CISIS12: Informationssicherheit in 12 Schritten

CISIS12

Eine Norm für ein gegen­über der ISO 27001 und der Kern-/Stan­dard-Absi­che­rung des IT-Grund­schut­zes ver­schlank­tes ISMS mit Anfor­de­run­gen an Pro­zess­ma­nage­ment und Risik­ana­ly­se.

Strukturierter Aufbau

Neben der Doku­men­ta­ti­on zur Norm selbst, ste­hen ein Hand­buch, der Maß­nah­men­ka­ta­log und das Audit­sche­ma zur Ver­fü­gung. Durch die Ver­zah­nung der Doku­men­ta­ti­on wird ver­mie­den, wich­ti­ge Aspek­te für Ein­füh­rung und Betrieb zu über­se­hen.
Neben der Doku­men­ta­ti­on zur Norm selbst, ste­hen ein Hand­buch, der Maß­nah­men­ka­ta­log und das Audit­sche­ma zur Ver­fü­gung. Durch die Ver­zah­nung der Doku­men­ta­ti­on wird ver­mie­den, wich­ti­ge Aspek­te für Ein­füh­rung und Betrieb zu über­se­hen.

Zertifizierung

Die Norm CISIS12 kann für einen übli­chen 3‑Jah­res-Zyklus mit jähr­li­chen Über­wa­chungs­au­dits zer­ti­fi­ziert wer­den. Dies garan­tiert die regel­mä­ßi­ge Beschäf­ti­gung mit dem The­ma Infor­ma­ti­ons­si­cher­heit in der Orga­ni­sa­ti­on.

Die Abkür­zung CISIS12 steht für Compli­ance-Infor­ma­ti­ons-SIcher­heits-Manage­ment-System in 12 Schrit­ten. Die­se Norm für Infor­ma­ti­ons­si­cher­heit wur­de vom IT-Sicher­heit­clus­ter e.V. in Regens­burg ent­wi­ckelt und ist aus der Norm ISIS12 (endet mit Ver­si­on 2 im Mai 2024) her­vor­ge­gan­gen.

Man ist durch­aus ver­sucht, die Norm CISIS12 als fort­ge­schrie­be­nes ISIS12 3.0 zu betrach­ten. Doch es han­delt sich um deut­lich mehr als nur ein Kata­log-Update. So steht das “C” für einen zusätz­li­chen Fokus auf das The­ma Com­pli­ance. Durch die enge­re Anleh­nung an den BSI IT-Grund­schutz und die ISO 27001 ste­hen nun­mehr die kri­ti­schen Geschäfts­pro­zes­se im Fokus und nicht mehr die Anwen­dun­gen. Auch die in ISIS12 bewußt außen vor gelas­se­ne Risi­ko­ana­ly­se ist in CISIS12 imple­men­tiert und durch­zu­füh­ren.

Alles in allem ist CISIS12 eine zeit­ge­mä­ße, prak­ti­ka­ble und kon­se­quen­te Wei­ter­ent­wick­lung der alten ISIS12-Norm. Die Ände­run­gen gehen jedoch deut­lich über ein Kata­log-Update hin­aus. Das kommt dem Schutz­ni­veau zu Gute, bringt aber auch ein deut­li­ches Mehr an Auf­wand mit sich. Des­sen soll­te man sich bewusst sein.

Orga­ni­sa­tio­nen, die mit dem The­ma Pro­zess­ma­nage­ment noch “frem­deln” oder ganz am Anfang ste­hen, soll­ten sich der Fokus­sie­rung auf die Absi­che­rung von Pro­zes­sen bewußt sein. Zumin­dest die kri­ti­schen Geschäfts­pro­zes­se soll­ten bei der Ein­füh­rung idea­ler­wei­se bereits bekannt und doku­men­tiert sein, um kei­ne zwei “Bau­stel­len” (ISMS und Pro­zess­ma­nage­ment) auf­zu­ma­chen. Das trifft eben­falls zu, soll­te man sich für die Ein­füh­rung eines ISMS auf Basis der ISO 27001 oder dem BSI IT-Grund­schutz in der Kern- oder Stan­dard-Absi­che­rung ent­schei­den. Auch die­se gehen das The­ma Infor­ma­ti­ons­si­cher­heit über die Geschäfts­pro­zes­se an. Im lau­fen­den Betrieb des ISMS kön­nen suk­zes­si­ve die noch feh­len­den Pro­zes­se nach­ge­tra­gen und berück­sich­tigt wer­den.

Die Ein­füh­rung eines ISMS auf Basis CISIS12 kann in vie­len Bun­des­län­dern geför­dert wer­den. Für baye­ri­sche Kom­mu­nen gibt es  eine noch bis Ende 2023 gül­ti­ge För­der­mit­tel­richt­li­che des Frei­staats Bay­ern. Unter­neh­men kön­nen in vie­len Bun­des­län­dern Mit­tel aus der Digi­tal­för­de­rung bean­spru­chen.

Unse­re aus­ge­bil­de­ten und zer­ti­fi­zier­ten CISIS12 Infor­ma­ti­on Secu­ri­ty Offi­cer und CISIS12 Pro­fes­sio­nals bera­ten und unter­stüt­zen Sie ger­ne bei der Ein­füh­rung eines ISMS auf Basis von CISIS12 und beglei­ten Sie auf Wunsch auch bei Fra­ge­stel­lun­gen im lau­fen­den Betrieb Ihres ISMS.

Wei­te­re Infor­ma­tio­nen zu CISIS12 erhal­ten Sie ger­ne von uns auf Anfra­ge. Alter­na­tiv schau­en Sie sich doch ein­fach etwas auf https://cisis12.de um und mel­den sich mit Ihren Fra­gen bei uns.