Informationssicherheit - Überblick
Stichworte
Cyber Threat Intelligence, Cybersecurity, IT-Security, Information Security,
ISMS, ISO 27001, IT-Grundschutz BSI 200-x, ISIS12, CISO, ISM, ISM, ISB
Worum geht es
Informationen sind wesentliche Unternehmenswerte und liegen in
digitaler Form als Daten in ihren IT-Systemen sowie in analoger Form
als Papierdokumente, Wissen der Mitabeiter, Prozessen, Standorte
oder änliches in ihrem Unternehmen vor.
Werden diese Unternehmenswerte entwendet, verfälscht, vernichtet,
sind über eine kritische Zeit hinaus nicht nutzbar oder einfach den
falschen Personen zugänglich gemacht worden, kann ein großer und
gegebenenfalls kritischer Schaden entstehen, ein Schaden der
Unternehmenswerte.
Diese Werte zu schützen ist Inhalt der Informationssicherheit.
Im Rahmen des Informationssicherheitsmanagements werden alle
Maßnahmen dazu organisiert sowie durchgeführt und durch ein ISMS
unterstützt, das insbesondere zur Dokumentation, dem
kontinuierlichen Verbessern der Informationssicherheit sowie als
Ausgangspunkt von Audits dient.
Begriffe
Cybersecurity: Der Schwerpunkt der Cybersecurity liegt auf digitalen
Informationen und dem Schutz dieser Informationen gegenüber dem
ungewollten Zugriff aus dem Internet.
IT-Sichrheit: Dies ist ein älterer Begriff der primär die IT in das
Zentrum der Sicherheitsbetrachtung gestellt hat und heute als
Synonym für Informationssicherheit genutzt wird.
Informationssicherheit: Der derzeit übergreifende Begriff für alle
Belange und Bereiche Informationen d.h. Unternehmenswerte zu
schützen. Es steht nicht nur primär die IT und digitale Verarbeitung von
Daten im Focus, sondern alle schützeneswerten Informationen eines
Unternehmens.
Daher wird „Informationssicherheit“ als Begriff für die Sicherheit
sämtlicher Unternehmenswerte genutzt.
Alles Synonyme: Grundsätzlich können all diese Begriffe als
Synonyme verwendet werden, denn auch wenn die verwendenten
Begriffe den Focus eingegrenzen, ist dennoch meist die gesamte
Menge an Unternehmenswerten betroffen und lediglich der
Schwerpunkt veschoben.
Wer kümmert sich im Unternehmen darum
In der Regel gibt es eine Person oder ein Team von Personen,
die sich um die Informationssicherheit kümmern.
Diese Rolle wird meist Informationssicherheitsbeauftragter - bzw.
-manager (ISB oder ISM) oder englisch CISO (Chief Information Security
Officer) bzw. ISO (Information Security Officer) oder einfach
Informationssicherheitsmanagement genannt.
Diese Begriffe und Abkürzungen sind weder geschützt noch fest
definiert, so dass sie keine konkreten Verantwortlichkeiten
beschreiben, aber alle die Aufgabe teilen sollten, die Werte des
Unternehmens zu schützen.
Welche Standards zur Informatinssicherheit gibt es
Die Standards zur Einhaltung bestimmter Anforderungen an die
Informationssicherheit sind klar definiert und unterscheiden sich in
der Art des Vorgehens, der Detailtiefe der Vorgaben und in den
Mögllichkeiten, die sie bieten.
Neben der Erhöhung der Informationssicherheit haben diese
Standards auch das Ziel, die Bemühungen um die
Informationsicherheit bewertbar zu machen und bei Einhalten der
Standards ein Zertifizierung zu erreichen bzw. zu erneuern.
