Fast wöchentlich berichten Medien über neue Sicherheitslücken in IT-Systemen, über einen Datenklau oder sonstige Cyber-Attacken. Wer seine IT-Organisation noch nicht auf den letzten Stand der IT-Sicherheit gebracht hat, findet in dem ISIS12-Standard das ideale Verfahren für mehr Informationssicherheit.
Entwickelt von dem Bayerischen IT-Sicherheitscluster e.V., soll ISIS12 die Einführung eines Informations-Sicherheitsmanagement-Systems (ISMS) in zwölf Schritten unterstützen. Damit erhalten auch Unternehmen mit eingeschränkten IT-Ressourcen einen nützlichen Leitfaden, um alle sicherheitsrelevanten Aufgaben zu bewältigen. Vereinfacht ausgedrückt, verwendet ISIS12 nur einen Teilbereich des vom BSI entwickelten Standardverfahrens zum IT-Grundschutz. Um auch die EU-DSGVO zu berücksichtigen, ist ISIS12 bereits um ein Zusatzmodul „Datenschutz“ erweitert.
Firmen erhalten mit dem Leitfaden klar formulierte Anweisungen zum IT-Service-Management und zur Dokumentation von Prozessen. Vor allem mittelständischen Unternehmen fällt es dadurch deutlich leichter, das notwendige Maß an Datenschutz umzusetzen.
Von der Analyse zu konkreten Projekten
Die Umsetzung ist im Grunde ganz einfach. Zunächst erfolgt eine Bestandsaufnahme der bereits vorhandenen Maßnahmen zur IT-Sicherheit. Da Cloud- und Internet-Technologien heute in den meisten Rechenzentren zu finden sind, müssen auch Abhängigkeiten von Geschäftspartnern und Cloud-Providern analysiert, bewertet und dokumentiert werden. Am Ende stehen eine ausführliche Dokumentation, eine definierte IT-Strategie sowie ein klarer Bedarf an zusätzlich notwendigen Maßnahmen und benötigten Technologien. Gemeinsam mit unseren Kunden entwickeln wir daraus zielgerichtete Projekte für mehr IT-Sicherheit.
Prioritäten setzen
Wie schon das bekannte Sprichwort sagt: Rom wurde nicht an einem Tag gebaut. Auch die Umsetzung der ISIS12-Projekte sollte daher planvoll und priorisiert erfolgen. Hierfür erstellt Materna eine Analyse mit einem Ist-/Soll-Vergleich, die auch die benötigten Budgets der noch durchzuführenden Maßnahmen umfasst. Damit gelingt sehr rasch eine Priorisierung anhand der individuellen Gegebenheiten und vorhandenen Ressourcen. Das ISIS12-Vorgehensmodell bietet hierfür die passende Anleitung.
Einmal implementiert, liefert das Modell anschließend Zyklen, um das Sicherheits-Management im Rahmen von Revisionen stetig zu optimieren. Nach Abschluss des Projekts kann sich ein Unternehmen dann von der Deutschen Gesellschaft zur Zertifizierung von Management-Systemen (DQS) nach ISIS12 zertifizieren lassen. Mit dieser Zertifizierung dokumentieren Firmen gegenüber ihren Kunden, Partnern und Lieferanten, dass wichtige Geschäftsdaten nach hohen und anerkannten Standards geschützt sind. Dies schafft Vertrauen und ist die Basis für weiteres Wachstum.
Schließlich ist ISIS12 auch als Einstiegsmodell in mehr Informationssicherheit zu sehen und kann eine Vorstufe für eine Zertifizierung nach dem BSI-Grundschutz oder ISO 27001 sein. Aus unserer Sicht lohnt es sich daher für Organisationen aller Größen, einen Blick auf ISIS12 zu werfen.
