ISIS12 FAQ

FAQs zu ISIS12 (Häufig gestellte Fragen)

Was bedeutet ISIS12?
ISIS12 steht für Informations-Sicherheitsmanagement-System in 12 Schritten. ISIS12 ist ein Sicherheitsstandard, der speziell für mittelständische Unternehmen entwickelt wurde.

Wer hat ISIS12 entwickelt?
ISIS12 wurde vom Netzwerk Informationssicherheit im Mittelstand (NIM) entwickelt. Das Netzwerk NIM besteht aus neun Unternehmen und zwei Hochschulen. Die Entwicklung wurde vom Bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie gefördert.

Was umfasst ISIS12?
ISIS12 ist ein detailliertes Vorgehensmodell zur Einführung eines Informationssicherheits-Managementsystems (ISMS) zur Verbesserung der Informationssicherheit in mittelständischen Unternehmen. Ziel ist es, dem Anwender einen konkreten Handlungsrahmen vorzugeben. So wurde der abstrakte Charakter der ISO/IEC 27001 durch ein konkretes Vorgehensmodell in 12 sequentiell zu durchlaufenden Schritten ersetzt. In diesem ersten Zyklus wird das ISMS etabliert. Nach dem ersten “Durchlauf” dient das Verfahrensmodell als Vorlage für interne und externe Audits und stellt die Aktualität und Optimierung des ISMS sicher.

Was sind die Besonderheiten von ISIS12?
ISIS12 ist ein verständlich beschriebener 12-stufiger Prozess für die Etablierung eines ISMS (ISMS light). Es integriert ISMS und IT-Service-Management. ISIS12 wird vom Anwender in Zusammenarbeit mit einem zertifizierten ISIS12-Dienstleister auf Basis eines speziell für den Mittelstand angepassten ISIS12-Maßnahmenkatalogs eingeführt. Es bildet eine Vorstufe zur möglichen ISO/IEC 27001- bzw. BSI IT-Grundschutz-Zertifizierung.

Sind ISIS12 Unterlagen verfügbar?
Das ISIS12-Handbuch und der ISIS12-Katalog können als PDF gegen eine Schutzgebühr von € 150 zzgl. MwSt. erworben werden. Kommunalverwaltungen erhalten diese kostenlos. Bei Interesse kontaktieren Sie uns bitte unter Kontakt

Welcher Aufwand ist für die Etablierung von ISIS12 erforderlich?
Der Aufwand für die Einführung von ISIS12 hängt stark von der jeweiligen Organisation und von den verarbeiteten Informationen ab. Der konkrete Aufwand kann erst nach einer entsprechenden Analyse durch einen ISIS12-Berater ermittelt werden. Generell kann jedoch angemerkt werden, dass der Aufwand nur einen Bruchteil eines ISO/IEC 27001- bzw. eines BSI IT-Grundschutz-Projektes ausmacht.

Wie erfolgt die Implementierung von ISIS12?
Nehmen Sie dazu Kontakt mit uns auf – wir beraten Sie gerne.

Für welche Organisationen ist ISIS12 geeignet?
ISIS12 wurde speziell für mittelständische Unternehmen entwickelt (ca. 50 – 1.500 rechnergestützte Arbeitsplätze). Darüber hinaus kann ISIS12 auch in anderen Organisationen  erfolgreich eingesetzt werden.

Welche Rolle spielt das Datenschutzmanagement in ISIS12?
Das Datenschutzmanagement spielt bei ISIS12 eine wichtige Rolle. Beginnend bei der Besetzung des Sicherheitsteams bis hin zu konkreten Sicherheitsmaßnahmen aus dem Bereich Datenschutz im ISIS12-Katalog.

Ist Notfallmanagement (BCM) Bestandteil von ISIS12?
Der Standard ISIS12 beinhaltet den Bereich Notfallmanagement in Form von spezifischen Sicherheitsmaßnahmen zur Geschäftsfortführung im ISIS12-Katalog.