All dieser Standards setzen den Aufbau und die Etablierung eines
Informationsmanagementsystems (ISMS) voraus, das über festgelegte
Mechanismen, Dokumentationen, Prozesse und Prüfungen eine
Verbesserung des Sicherheitsniveaus des betrachteten
Unternehmensbereiches zum Zielt hat. Dabei muss für ein
Informationssicherheitsmanagementsystem keineswegs ein
bestimmtes Tool oder eine Datenbank eingesetzt werden. Es ist
grundsätzlich möglich, handschriftliche Dokumente, eine
Textverarbeitung oder eine Tabellenkalkulationstools zu verwenden.
Die Erfahrung hat allerdings gezeigt, dass sich angepasste
Dokumentenmanagementsysteme oder spezielle Tools/Systeme auf
Basis einer Datenbank für den Aufbau und Betrieb eines ISMS
wesentlich besser eignen und den Aufwand, die Qualität des
Informationssicherheitsmanagement sowie die Kosten im Rahmen zu
halten. Nicht zu vergessen ist das oft zweite ZIel, das mit der
Einführung eines ISMS vebunden ist:
Die Zertifizierung des betrachteten Unternehmens-bereiches nach
dem ausgewählten Standard.
Die Zertifierung erhält das Unternehmen durch Prüfung eines
entsprechenden Auditors über festgelegte Vorgaben und Prozesse.
Ein Auditor wird sich gleich zu Beginn das ISMS zeigen lassen. Wenn
kein geeignetes Tool eingesetzt wird, ist das Risiko, die Standards nicht
einzuhalten deutlich höher, da das Management der Informations-
sicherheit deutlich schwieriger ist. Daher wird der Auditor das ISMS als
solches in besonderen Augenschein nehmen und insbesondere auf
Aktualität, Nachvollziebarkeit und Vollständigkeit schauen, bevor er mit
der „eigentlichen“ Prüfung beginnt. Gegebenenfalls ist bereits zu
diesem Zeitpunkt das Audit beendet und eine Zertifizierung nicht
erreicht.
Auch wenn Sie derzeit keine Zertifizierung anstreben, sondern vorerst
nur für sich dem Thema Informationssicherheit mehr Aufmerksamkeit
schenken wollen, ist der Aufbau eines ISMS und als Basis ein
geeigneter Tooleinsatz anzuraten.
Ein Szenario, das man vermeiden sollte
Sie investieren Zeit und Geld in das Thema Informationssicherheit, zb.
weil es einen konkreten Sicherheitsvorfall gab, der sich nicht
wiederholen soll. Ihre Investition trägt Früchte.
Sie werden festsellen, dass sich das Thema Informationssicherheits-
management als Steuerungsmechanismus der Sicherheit allgemein
sehr gut eignet und fordern Berichte zum Thema an. Im nächsten
Schritt bemerken Sie, dass sich das Thema auch zur Bewertung und
Steurerung von Risiken eignet und beschließen, dass das Informations-
management ein wichtiger Managementprozess ist und als solcher
einen festen Platz im obersten Management haben muss. Parallel
hierzu wird klar, dass der Mehrwert nicht nur für den bisher
betrachteten Unternehmensbereich relevant ist, sondern für die
meisten Unternehmensbereiche sinnvoll ist und ggf. auch noch die
hohen Prämien für die z.B. eine Cyberversicherung reduzieren hilft.
Bis zu diesem Zeitpunkt wurde aus dem einfachen ISMS auf
Einzeldokumentenbasis ein richtiges ISM-System. Bis dahin wurde das
ISMS jedoch bereits 2 bis 4 mal neu aufgebaut.
Cyber Threat Intelligence - Die Speerspitze des Schutzes Ihre Unternemenswerte
Datenschutz | Impressum | Kontakt |
Wichtige zertifizierungsfähige Standards zur
Informationssicherheit
ISO 27001
Aufbau, Ablauf und Schwerpunkte
Die ISO 2700x ist ein internationaler Standard und entsprechend
wird dieser Standard in internationalen Kontext häufig eingesetzt.
Den Kern der ISO 2700x bildet das Risikomanagement.
