Informations-Sicherheits-Management-System ISIS12

Sicherheit ist Chefsache!

Können Sie heute mit Sicherheit sagen, dass Ihr Unternehmen bestmöglich vor Spionage, Diebstahl oder Manipulation geschützt ist?

Je stärker Digitalisierung und Vernetzung in allen Bereichen fortschreiten, desto wichtiger werden auch die Informationssicherheit und der Datenschutz. Das gestiegene Gefahrenpotenzial bedeutet automatisch, dass auch die Informationssicherheit in Unternehmen geprüft und angepasst werden muss.
Denn Fakt ist: Jeder Unternehmer trägt die Verantwortung, die Informationssicherheit des eigenen Unternehmens zu überprüfen und zu gewährleisten.
ISIS12 - Logo

ISIS12 speziell für den Mittelstand

Das Informations-SIcherheits-Management-System ISIS12 hilft kleinen und mittleren Unternehmen gezielt bei dieser Herausforderung.
Ziel ist es, dem Anwender einen konkreten Handlungsrahmen vorzugeben. So wurde der abstrakte Charakter der ISO/IEC 27001 durch ein konkretes Vorgehensmodell in 12 sequentiell zu durchlaufenden Schritten ersetzt.
ISIS12 ist ein klar definierter Maßnahmenkatalog, der für kleine und mittlere Organisationen adäquat und durchsetzbar ist.
Die etablierte Vorgehensweise hat sich vielfach bewährt und führt Unternehmen zum messbaren Erfolg.

Gemeinsam mit einem zertifizierten ISIS12-Berater wird das Informations-Sicherheits-Management-System (ISMS) in 12 Schritten eingeführt.
Nach Abschluss dieses Prozesses kann eine Zertifizierung durch die DQS GmbH (Deutsche Gesellschaft für Zertifizierung von Managementsystemen) erfolgen.

Die 12 Schritte

Image

Das ISIS12 - Softwaretool

Unterstützt wird das ISIS12 - Projekt durch ein eigens entwickeltes Softwaretool. Es begleitet und führt die Anwender durch den gesamten Prozess. Bei der Implementierung wurde auf die einfache Handhabung des Tools größter Wert gelegt.
Die DSGVO-Erweiterung implementiert und berücksichtigt die Dokumentation nach den Regeln der Datenschutzgrundverordnung:
ISIS12 softwaretool mit DSGVO-Erweiterung

Die 12 Schritte im Einzelnen

1. Sicherheitsleitlinie

Die Unternehmensleitlinie ist das zentrale Strategiepapier, in dem Ziele sowie die daraus abgeleiteten Konzepte und Maßnahmen festgehalten werden. Gemeinsam definieren wir unternehmensspezifische Sicherheitsziele wie z.B. Reduzierung der Kosten im Schadensfall oder Aufrechterhaltung der Produktionsfähigkeit.

2. Mitarbeiter einbinden

In diesem Schritt stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen wird das Projekt kommuniziert. In einer speziellen Schulung werden alle Mitarbeiter über den ISIS12-Workflow informiert und auf die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen.
Image

3. Informationssicherheitsteam

ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12-Prozesses verantwortlich ist. Neben einem Mitglied der Unternehmensleitung ist der IT-Leiter Mitglied dieses Teams, ebenso der interne Datenschutzbeauftragte, sofern vorhanden.

4. IT-Dokumentation

Erstellung einer zielführenden aktuellen Dokumentation der gesamten IT-Landschaft. Dazu gehören Netzplan, Systemakten, Prozesssteckbriefe und Notfallhandbuch
 

5. IT-Servicemanagement (ITSM)

Implementierung von drei fundamentalen IT-Service-Managementprozessen:
Wartung, Änderung und Störungsbeseitigung.
Schritte 3-5

6. Kritische Applikationen identifizieren

Hier beginnt die operative Phase des ISIS12 Vorgehensmodells. Die unternehmenskritischen Anwendungen werden identifiziert und jeweils 3 Schutzbedarfskategorien bezogen auf die Grundwerte „Vertraulichkeit, Integrität und Verfügbarkeit“ zugeordnet. Aus der Schutzbedarfsfeststellung werden die Maximal Tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet und dokumentiert.

