Aus ISIS12 wird CISISI12 – Das ISMS für KMU und Behörden wird aktualisiert

​veröffentlicht am 20. Mai 2021

Das Informationssicherheitsmanagementsystem ISIS12 erfährt die nächste umfangreiche Aktualisierung: Nachdem das letzte große Update von ISIS12 (Version 2.0 im Juni 2020) bei Anwendern großen Anklang fand, arbeitet der IT-Sicherheitscluster aktuell an der neusten Version von ISIS12. Diese wird nicht als Version 3.0 herausgegeben, stattdessen wird der Standard künftig unter dem Namen CISIS12 veröffentlicht. Das C steht hierbei für Compliance (Compliance Informations-Sicherheitsmanagement System in 12 Schritten) und rückt interne und externe Vorgaben stärker in den Fokus. Die Veröffentlichung des neuen Standards ist für Sommer 2021 angekündigt.

Update des Standards

Der IT-Sicherheitscluster verfolgte mit ISIS12 schon immer den Anspruch, aktuelle Entwicklungen im Informationssicherheitsumfeld sowie neue gesetzliche Anforderungen und sonstige Rahmenbedingungen inhaltlich auch in seinem ISMS zu verankern. So wurden z.B. die Anforderungen der DSGVO über einen eigenständigen Pflicht-Baustein im Jahr 2018 oder der Baustein Homeoffice (Version 2.0 im Juni 2020) in ISIS12 integriert.

Mit dem Update des Standards zu CISIS12 wird das Vorgehensmodell nun an verschiedenen Stellen neu ausgerichtet, außerdem werden weitere Schwerpunkte gesetzt. Grundsätzlich bleiben die meisten Schritte jedoch erhalten. Gliederung und Aufbau von CISIS12 stellt sich künftig wie folgt dar:

Abbildung 1: Gliederung von CISIS12 

Im Folgenden soll ein kurzer Überblick über die wesentlichen Weiterentwicklungen des Sicherheitsstandards erfolgen.
 

Keine Beschränkung bezüglich der Organisationsgröße

Eine wesentliche Neuerung bei CISIS12 ist der Adressatenkreis des ISMS: Mit CISIS12 sollen auch größere Organisationen und Behörden angesprochen werden. Der bisher gültige Richtwert von „bis zu 500 PC-Arbeitsplätze” wird abgeschafft da das ISMS künftig für alle Größen von Organisationen skalierbar sein wird. Dies macht das ISMS grundsätzlich auch über kleine und mittlere Unternehmen hinaus interessant.
 

Schritt 0: Vorbereitung der Implementation des ISMS

Die Vorarbeiten, die unabdingbar für den erfolgreichen Aufbau eines ISMS sind, waren in ISIS12 bisher im Schritt 01 enthalten. Da diese inhaltlich vom Aufbau der Leitlinie zu trennen sind, ist es nur folgerichtig hierfür eine extra Schritt einzubauen. Dieser bietet die Möglichkeit CISIS12 im Sinne von bewährten Projektmanagementphasen zu planen, zu koordinieren und zu überwachen. Dies erhöht die Sicherheit, dass CISIS12 auch tatsächlich vollständig eingeführt und in den Regelbetrieb übernommen werden.

Das „C” in CISIS12

Das Thema Compliance wird in CISIS12 integriert und ergänzt das ISMS neben Prozessen, Anwendungen, IT-Infrastruktur und Gebäuden als fünfte Schicht. Konkret werden hierfür Bausteine und Maßnahmen in die Kataloge integriert um gesetzliche, vertragliche oder sonstige Vorgaben im Kontext der Compliance zu berücksichtigen.

Risikomanagement wird verpflichtend

Der Aufbau eines Risikomanagements war in ISIS12 Version 1.9 und 2.0 bisher lediglich optional. Nun wird in CISIS12 das Risikomanagement als eigener Schritt etabliert und somit verpflichtend für alle Anwender. Das Risikomanagement als Prozess wird hierbei in die Schritte Risikobetrachtung und -beurteilung sowie Risikobehandlung gegliedert. Konsequenterweise werden hierfür die kritischen Prozesse sowie Anwendungen der Organisation als Ausgangspunkt des Risikomanagements genutzt.

Zum Vergrößern klicken

Abbildung 2: Risikomanagementprozess in CISIS12 

Verknüpfung mit weiteren Normen

Alle Maßnahmen im CISIS12-Katalog erhalten künftig eine direkte Referenz zu den entsprechenden Kapiteln in ISO/IEC27001 sowie den Maßnahmen im BSI IT-Grundschutz und BSI-Kompendium. Dadurch soll CISIS12 als Standard näher mit der ISO/IEC 27001-Norm verknüpft werden, um Unternehmen und Behörden die Möglichkeit einer späteren Migration zu erleichtern. Außerdem werden die Anforderungen innerhalb der Maßnahmen mit den Kriterien MUSS, KANN und SOLL kategorisiert – eine Methodik, die auch die BSI-Standards nutzen. 

Bereitstellung eines neuen Software-Tools

Einführung und Betrieb von CISIS12 kann weiterhin durch ein Software-Tool unterstützt werden. Dieses wird ebenfalls weiterentwickelt und bietet neben dem ISMS-Modul noch sechs weitere Modul:

• Modul 1: Quick-Check
• Modul 2: ISMS
• Modul 3: Datenschutz
• Modul 4: KPI
• Modul 5: SoA
• Modul 6: Projektmanagement
• Modul 7: Lieferantenmanagement

Nach aktuellem Kenntnisstand wird das Tool ausschließlich als Cloud-Lösung angeboten. Es soll außerdem möglich sein, weitere Maßnahmenkataloge oder branchenspezifische Normen wie TISAX oder B3S-KRITIS in das Tool zu integrieren.

Bausteine und Maßnahmenkataloge werden ausgebaut

Die Anzahl an Bausteinen von CISIS12 werden im Vergleich zu ISIS12 deutlich erhöht. Dadurch sollen die Maßnahmen in den einzelnen Bausteinen jedoch passgenauer werden. Inwiefern dies auch die Komplexität der Umsetzung erhöht kann erst nach der Veröffentlichung des neuen Standards final beantwortet werden. Klar ist aber in jedem Fall: Je komplexer die Organisation bzw. deren IT- und Anwendungslandschaft ist, desto komplexer ist auch die Einführung und der Betrieb des ISMS – unabhängig davon ob der aktuell gültige Standard ISIS12 oder die künftige Weiterentwicklung CISIS12 angewandt wird.

Fazit

CISIS12 geht als Managementsystem für Informationssicherheit weiter in Richtung der etablierten und international bekannten Normen-Reihe ISO/IEC 2700x behält aber gleichzeitig seinen strukturierten Aufbau. Dies macht CISIS12 grundsätzlich für alle Arten von Unternehmen oder Behörden interessant die mit überschaubarem Aufwand ein ISMS aufbauen und etablieren wollen. Durch die Integration des Risikomanagements steht einem späteren Wechsel zu ISO/IEC 27001 nichts im Wege.

Bei Fragen zur Einführung von CISIS12 oder auch bei der Migration von ISIS12 zu CISIS12 beraten und unterstützen wir Sie gerne. Kommen Sie einfach auf uns zu.