Das Vorgehen ist Top-Down orientiert, d.h. es wird vom Groben
ausgegangen und weiter verfeinert. Der Standard ISO 2700x ist auf
relativ wenigen Seiten beschrieben, gibt kein festes Vorgehen vor
und bietet dem Unternehmen viel Freiraum dafür aber weniger
Handlungsempfehlungen und detailierte Umsetzungshilfen
Zertifizierung
Die ISO 27001 bietet eine international gültige Zertifizierung
Was spricht dafür:
Internationalität und breite Akzeptanz
Was spricht dagegen:
Gegen den Einsatz der ISO 2700x spricht nichts viel; alledings sollte
sich das jeweilige Unternehmen klar darüber sein, dass der Aufbau
und der Betrieb viel Aufwand bedeutet und eine Zertifizierung und
Rezertifizierung kontinuierlichen Aufwand erzeugt. Daher ist die
Ermittlung des richtigen Scope (Unternehmensbereich auf den der
Standard angewendet werden soll.) von großer Bedeutung.
Für wen ist die ISO 2700x geeignet
International agierende Unternehmen, die sich in der
kontinuierlichen Verbesserung ihrer Informationssicherheit
engagieren möchten oder als Zulieferer oder Dienstleister eine
Zertifizierung nach ISO 27001 benötigen und entsprechende
Ressourcen in diese Thema stecken können.
BSI 200-x / IT-Grundschutz
Aufbau, Ablauf und Schwerpunkte
Der BSI Standard 200-x (IT-Grundschutz) ist ein nationaler Standard
der primär im deutschsprachigen Raum und Behördenumfeld
eingesetzt wird. Der Kern des BSI 200-x bildet heute ein festes
Vorgehensmodell entlang der Unternehmensprozese (in der
älteren Version 100-x war der Standard stark auf Behördenstand-
orten ausgelegt, der Kern lag auf dem Aufbau von Standorten
räumlich von außen nach innen). Mit der Version 200-x ist der
Standard deutlich schlanker und handhabbarer geworden.
BSI 200-x füllt mehr als 800 Seiten und ein Kompendium.
Der Ansatz des Standards ist ein Bottom-Up-Vorgehen, d.h. zu
Beginn werden sehr viele Details (Sturkturanalyse) aufgenommen
und danach zu Gruppen zusammengefasst.
Zertifizierung
Der Standard bietet eine Zertifizierung nach BSI, die auch
ausschließlch vom BSI vergeben wird.
Außerdem bietet der Standard eine Zertifizierung nach ISO 27001
auf Basis des IT-Grundschutz.
Was spricht dafür
Der BSI 200-x ist ein Standard mit klarem Vorgehensmodell und
eher festen Strukturen, jedoch bietet dieser Standard ein paar
durchaus positive Eigenschafen wie
- mehrere Vorgehensmodelle in einem Standard
- zwei Zertifizierungsmöglicheiten
- ein auch für andere Standards nützliches Kompendium und für
Standardsoftware vorgefertigte Module und Maßnahmenbündel,
die eine eigene Risikoanalyse überflüssig machen können.
Was spricht dagegen
Dem IT-Grundschutz wird nachgesagt, dass er sehr viel
Dokumentations- und Implementierungs aufwand verursacht und
etwas starr sei. (Dies ist sicher nicht von der Hand zu weisen, dem
steht jedoch eine große und ggf. nützliche Detailtiefe und
Angriffspunkte für Maßnahmen entgegen und auch die
Toolunterstützung entschärft diesen ggf. ersten Eindruck).
Für wen ist die BSI 200-x (IT-Grundschutz) geeignet
Das Vorgehen des Standard verlangt ein sehr strukturiertes
Vorgehen, das jedoch durch ein klares Vorgehensmodell gestützt
wird. Die Bereitschaft dazu sollte vom jeweiligen Unternehmen
daher auch vorhanden sein.
