Es gibt mehrere verschiedene Informationssicherheitsmanagementsysteme (ISMS) die Unternehmen einführen können, um für eine gute IT-Sicherheit zu sorgen. ISIS12 ist eines dieser ISMS, welches vor allem im Süden Deutschlands sehr weit verbreitet ist.
ISIS12 – 12 klare Handlungsanweisungen
Die ISIS12 Zertifizierung kann erlangt werden, nachdem 12 Handlungsanweisungen umgesetzt werden. Diese 12 Handlungsanweisungen können sowohl auf der Webseite der ISIS12 eingesehen werden sowie auf diesem Flyer, der ebenfalls auf der Webseite bereitgestellt wird. Die 12 Handlungsanweisungen lauten wie folgt:
- Leitlinie erstellen: Unternehmensleitlinie für Informationssicherheit, die für jeden Mitarbeiter immer zugänglich sein sollte
- Mitarbeiter sensibilisieren: Bspw. durch Schulungen oder Live Hacking Shows
- Informationssicherheitsteam aufbauen: Team unter Führung des Informationssicherheitsbeauftragten (ISB) bilden
- IT-Dokumentationsstruktur festlegen: IT-Handbücher und Abläufe für unterschiedliche Szenarien erstellen und diese Abläufe ausüben
- IT-Servicemanagement-Prozess einführen: Die drei Prozesse Wartung, Änderung und Störungsbeseitigung definieren und kontinuierlich durchführen
- Kritische Applikationen identifizieren: Anwendungen in den drei Kategorien Vertraulichkeit, Integrität und Verfügbarkeit einschätzen
- IT-Struktur analysieren: Abhängigkeiten der Anwendungen sowohl personell als auch technisch zusammen fassen
- Modellierung: Prüfplan erstellen mit dem im 9. Schritt weiter gearbeitet werden kann
- Soll-Ist Vergleich: Vergleich des aktuellen Zustandes mit dem Prüfplan aus dem 8. Schritt
- Umsetzung planen + Umsetzung: Neue Maßnahmen planen, die nach dem Vergleich im 9. Schritt noch durchgeführt werden sollen
- Internes Audit: Optionale Prüfung, welche der bereits durchgeführten Schritte vollständig ist
- Revision: Ende der Umsetzungsphase und somit Start der jährlichen Durchführungen der 12 Schritte
Welche genauen Forderungen in den einzelnen Handlungsanweisungen enthalten sind, können im Detail auf der ISIS12 Webseite eingesehen werden. Obwohl diese Handlungsanweisungen sehr aufwendig klingen, ist das ISIS12 ein vergleichbar unkompliziertes ISMS.
Vorteile des bayrischen Standards
Die Vorteile des ISIS12 sind vor allem, dass dieses ISMS besonders für kleine und mittelständische Unternehmen geeignet ist, die wenig Erfahrung mit Informationssicherheitsmanagementsysteme haben. Durch den genauen Ablaufplan können unerfahrene Unternehmen innerhalb von etwa einem Jahr erfolgreich ein Informationssicherheitsmanagementsystem einführen.
Ist das System einmal eingeführt, kann durch die jährliche Aktualisierung auch ein skalierendes Unternehmen weiterhin gut aufgestellt sein, da nur wenige Schritte jährlich angepasst werden müssen, wie bspw. neue Mitarbeiter und dazukommende Systeme aufnehmen.
Besonders interessant ist ISIS12 für bayrische und saarländische Unternehmen, da diese eine Förderung von den jeweiligen Kommunen für die Einführung von ISIS12 bekommen können. Aber auch für Unternehmen außerhalb dieser Regionen kann sich ein Blick auf dieses Informationssicherheitsmanagementsystem lohnen, da es die Basis für weitere Zertifizierungen wie bspw. ISO/IES 27001 darstellen kann.