7. IT-Struktur analysieren

Nach der Lokalisierung kritischer Applikationen steht die Definition des Informationsverbunds im Mittelpunkt. Hier werden die technischen, personellen, organisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen benötigt werden, zusammengefasst. Die Objekte werden in sicherheitsrelevanter Abhängigkeit zu den kritischen Applikationen erfasst und in Teilbereichen gruppiert.

8. Sicherheitsmaßnahmen modellieren

Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den  ermittelten Objekten mit dem ISIS12-Katalog. Die Bausteine sind:
Universale Aspekte, Infrastruktur, IT-Systeme/Netze und Anwendungen.
Das ISIS12-Softwaretool hat die Zuordnung bereits in der IT-Strukturanalyse weitgehend automatisch erledigt.

9. Ist-Soll vergleichen

Mit dem Ist-Soll-Vergleich entsteht der Überblick über den Umsetzungsgrad der in Schritt 8 geforderten Maßnahmen. Die Erhebung kann durch die vom ISB beauftragten verantwortlichen Spezialisten im Unternehmen durchgeführt werden.
Die möglichen Beurteilungen der Umsetzung lauten: „ja“, „teilweise“, „nein“ oder „nicht notwendig“.
Schritte 6-12
Image

10. Umsetzung planen

Hier wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzenden Maßnahmen werden priorisiert und zusammen mit einer Kostenschätzung der Geschäftsleitung als Vorschlag präsentiert.

11. Umsetzung

Die konsolidierten und genehmigten Sicherheitsmaßnahmen werden im Unternehmen umgesetzt. Für jede Maßnahme werden die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festgelegt. Bei einer komplexen Umsetzung ist zu überlegen, ob eine Schulung der Mitarbeiter sinnvoll ist.

12. Revision

Mit dem Abschluss der Umsetzung fordert das ISIS12-Softwaretool zur Eingabe eines Revisionstermins für eine oder mehrere Maßnahmen auf und erzeugt die Revisionsliste.
War es während des ersten ISIS12-Zyklusses so, dass die Schritte nacheinander abzuarbeiten waren, so ist es nach Abschluss von Schritt 12 möglich auf jeden Schritt im Softwaretool direkt zuzugreifen.
Schritte 6-12

Zum guten Schluss

Unterstützung

Ab Beginn der Einführung und bei jedem der 12 Schritte stehe ich dem Unternehmen und dem Sicherheitsteam als zertifizierter ISIS12 - Berater zur Seite. In weiteren (Revisions-)Zyklen des Konzepts kann meine Unterstützung bei Bedarf in Anspruch genommen werden. Ich unterstütze Sie auch bei der Vorbereitung auf das Audit zur Zertifizierung.

Zertifizierung

Nach erfolgreichem Durchlauf des ISIS12 – Zyklus kann das ISMS des Unternehmens durch die DQS GmbH zertifiziert werden. Im Zertifizierungsaudit wird vor Ort begutachtet, ob alle Anforderungen von ISIS12 erfüllt sind. Das DQS-Zertifikat dokumentiert die erfolgreiche Umsetzung und hat eine Gültigkeit von drei Jahren.

Fazit

Mit dem Vorgehensmodell ISIS12 und der abschließenden Zertifizierung erhalten mittelständische Unternehmen
  • einen einfachen und finanziell tragbaren Einstieg in die systematische Informationssicherheit
  • eine gesicherte Verfügbarkeit der IT-Systeme und -Prozesse
  • einen anerkannte Nachweis Ihres geprüften Informationssicherheitsniveaus
  • ein hohes Maß an Vertrauen bei allen Kunden und Partnern durch nachgewiesene Verlässlichkeit und Transparenz
  • ein stärkeres Sicherheitsbewusstsein von Mitarbeitern und Führungskräften
  • mehr Handlungssicherheit und die Einhaltung relevanter Compliance-Anforderungen
Für ein erstes Gespräch stehe ich gern zur Verfügung!
ISiS12 Logo