ISIS12 „ISMS in 12-Schritten“
Aufbau, Ablauf und Schwerpunkte
Die ISIS12 hat zum Ziel einen gegenüber der ISO 27001 und BSI
200-x leichtgewichtigeren Ansatz zu verolgen, eine feste
Vorgehensweise in 12 Schritten zu bieten und dennoch eine
ausreichende Detailtiefe zu erreichen.
Die Methodik wird von einem explizit für die ISIS12 entwickeltem
Tool begleitet.
Zertifizierung
Eine Zertifizierung nach ISIS12 ist ebenfalls möglich.
Was spricht dafür
DIe ISIS12 ist ein stark methodisch geprägter Standard, der
einerseits eine gute Führung in der Umsetzung und Anwendung
bietet, durch dieses eher starre Vorgehen jedoch nicht für jeden
Unternehmentyp und jede Unternehmensgröße geeignet sein
dürfte.
Was spricht dagegen
Für wen geeignet
Die ISIS12 ist insbesondere für weniger große Unternehmen
geeignet, die mit wenigen Ressourcen ein ISMS aufbauen wollen.
Bisher war die ISIS12 gerne als eine kleine Variante des IT-
Grundschutz angesehen und entsprechend gerne in der
komunalen Verwaltung eingesetzt, allerdings steht die Nähe zum
IT-Grundschutz nicht mehr so sehr im Fokus der aktuellen Version
des Standards.
VDA - Branchenspezifischer Standard der Automobilbranche
und weitere Standards zur Informationssicherheit folgen.
Informationssicherheitsbeauftragter / -verantwortlicher
( ISB / CISO )
Aufbau und Betrieb des Informationssicherheitsmanagements
exercitation in consequat ad sint in et ea excepteur dolore in officia:
Amet cillum, dolore aute nulla irure ut tempor, cillum nulla culpa.
Betrieb der Informationssicherheit
Elit culpa, id sed culpa anim cupidatat officia nulla ipsum sit irure et
dolore ex proident nisi. In minim aute sit ut mollit tempor voluptate
esse id amet consectetur aute incididunt minim proident sed ad
fugiat. In, officia consectetur. Ut sint adipisicing. Cupidatat do ad
quis occaecat qui eiusmod irure, occaecat cupidatat, quis, minim
reprehenderit enim ea eu. Excepteur magna quis deserunt.
Informationssicherheit - Überblick
Stichworte
Cyber Threat Intelligence, Cybersecurity, IT-Security,
Information Security,
ISMS, ISO 27001, IT-Grundschutz BSI 200-x, ISIS12,
CISO, ISM, ISM, ISB
Worum geht es
Informationen sind wesentliche
Unternehmenswerte und liegen in digitaler
Form als Daten in ihren IT-Systemen sowie in
analoger Form als Papierdokumente, Wissen
der Mitabeiter, Prozessen, Standorte oder
änliches in ihrem Unternehmen vor.
Werden diese Unternehmenswerte entwendet,
verfälscht, vernichtet, sind über eine kritische
Zeit hinaus nicht nutzbar oder einfach den
falschen Personen zugänglich gemacht worden,
kann ein großer und gegebenenfalls kritischer
Schaden entstehen, ein Schaden der
Unternehmenswerte.
Diese Werte zu schützen ist Inhalt der
Informationssicherheit.
Im Rahmen des
Informationssicherheitsmanagements
werden alle Maßnahmen dazu organisiert sowie
durchgeführt und durch ein ISMS unterstützt,
das insbesondere zur Dokumentation, dem
kontinuierlichen Verbessern der
Informationssicherheit sowie als
Ausgangspunkt von Audits dient.
Begriffe
Cybersecurity: Der Schwerpunkt der
Cybersecurity liegt auf digitalen Informationen
und dem Schutz dieser Informationen
gegenüber dem ungewollten Zugriff aus dem
Internet.
IT-Sichrheit: Dies ist ein älterer Begriff der
primär die IT in das Zentrum der
Sicherheitsbetrachtung gestellt hat und heute
als Synonym für Informationssicherheit genutzt
wird.
