www.wikidata.de-de.nina.az

CISIS12 Das Compliance Informations Sicherheitsmanagement System in 12 Schritten ist ein Information Security Management

CISIS12

Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein Information Security Management System (ISMS), das vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben wird. Es umfasst die Beschreibung des Standards, eine Norm, ein Handbuch zur Einführung und einen Baustein und Maßnahmenkatalog. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". Es ergänzt den bereits seit mehreren Jahren etablierten Standard ISIS12 um eine zusätzliche Schicht mit Complianceaspekten und gibt somit der Version 3 ihren neuen Namen CISIS12.

Beteilige dich an der Diskussion!
 Dieser Artikel wurde wegen inhaltlicher Mängel auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+)

Einführung Bearbeiten

  1. Leitlinie erstellen und Ziele definieren
  2. Sensibilisieren
  3. ISMS-Team
  4. Dokumentation
  5. ITSM-Prozesse
  6. Compliance / Prozesse / Anwendungen
  7. Infrastruktur
  8. Risiko (neu)
  9. IST-SOLL Vergleich
  10. Umsetzung
  11. Audit intern (neu)
  12. Revision

Die Schritte werden kontinuierlich im PDCA-Zyklus durchlaufen.

Integration der Prozessschicht Bearbeiten

Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt.

Wichtige Prozesse Bearbeiten

Einige wichtige Prozesse bei CISIS12 sind:

  • Risikomanagementprozess:Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung, Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit. Dieser Prozess hilft dabei, potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.
  • Incident-Managementprozess: Der Incident-Managementprozess umfasst die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Hierbei geht es darum, schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren, um Schäden zu minimieren.
  • Change-Managementprozess: Der Change-Managementprozess regelt die Umsetzung von Änderungen an IT-Systemen oder Prozessen, um sicherzustellen, dass diese Änderungen keine negativen Auswirkungen auf die Informationssicherheit haben.
  • Kontinuierlicher Verbesserungsprozess: Der kontinuierliche Verbesserungsprozess (KVP) umfasst die ständige Überprüfung und Verbesserung der ISMS-Prozesse, um sicherzustellen, dass sie den sich ändernden Anforderungen und Bedrohungen gerecht werden.
  • Schulungs- und Sensibilisierungsprozess: Der Schulungs- und Sensibilisierungsprozess umfasst Schulungen und Awareness-Kampagnen, um das Sicherheitsbewusstsein und -wissen der Mitarbeiter zu verbessern.
  • Überwachungs- und Messprozess: Der Überwachungs- und Messprozess umfasst die Überwachung der Umsetzung der ISMS-Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.

Diese Prozesse sind eng miteinander verknüpft und bilden zusammen ein umfassendes System zur Gewährleistung der Informationssicherheit in einer Organisation.

Zertifizierbarkeit Bearbeiten

CISIS12 ist unabhängig zertifizierbar.

ISIS12 Bearbeiten

Bis zur Version 3 wurde der Name ISIS12 verwendet.

Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist die frühere Version des Modells zur Einführung eines Information Security Management System (ISMS). Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit.

ISIS12 war eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS.

Grundgedanke Bearbeiten

Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen (IT-Sicherheitsgesetz, Bayerisches E-Government Gesetz Art. 11). Außerdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit (z. B. DSGVO, GmbH-Gesetz §43 Abs. 1, Basel II, S-Ox, Telemediengesetz, Aktiengesetz §91 Abs. 2 & § 93 Abs. 2, Handelsgesetz §317 Abs. 4 uvm.), meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen.

Schwierigkeiten bei der praktischen Einführung und Umsetzung eines ISMS bestehen erfahrungsgemäß unter anderem in personellen Engpässen, mangelndem Fachwissen und der Überlastung der meist kleinen IT-Abteilungen.

Grundgedanke bei der Entwicklung von ISIS12 war es daher, die Lücke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schließen. Als Resultat dieser Überlegungen entstand ein Modell in zwölf konkreten Schritten, abgeleitet aus IT-Grundschutz und der Norm ISO/IEC 27001.

Förderung Bearbeiten

Die ursprüngliche Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.

Zudem war ISIS12 ist im Rahmen verschiedener Initiativen förderfähig:

  • Förderung der Informationssicherheit in bayerischen Kommunen
  • Digitalbonus.Bayern
  • Förderung der Informationssicherheit in saarländischen Kommunen

Anerkennung Bearbeiten

ISIS12/CIS12 für die kommunale Sicherheit Bearbeiten

Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen. Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netz „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.

