinuierlichen Verbesserungs-
Prozess (KVP) verstehen und einführen
CISIS12 - Management-Werkzeuge
Zum guten Schluss
Unterstützung
Ab Beginn der Einführung und bei jedem der 12 Schritte stehe ich Ihrer Organisation und dem Sicherheitsteam als zertifizierter CISIS12 - Berater (Information Security Officer) im benötigten und gewünschten Umfang zur Seite. In weiteren (Revisions-)Zyklen des Konzepts kann meine Unterstützung gern bei Bedarf in Anspruch genommen werden. Ich unterstütze Sie auch bei der Vorbereitung auf das Audit zur Zertifizierung.Zertifizierung
Nach erfolgreichem Durchlauf des CISIS12 – Zyklus kann das ISMS durch die DQS GmbH oder die datenschutz cert GmbH zertifiziert werden. Im Zertifizierungsaudit wird vor Ort begutachtet, ob alle Anforderungen von CISIS12 erfüllt sind. Das Zertifikat dokumentiert die erfolgreiche Umsetzung und hat eine Gültigkeit von drei Jahren.Fazit
Mit dem Vorgehensmodell CISIS12 und der abschließenden Zertifizierung erhalten Unternehmen und Kommunen- einen einfachen und finanziell tragbaren Einstieg in die systematische Informationssicherheit
- eine gesicherte Verfügbarkeit der IT-Systeme und -Prozesse
- einen anerkannten Nachweis Ihres geprüften Informationssicherheitsniveaus
- ein hohes Maß an Vertrauen bei allen Kunden und Partnern durch nachgewiesene Verlässlichkeit und Transparenz
- ein stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
- mehr Handlungssicherheit und die Einhaltung relevanter Compliance-Anforderungen