Gibt es eine unterstützende Software für ISIS12, vergleichbar etwa mit dem BSI GSTOOL?
Durch den Einsatz eines speziell entwickelten ISIS12-Tools wird dem Anwender das Arbeiten mit dem Vorgehensmodell wesentlich erleichtert. Das Tool bildet den ISIS12-Workflow komplett ab, liefert Hinweise für die einzelnen Arbeitsschritte und dokumentiert diese zugleich. Das ISIS12-Tool wird bereits erfolgreich in ISIS12-Projekten eingesetzt und bietet neben einer Orientierung bei der Einführung des ISMS auch eine wertvolle Basis für die nachfolgenden Revisionsaufgaben im Rahmen der PDCA-Zyklen.

Besteht die Möglichkeit einer Zertifizierung?
Das ISIS12-Managementsystem ist zertifizierbar.
Hierzu wurde ein ISIS12-Zertifizierungsschema entwickelt, das sich an der verbreiteten Praxis der ISMS-Zertifizierung orientiert: Die Gültigkeit des Zertifikats beträgt drei Jahre und wird durch zwei Überwachungsaudits begleitet. Als exklusiven Zertifizierungspartner wurde mit der DQS Deutschland GmbH ein entsprechender Vertrag geschlossen und DQS-Auditoren wurden ausgebildet.

Worin besteht der Unterschied zwischen ISIS12, der ISO/IEC 27001 und dem BSI IT-Grundschutz?
ISIS12 wurde mit der Möglichkeit der Skalierbarkeit entwickelt. Nach deren erfolgreichen Implementierung und optionalen ISIS12-Zertifizierung, steht der Weg in Richtung einer dejure Zertifizierung nach “ISO/IEC 27001” bzw. “ISO 27001 auf Basis von IT-Grundschutz” offen. Hierzu müssen noch weitere Arbeitsschritte durchlaufen und entsprechende Dokumente angefertigt werden. Den dafür erforderlichen Aufwand kann ein ISIS12-Berater nach entsprechender Beratung ermitteln.

Gibt es bei ISIS12 eine Risikoanalyse?
Es kommt im ISIS12 Vorgehensmodell eine implizite Risikoanalyse zum Einsatz.
Es wurde bei der Entwicklung von ISIS12, ausgehend von den Designkriterien, zunächst bewusst auf eine vorangestellte Risikoanalyse verzichtet. Eine Risikoanalyse wie sie etwa bei der ISO/IEC 27001 vorhanden ist, kann in der Praxis zu größeren Problemen führen, die sich wiederum auf die daraus resultierende Sicherheitskonzeption negativ auswirken können. Auch nachgestellt wird wie bei der BSI IT-Grundschutzmethodik bewusst keine Risikoanalyse explizit angewandt (BSI 100-3). Vielmehr beinhaltet das an die BSI Grundschutzmethodik angelehnte Verfahren eine immanente Risikoanalyse. Das bedeutet, die empfohlenen Sicherheitsmaßnahmen des ISIS12-Katalogs, die in der Umsetzungsphase wirksam umgesetzt werden müssen, decken Grundgefährdungen ab. Somit kommt bei ISIS12 eine implizite Risikoanalyse zum Einsatz.

Bei Organisationen, die über einen höheren Schutzbedarf verfügen (Unternehmen mit Forschungsabteilungen, Just-in-Time-Lieferanten, Behörden u.ä.) ist eine Risikoanalyse empfehlenswert. Aus Kompatibilität zum ISIS12-Vorgehensmodell bietet sich hier eine Vorgehensweise nach dem 2011 angepassten BSI 100-3 Standard (Version 2.5) an. Durch die Verwendung der vom BSI publizierten 46 Grundgefährdungen reduziert sich der dafür notwendige Aufwand erheblich. Es wird somit noch einmal analysiert, inwieweit die in der Sicherheitskonzeption enthaltenen Sicherheitsmaßnahmen aus dem ISIS12-Katalog für die Organisation angemessen sind. Es können sich daraus noch weitere zusätzliche Sicherheitsmaßnahmen ergeben, die in die Sicherheitskonzeption integriert werden müssen.