Informationssicherheit: Der derzeit
übergreifende Begriff für alle Belange und
Bereiche Informationen d.h.
Unternehmenswerte zu schützen. Es steht nicht
nur primär die IT und digitale Verarbeitung von
Daten im Focus, sondern alle schützeneswerten
Informationen eines Unternehmens.
Daher wird „Informationssicherheit“ als Begriff
für die Sicherheit sämtlicher
Unternehmenswerte genutzt.
Alles Synonyme: Grundsätzlich können all
diese Begriffe als Synonyme verwendet werden,
denn auch wenn die verwendenten Begriffe den
Focus eingegrenzen, ist dennoch meist die
gesamte Menge an Unternehmenswerten
betroffen und lediglich der Schwerpunkt
veschoben.
Wer kümmert sich im Unternehmen
darum
In der Regel gibt es eine Person oder ein Team
von Personen,
die sich um die Informationssicherheit
kümmern.
Diese Rolle wird meist
Informationssicherheitsbeauftragter - bzw.
-manager (ISB oder ISM) oder englisch CISO
(Chief Information Security Officer) bzw. ISO
(Information Security Officer) oder einfach
Informationssicherheitsmanagement genannt.
Diese Begriffe und Abkürzungen sind weder
geschützt noch fest definiert, so dass sie keine
konkreten Verantwortlichkeiten beschreiben,
aber alle die Aufgabe teilen sollten, die Werte
des Unternehmens zu schützen.
Welche Standards zur
Informatinssicherheit gibt es
Die Standards zur Einhaltung bestimmter
Anforderungen an die Informationssicherheit
sind klar definiert und unterscheiden sich in der
Art des Vorgehens, der Detailtiefe der Vorgaben
und in den Mögllichkeiten, die sie bieten.
Neben der Erhöhung der Informationssicherheit
haben diese Standards auch das Ziel, die
Bemühungen um die Informationsicherheit
bewertbar zu machen und bei Einhalten der
Standards ein Zertifizierung zu erreichen bzw.
zu erneuern.
All dieser Standards setzen den Aufbau und die
Etablierung eines
Informationsmanagementsystems (ISMS)
voraus, das über festgelegte Mechanismen,
Dokumentationen, Prozesse und Prüfungen
eine Verbesserung des Sicherheitsniveaus des
betrachteten Unternehmensbereiches zum Zielt
hat. Dabei muss für ein
Informationssicherheitsmanagementsystem
keineswegs ein bestimmtes Tool oder eine
Datenbank eingesetzt werden. Es ist
grundsätzlich möglich, handschriftliche
Dokumente, eine Textverarbeitung oder eine
Tabellenkalkulationstools zu verwenden. Die
Erfahrung hat allerdings gezeigt, dass sich
angepasste Dokumentenmanagementsysteme
oder spezielle Tools/Systeme auf Basis einer
Datenbank für den Aufbau und Betrieb eines
ISMS wesentlich besser eignen und den
Aufwand, die Qualität des
Informationssicherheitsmanagement sowie die
Kosten im Rahmen zu halten. Nicht zu
vergessen ist das oft zweite ZIel, das mit der
Einführung eines ISMS vebunden ist:
Die Zertifizierung des betrachteten
Unternehmens-bereiches nach dem
ausgewählten Standard.
Die Zertifierung erhält das Unternehmen durch
Prüfung eines entsprechenden Auditors über
festgelegte Vorgaben und Prozesse.
Ein Auditor wird sich gleich zu Beginn das ISMS
zeigen lassen. Wenn kein geeignetes Tool
eingesetzt wird, ist das Risiko, die Standards
nicht einzuhalten deutlich höher, da das
Management der Informations-sicherheit
deutlich schwieriger ist. Daher wird der Auditor
das ISMS als solches in besonderen
Augenschein nehmen und insbesondere auf
Aktualität, Nachvollziebarkeit und
Vollständigkeit schauen, bevor er mit der
„eigentlichen“ Prüfung beginnt. Gegebenenfalls
ist bereits zu diesem Zeitpunkt das Audit
beendet und eine Zertifizierung nicht erreicht.