Gutachten von Fraunhofer AISEC Bearbeiten

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.

Weblinks Bearbeiten

Quellen Bearbeiten

  1. Andreas Reichelt: Verbesserte Datensicherheit. Tele Regional Passau 1 (TRP1), abgerufen am 24. Oktober 2020.
  2. Schutz der Öffentlichen Netze. Abgerufen am 17. Juli 2018.
  3. Digitalbonus – Digitalbonus Bayern. Abgerufen am 17. Juli 2018.
  4. Pressemitteilung Saarland heute | Saarland.de. Abgerufen am 17. Juli 2018.
  5. (Memento vom 9. Februar 2015 im Internet Archive)
  6. Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer) (PDF; 602 kB)
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Das Compliance Informations Sicherheitsmanagement System in 12 Schritten CISIS12 ist ein Information Security Management System ISMS das vom IT Sicherheitscluster e V entwickelt herausgegeben geschult und vertrieben wird Es umfasst die Beschreibung des Standards eine Norm ein Handbuch zur Einfuhrung und einen Baustein und Massnahmenkatalog Es wurde speziell fur den Einsatz in Kommunen und KMU entwickelt CISIS12 unterscheidet konkrete Massnahmen zur systematischen und kontinuierlichen Erhohung der Informationssicherheit in den Modalitaten kann soll muss Es erganzt den bereits seit mehreren Jahren etablierten Standard ISIS12 um eine zusatzliche Schicht mit Complianceaspekten und gibt somit der Version 3 ihren neuen Namen CISIS12 Beteilige dich an der Diskussion Dieser Artikel wurde wegen inhaltlicher Mangel auf der Qualitatssicherungsseite der Redaktion Informatik eingetragen Dies geschieht um die Qualitat der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen Hilf mit die inhaltlichen Mangel dieses Artikels zu beseitigen und beteilige dich an der Diskussion Inhaltsverzeichnis 1 Einfuhrung 2 Integration der Prozessschicht 2 1 Wichtige Prozesse 2 2 Zertifizierbarkeit 3 ISIS12 3 1 Grundgedanke 3 2 Forderung 4 Anerkennung 4 1 ISIS12 CIS12 fur die kommunale Sicherheit 4 2 Gutachten von Fraunhofer AISEC 5 Weblinks 6 QuellenEinfuhrung BearbeitenLeitlinie erstellen und Ziele definieren Sensibilisieren ISMS Team Dokumentation ITSM Prozesse Compliance Prozesse Anwendungen Infrastruktur Risiko neu IST SOLL Vergleich Umsetzung Audit intern neu RevisionDie Schritte werden kontinuierlich im PDCA Zyklus durchlaufen Integration der Prozessschicht BearbeitenUm einen vollumfanglichen ISMS Standard zu etablieren wird in CISIS12 die Prozesssicht in den Vordergrund gestellt Wichtige Prozesse Bearbeiten Einige wichtige Prozesse bei CISIS12 sind Risikomanagementprozess Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit Dieser Prozess hilft dabei potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmassnahmen zu ergreifen Incident Managementprozess Der Incident Managementprozess umfasst die Meldung Analyse und Behebung von Sicherheitsvorfallen Hierbei geht es darum schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren um Schaden zu minimieren Change Managementprozess Der Change Managementprozess regelt die Umsetzung von Anderungen an IT Systemen oder Prozessen um sicherzustellen dass diese Anderungen keine negativen Auswirkungen auf die Informationssicherheit haben Kontinuierlicher Verbesserungsprozess Der kontinuierliche Verbesserungsprozess KVP umfasst die standige Uberprufung und Verbesserung der ISMS Prozesse um sicherzustellen dass sie den sich andernden Anforderungen und Bedrohungen gerecht werden Schulungs und Sensibilisierungsprozess Der Schulungs und Sensibilisierungsprozess umfasst Schulungen und Awareness Kampagnen um das Sicherheitsbewusstsein und wissen der Mitarbeiter zu verbessern Uberwachungs und Messprozess Der Uberwachungs und Messprozess umfasst die Uberwachung der Umsetzung der ISMS Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmassnahmen Diese Prozesse sind eng miteinander verknupft und bilden zusammen ein umfassendes