Worin besteht der Unterschied zwischen ISIS12, dem BSI IT-Grundschutz und ISO/IEC 27001:2013 (GAP-Analyse)?
ISIS12 wurde speziell mit der Möglichkeit der Skalierbarkeit entwickelt. Nach der erfolgreichen Implementierung des ISMS, Etablierung der Sicherheitskonzeption und der optionalen ISIS12-Zertifizierung, steht der Weg in Richtung einer de-jure Zertifizierung nach “ISO 27001 auf Basis von IT-Grundschutz” bzw. “ISO/IEC 27001” offen. Der Sicherheitsprozess ist nachweislich dokumentiert, es ist ein Managementsystem für die Informationssicherheit mit der kontinuierlichen Weiterentwicklung aktiv am Arbeiten. Die erforderlichen nächsten Arbeitsschritte sind je nach angestrebter Zertifizierung und Art der Organisation unterschiedlich. Die nachfolgenden Ausführungen dienen als Orientierung:

ISIS12 –> ISO 27001 auf Basis von IT-Grundschutz:
Da sich die Architektur des ISIS12 Vorgehensmodells in den Schritten 1 und 6-12 sehr stark an der BSI IT-Grundschutz-Methodik orientiert hat, ist nach erfolgter ISIS12-
Zertifizierung der Weg zur Zertifizierung nach “ISO 27001 auf Basis von IT-Grundschutz” zwar noch lange, aber in Sachen Methodik vertraut und somit abschätzbar. Folgende “Stationen des Wegs” sind im Wesentlichen zu nennen:

  1. Es sind noch weitere Maßnahmen aus den BSI IT-Grundschutzkatalogen der Siegelstufen A, B und C umzusetzen, die im ISIS12-Katalog nicht enthalten sind.
  2. Es sind noch zusätzliche Bausteine der BSI IT-Grundschutzkataloge bei der Modellierung zu berücksichtigen. Speziell Bausteine in der Schicht 1 (Übergreifende Aspekte) und der Schicht 3 (IT-Systeme) fallen hier an.
  3. Es ist noch eine ergänzende Sicherheitsanalyse mit einer eventuell daraus abgeleiteten Risikoanalyse (BSI 100-3) durchzuführen.
  4. Aus dem BSI Zertifizierungsschema ergeben sich noch einige Dokumente (Referenzdokumente), die noch erstellt werden müssen

ISIS12 –> ISO/IEC 27001:2013
Folgende markante Schritte sind im Wesentlichen auf dem Weg zur ISO/IEC 27001:2013 zu gehen:

  1. Es ist eine Risikoanalyse (Risikoeinschätzung, Analyse, Bewertung und Messung der Risiken) durchzuführen, deren Ergebnisse die Grundlage der Sicherheitskonzeption sind.
  2. Umsetzung der daraus abgeleiteten Sicherheitsmaßnehmen in Verbindung damit den anzuwendenden Maßnahmenzielen aus Annex A (A.5 – A.18)
  3. Eine “Erklärung zur Anwendbarkeit” (SOA) ist zu erstellen.
  4. Ein Prozess zur kontinuierlichen Messung der Effizienz des ISMS ist zu etablieren.
  5. Die permanente Weiterentwicklung und Anpassung des ISMS gilt es dokumentiert zu betreiben.

Der jeweils dafür erforderliche Aufwand ist für jede Organisation im Detail differenziert zu bewerten.

Folgendes Bild symbolisiert die Zusammenhänge zwischen ISIS12 und ISO 27001 sowie unserem weiteren Vorgehensmodell ISA+:

Cert-Einstuung

Sollten Sie noch weitere Fragen zum Vorgehensmodell ISIS12 haben, kontaktieren Sie uns gerne unter: Kontakt