Auch wenn Sie derzeit keine Zertifizierung
anstreben, sondern vorerst nur für sich dem
Thema Informationssicherheit mehr
Aufmerksamkeit schenken wollen, ist der
Aufbau eines ISMS und als Basis ein geeigneter
Tooleinsatz anzuraten.
Ein Szenario, das man vermeiden sollte
Sie investieren Zeit und Geld in das Thema
Informationssicherheit, zb. weil es einen
konkreten Sicherheitsvorfall gab, der sich nicht
wiederholen soll. Ihre Investition trägt Früchte.
Sie werden festsellen, dass sich das Thema
Informationssicherheits-management als
Steuerungsmechanismus der Sicherheit
allgemein sehr gut eignet und fordern Berichte
zum Thema an. Im nächsten Schritt bemerken
Sie, dass sich das Thema auch zur Bewertung
und Steurerung von Risiken eignet und
beschließen, dass das Informations-
management ein wichtiger Managementprozess
ist und als solcher einen festen Platz im
obersten Management haben muss. Parallel
hierzu wird klar, dass der Mehrwert nicht nur
für den bisher betrachteten
Unternehmensbereich relevant ist, sondern für
die meisten Unternehmensbereiche sinnvoll ist
und ggf. auch noch die hohen Prämien für die
z.B. eine Cyberversicherung reduzieren hilft.
Bis zu diesem Zeitpunkt wurde aus dem
einfachen ISMS auf Einzeldokumentenbasis ein
richtiges ISM-System. Bis dahin wurde das ISMS
jedoch bereits 2 bis 4 mal neu aufgebaut.
Cyber Threat
Intelligence -
Die Speerspitze
des Schutzes
Ihre
Unternemensw
erte
Wichtige zertifizierungsfähige
Standards zur
Informationssicherheit
ISO 27001
Aufbau, Ablauf und Schwerpunkte
Die ISO 2700x ist ein internationaler Standard
und entsprechend wird dieser Standard in
internationalen Kontext häufig eingesetzt.
Den Kern der ISO 2700x bildet das
Risikomanagement.
Das Vorgehen ist Top-Down orientiert, d.h. es
wird vom Groben ausgegangen und weiter
verfeinert. Der Standard ISO 2700x ist auf relativ
wenigen Seiten beschrieben, gibt kein festes
Vorgehen vor und bietet dem Unternehmen viel
Freiraum dafür aber weniger
Handlungsempfehlungen und detailierte
Umsetzungshilfen
Zertifizierung
Die ISO 27001 bietet eine international gültige
Zertifizierung
Was spricht dafür:
Internationalität und breite Akzeptanz
Was spricht dagegen:
Gegen den Einsatz der ISO 2700x spricht nichts
viel; alledings sollte sich das jeweilige
Unternehmen klar darüber sein, dass der
Aufbau und der Betrieb viel Aufwand bedeutet
und eine Zertifizierung und Rezertifizierung
kontinuierlichen Aufwand erzeugt. Daher ist die
Ermittlung des richtigen Scope
(Unternehmensbereich auf den der Standard
angewendet werden soll.) von großer
Bedeutung.
Für wen ist die ISO 2700x geeignet
International agierende Unternehmen, die sich
in der kontinuierlichen Verbesserung ihrer
Informationssicherheit engagieren möchten
oder als Zulieferer oder Dienstleister eine
Zertifizierung nach ISO 27001 benötigen und
entsprechende Ressourcen in diese Thema
stecken können.