System zur Gewahrleistung der Informationssicherheit in einer Organisation Zertifizierbarkeit Bearbeiten CISIS12 ist unabhangig zertifizierbar ISIS12 BearbeitenBis zur Version 3 wurde der Name ISIS12 verwendet Das Informations Sicherheitsmanagement System in 12 Schritten ISIS12 ist die fruhere Version des Modells zur Einfuhrung eines Information Security Management System ISMS Es wurde speziell fur den Einsatz in Kommunen und KMU entwickelt ISIS12 beinhaltet konkrete Massnahmen zur systematischen und kontinuierlichen Erhohung der Informationssicherheit ISIS12 war eine unabhangig zertifizierbare Einstiegsstufe in ein ISMS Grundgedanke Bearbeiten Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen IT Sicherheitsgesetz Bayerisches E Government Gesetz Art 11 Ausserdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit z B DSGVO GmbH Gesetz 43 Abs 1 Basel II S Ox Telemediengesetz Aktiengesetz 91 Abs 2 amp 93 Abs 2 Handelsgesetz 317 Abs 4 uvm meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen Schwierigkeiten bei der praktischen Einfuhrung und Umsetzung eines ISMS bestehen erfahrungsgemass unter anderem in personellen Engpassen mangelndem Fachwissen und der Uberlastung der meist kleinen IT Abteilungen Grundgedanke bei der Entwicklung von ISIS12 war es daher die Lucke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schliessen Als Resultat dieser Uberlegungen entstand ein Modell in zwolf konkreten Schritten 1 abgeleitet aus IT Grundschutz und der Norm ISO IEC 27001 Forderung Bearbeiten Die ursprungliche Entwicklung wurde vom bayerischen Staatsministerium fur Wirtschaft Infrastruktur Verkehr und Technologie uber BICCnet gefordert Zudem war ISIS12 ist im Rahmen verschiedener Initiativen forderfahig Forderung der Informationssicherheit in bayerischen Kommunen 2 Digitalbonus Bayern 3 Forderung der Informationssicherheit in saarlandischen Kommunen 4 Anerkennung BearbeitenISIS12 CIS12 fur die kommunale Sicherheit Bearbeiten Der IT Planungsrat hat ISIS12 offiziell fur den Einsatz in der kommunalen Sicherheit empfohlen 5 Dies bedeutet dass sich neben dem BSI IT Grundschutz und der ISO 27001 ISIS12 insbesondere fur die Einfuhrung in kleinen und mittleren Kommunalverwaltungen eignet Das Netz Informationssicherheit fur den Mittelstand NIM des Bayerischen IT Sicherheitsclusters e V hat mit ISIS12 ein praktikables Vorgehen erarbeitet das in zwolf uberschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt Gutachten von Fraunhofer AISEC Bearbeiten Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten 6 bestatigt ebenfalls dass sich ISIS12 an der BSI IT Grundschutzmethodik orientiert und die Mindestanforderungen des IT Planungsrats an ein ISMS erfullt Die erforderlichen Sicherheitsmassnahmen konnen mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden Insbesondere eigne sich ISIS12 auch als Grundlage fur die spatere Einfuhrung eines ISMS auf Basis von ISO 27001 oder des BSI IT Grundschutzes Weblinks BearbeitenCISIS12 Compliance und Informationssicherheit in 12 Schritten Gutachten zur Anwendbarkeit von ISIS12 in der offentlichen Verwaltung vom 30 Marz 2015 auf der Webseite des IT Planungsrats ISIS12 CISIS12 ein Informations Sicherheitsmanagement System in 12 SchrittenQuellen Bearbeiten Andreas Reichelt Verbesserte Datensicherheit Tele Regional Passau 1 TRP1 abgerufen am 24 Oktober 2020 Schutz der Offentlichen Netze Abgerufen am 17 Juli 2018 Digitalbonus Digitalbonus Bayern Abgerufen am 17 Juli 2018 Pressemitteilung Saarland heute Saarland de Abgerufen am 17 Juli 2018 IT Planungsrat Entscheidung 2013 01 Steuerungsprojekt Leitlinie Informationssicherheit Memento vom 9 Februar 2015 im Internet Archive Gutachten zur Anwendbarkeit von ISIS12 in der offentlichen Verwaltung Fraunhofer PDF 602 kB Abgerufen von https de wikipedia org w index php title CISIS12 amp oldid 233665256