Home
Intern
veröffentlicht am 23. Juni 2020
Das Informationssicherheitsmanagementsystem (ISMS) ISIS12® (Informations-Sicherheitsmanagement System in 12 Schritten) des Bayerischen IT-Sicherheitsclusters wurde weiterentwickelt und steht ab April 2020 den Anwendern als Version 2.0 zur Verfügung. Der Fokus der neuen Version liegt dabei auf der konsequenten Weiterentwicklung. Gleichzeitig öffnet sich ISIS12 in Version 2.0 der ISO/IEC 27000-Normenfamilie. Dadurch können Organisationen künftig ISIS12 als Einstieg nutzen um später z.B. auf den international anerkannten Standard ISO 27001 zu wechseln.
Auch in Version 2.0 hält der Bayerische IT-Sicherheitscluster an der Struktur für sein ISMS fest und gliedert es weiterhin in 3 Phasen mit insgesamt 12 Schritten. Die Schritte werden nacheinander abgearbeitet und bauen dabei teilweise aufeinander auf. Gerade diese Struktur und die klaren Vorgaben zur Umsetzung schätzen Anwender an ISIS12, da dadurch ein schneller Aufbau des ISMS in der Organisation möglich wird.
Methodisch verfolgt ISIS12 weiterhin den Ansatz als ISMS: Als Top-Down-Modell initiiert und verantwortet die Organisationsleitung das ISMS. Gleichzeitig wird über den PDCA-Zyklus (Plan-Do-Check-Act-Zyklus) sichergestellt, dass das Sicherheitskonzept sowie die Sicherheitsmaßnahmen kontinuierlich weiterentwickelt und verbessert werden.
Die wesentlichen Faktoren von ISIS12 sind weiterhin:
Abbildung 1: ISIS12-Vorgehensmodell in Version 2.0
Mit Herausgabe der Version 2.0 ist die bisher umfangreichste Weiterentwicklung des ISMS ISIS12 seit seiner Veröffentlichung erfolgt. Im Folgenden werden die Veränderungen in den jeweils betroffenen Schritten aufgezeigt. Dem ersten Schritt vorgeschaltet sind Basisarbeiten (Schritt 0): Dabei muss die Festlegung des genauen Ziels ebenso erfolgen wie die Bereitstellung der benötigten Ressourcen für die erfolgreiche Realisierung. Das Informationssicherheitsteam (Schritt 3) wird künftig in ein Kernteam (ISB, DSB und ISIS12-Berater) und ein erweitertes Team (Kernteam + Organisationsleitung, IT-Leitung, HR, QM etc.) aufgeteilt. Das erweiterte Team kommt nur situationsbezogen zusammen. Wird der Informationssicherheitsbeauftragte (ISB) durch einen externen Dritten (z.B. Dienstleister, ISIS12-Berater oder einem zentralen ISB in einem interkommunalen Verbund) gestellt, sieht Version 2.0 die Rolle des Informationssicherheitskoordinators (ISK) vor. In der Praxis ist die Struktur ISK/ISB durchaus verbreitet. Im Rahmen der Einführung der IT-Service-Managementprozesse (Schritt 5) wird die praxisorientierte Betrachtung weiter in den Vordergrund gestellt: Wartungen werden über einen Wartungskalender dargestellt und bieten die Möglichkeit diesen mit einem Ticketsystem o.ä. zu verknüpfen. Auch die Prozesse Änderung und Störung werden eng mit dem Ticketsystem verknüpft. Die Modellierung der Sicherheitsmaßnahmen (Schritt 8) erfolgt nicht mehr wie bisher auf Grundlage der BSI-Grundschutzkataloge, sondern ist angelehnt an die Maßnahmenziele (A.5 bis A.18) der ISO/IEC 27001-Norm sowie deren Konkretisierung in der Norm ISO/IEC 27002. Ergänzt werden diese durch verschiedene Best-Practice-Maßnahmen. Gleichzeitig wird die Anzahl der ISIS12-Bausteine erhöht, was eine bessere Zuordnung zu den IT- und Sicherheitsobjekten erlaubt. Um Anwender beim Wechsel zu den neuen Bausteinen und Maßnahmen zu unterstützen, stehen Matching-Tabellen (alter und neuer ISIS12-Katalog) sowie Referenzen zum BSI-Grundschutz-Kompendium sowie zur ISO 27000-Normenreihe zur Verfügung. Das ISIS12-Anwenderhandbuch fasst diese Änderungen wie folgt zusammen: „Bei der Auswahl der geeigneten Maßnahmen wurde bewusst auf Breitenwirkung, Umsetzbarkeit und Relevanz für eine systematische Sicherheit geachtet. Ebenso wurde die Komplexität verringert, beispielsweise durch den Wegfall der Maßnahmen für spezifische Betriebssysteme. Für die ISIS12-Zielgruppe wurde die Fülle und der Detaillierungsgrad der Sicherheitsmaßnahmen zielgruppengerecht aufbereitet.” Die Planung der Umsetzung sowie die eigentliche Umsetzung der Sicherheitsmaßnahmen wurden in Schritt 10 zusammengeführt (in Version 1.x waren Planung sowie Umsetzung in die Schritte 10 und 11 getrennt). Dabei sind folgende Schritte zu berücksichtigen:
Mit der Integration eines internen Audits (Schritt 11) erfolgt eine weitere Annäherung an ISO/IEC 27001. Während die Durchführung interner Audits im Rahmen der Bewertung der Leistungen in der Norm verpflichtend ist, wird Schritt 11 in ISIS12 als optionaler Schritt angesehen. Aus Sicht des kontinuierlichen Verbesserungsprozesses sowie in Vorbereitung auf eine Zertifizierung sind interne Audits sicherlich zu empfehlen. Die Durchführung des Audits sollte ein entsprechend qualifizierter Mitarbeiter verantworten; auch die Beauftragung eines externen ISIS12-Beraters ist möglich.
Der ISIS12 Katalog ab Version 2.0 ist seit dem 30.04.2020 zertifizierungsrelevant und löst damit die früheren Kataloge der Versionen 1.x ab. Diese sind für aktuelle Zertifizierungsprozesse noch bis zum 30.04.2022 gültig. Bereits zertifizierten Organisationen bleibt also ausreichend Zeit ihr ISMS an die Vorgaben der Version 2.0 anzupassen. Die Umsetzung der Änderungen kann über ein kommendes Wiederholungs- oder Überwachungsaudit durch die DQS bestätigt werden.
Neben neuen technischen Anforderungen sowie gesetzlichen Vorgaben ändert sich die Bedrohungslage im IT-Umfeld häufig und schnell. Deswegen muss auch die Informationssicherheits-Architektur - die durch das ISMS geprägt wird – kontinuierlich weiterentwickelt werden. Mit ISIS12 2.0 wird dies konsequent umgesetzt. Vor allem die Neuausrichtung der Sicherheitsmaßnahmen ist zu begrüßen, da die teilweise komplexen Anforderungen der BSI-Grundschutz-Kataloge durch einen praxisorientierteren Ansatz ersetzt werden. Die bessere Verknüpfung mit der ISO/IEC 27000-Normenreihe gibt außerdem Organisationen noch stärken die Möglichkeit, ISIS12 als Einstieg in die ISMS-Welt zu nutzen um in einem späteren Schritt einen Wechsel zu ISO 27001 zu vollziehen.
Jonas Dikau
B.Sc. Informationsmanagement
Anfrage senden