BSI 200-x / IT-Grundschutz
Aufbau, Ablauf und Schwerpunkte
Der BSI Standard 200-x (IT-Grundschutz) ist ein
nationaler Standard der primär im
deutschsprachigen Raum und Behördenumfeld
eingesetzt wird. Der Kern des BSI 200-x bildet
heute ein festes Vorgehensmodell entlang der
Unternehmensprozese (in der älteren Version
100-x war der Standard stark auf
Behördenstand-orten ausgelegt, der Kern lag
auf dem Aufbau von Standorten räumlich von
außen nach innen). Mit der Version 200-x ist der
Standard deutlich schlanker und handhabbarer
geworden.
BSI 200-x füllt mehr als 800 Seiten und ein
Kompendium.
Der Ansatz des Standards ist ein Bottom-Up-
Vorgehen, d.h. zu Beginn werden sehr viele
Details (Sturkturanalyse) aufgenommen und
danach zu Gruppen zusammengefasst.
Zertifizierung
Der Standard bietet eine Zertifizierung nach BSI,
die auch ausschließlch vom BSI vergeben wird.
Außerdem bietet der Standard eine
Zertifizierung nach ISO 27001 auf Basis des IT-
Grundschutz.
Was spricht dafür
Der BSI 200-x ist ein Standard mit klarem
Vorgehensmodell und eher festen Strukturen,
jedoch bietet dieser Standard ein paar durchaus
positive Eigenschafen wie
- mehrere Vorgehensmodelle in einem Standard
- zwei Zertifizierungsmöglicheiten
- ein auch für andere Standards nützliches
Kompendium und für
Standardsoftware vorgefertigte Module und
Maßnahmenbündel,
die eine eigene Risikoanalyse überflüssig
machen können.
Was spricht dagegen
Dem IT-Grundschutz wird nachgesagt, dass er
sehr viel Dokumentations- und
Implementierungs aufwand verursacht und
etwas starr sei. (Dies ist sicher nicht von der
Hand zu weisen, dem steht jedoch eine große
und ggf. nützliche Detailtiefe und
Angriffspunkte für Maßnahmen entgegen und
auch die Toolunterstützung entschärft diesen
ggf. ersten Eindruck).
Für wen ist die BSI 200-x (IT-Grundschutz)
geeignet
Das Vorgehen des Standard verlangt ein sehr
strukturiertes Vorgehen, das jedoch durch ein
klares Vorgehensmodell gestützt wird. Die
Bereitschaft dazu sollte vom jeweiligen
Unternehmen daher auch vorhanden sein.
ISIS12 „ISMS in 12-Schritten“
Aufbau, Ablauf und Schwerpunkte
Die ISIS12 hat zum Ziel einen gegenüber der ISO
27001 und BSI 200-x leichtgewichtigeren Ansatz
zu verolgen, eine feste Vorgehensweise in 12
Schritten zu bieten und dennoch eine
ausreichende Detailtiefe zu erreichen.
Die Methodik wird von einem explizit für die
ISIS12 entwickeltem Tool begleitet.
Zertifizierung
Eine Zertifizierung nach ISIS12 ist ebenfalls
möglich.
Was spricht dafür
DIe ISIS12 ist ein stark methodisch geprägter
Standard, der einerseits eine gute Führung in
der Umsetzung und Anwendung bietet, durch
dieses eher starre Vorgehen jedoch nicht für
jeden Unternehmentyp und jede
Unternehmensgröße geeignet sein dürfte.
Was spricht dagegen
Für wen geeignet
Die ISIS12 ist insbesondere für weniger große
Unternehmen geeignet, die mit wenigen
Ressourcen ein ISMS aufbauen wollen.
Bisher war die ISIS12 gerne als eine kleine
Variante des IT-Grundschutz angesehen und
entsprechend gerne in der komunalen
Verwaltung eingesetzt, allerdings steht die Nähe
zum IT-Grundschutz nicht mehr so sehr im
Fokus der aktuellen Version des Standards.
VDA - Branchenspezifischer Standard der
Automobilbranche
und weitere Standards zur
Informationssicherheit folgen.
