ISIS12 Maßnahmenkatalog IT-Sicherheit für den Mittelstand in 12 Schritten

Das 3-Phasen-Modell zur Einführung eines ISMS im Mittelstand mit ISIS12


Die Einführung von ISIS12 erfolgt in drei Phasen, die sequentiell durchlaufen werden. Dies erfolgt in Zusammenarbeit mit einem erfahrenen ISIS12-Dienstleister auf Basis eines 12 Schritte umfassenden Maßnahmenkatalogs.

Als zertifizierter ISIS12-Dienstleister und Mitglied im Netzwerk für Informationssicherheit im Mittelstand unterstützen wir Sie gerne bei der Einführung von ISIS12 in Ihren Unternehmen.

Die folgenden Phasen beschreiben in Kürze das Vorgehensmodell von ISIS12. Gerne beraten wir Sie im Detail zu den ISIS12 Maßnahmen und die Eignung für Ihr Unternehmen.

Vorgehensmodell ISIS12 IT-Sicherheit
Zoom
Vorgehensmodell ISIS12 IT-Sicherheit

Phase 1: Initialisierungsphase

 
ISIS12 muss als klassischer Top-Down-Ansatz verstanden werden, d.h. die Unternehmensleitung trägt die Gesamtverantwortung für die Informationssicherheit, initiiert den dafür notwendigen Sicherheitsprozess und stellt die dafür erforderlichen Ressourcen zur Verfügung. Ohne diese Basis sind die weiteren Schritte nicht erfolgreich umzusetzen.

Schritt 1:
Zu Beginn wird eine Leitlinie zur Informationssicherheit erstellt, die von der Unternehmensleitung als zentrales Strategiepapier unterzeichnet wird. Darin werden die Informationssicherheits-Ziele, sowie die daraus abgeleitete Strategie festgehalten.

Schritt 2:
Im zweiten Schritt der Phase 1 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. Mitarbeiter werden sensibilisiert und laufend über Änderungen informiert.

 

Phase 2: Festlegung der Aufbau- und Ablauforganisation


Die zweite Phase beinhaltet die Festlegung der Aufbau- und Ablauforganisation.

Schritt 3:
Zunächst muss Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams definiert werden. Die zentrale Rolle nimmt der Informationssicherheitsbeauftragte (ISB) ein, der auch für die Einführung und Betrieb von ISIS12 verantwortlich ist.

Schritt 4:
Im Anschluss muss eine Struktur für die IT-Dokumentation im Unternehmen entwickelt und eingeführt werden. Neben formalen Festlegungen wie etwa Versionierung und verpflichtende Dokumenteninformationen werden verbindliche Rahmendokumente als Basis für das IT-Betriebshandbuch und IT-Notfallhandbuch erarbeitet.

Schritt 5:
Im letzten Schritt der Phase 2 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Die Wartungsprozesse werden im IT-Betriebshandbuch beschrieben. Wird im Rahmen einer Wartung eine Änderung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert.

Phase 3: Entwicklung und Umsetzung des ISIS12-Konzeptes


Nach den Vorarbeiten in den vorangegangenen Phasen beginnt in Phase 3 der operative Teil des ISIS12 Vorgehensmodells.

Schritt 6:
Zunächst werden unternehmenskritische Anwendungen identifiziert. Deren Schutzbedarf wird jeweils bezogen auf die Grundwerte „Vertraulichkeit, Integrität und Verfügbarkeit“, bewertet. Daraus werden die maximal tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet, die im Service-Katalog dokumentiert werden.

Schritt 7:
Nach der Lokalisierung kritischer Anwendungen werden die dafür notwendigen technischen, personellen, organisatorischen und infrastrukturellen Objekte ermittelt. Die Objekte werden in sicherheitsrelevanter Abhängigkeit zur den kritischen Applikationen erfasst und weitergehend in Teilbereichen gruppiert. Der Schutzbedarf der kritischen Applikationen und die MTA werden den Objekten vererbt.

Schritt 8:
Hier erfolgt die Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den im vorhergehenden Schritt ermittelten Objekten. Die empfohlenen Sicherheitsmaßnahmen erfolgen in Anlehnung an den ISIS12-Katalog, der einen gegenüber dem BSI-Grundschutzkatalog reduzierten Maßnahmenkatalog enthält. Die Bausteine, die für den gesamten Informationsverbund anzuwenden sind, lauten: Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4). Diese Bausteine werden den IT-Objekten zugeordnet, z.B. Gebäude und Serverraum gehören zur Infrastruktur. Eine Erleichterung schafft in diesem Schritt das ISIS12-Softwaretool, mit dem die Zuordnung bereits in der IT-Strukturanalyse automatisch erfolgt.

Schritt 9:
Nach der Umsetzung wird in einem Ist-Soll-Vergleich der Umsetzungsgrad, der in Schritt 8 empfohlenen Maßnahmen untersucht. Die hierfür vom ISIS12-Softwaretool erstellten Erhebungsbögen, können im größeren Kreis oder in Einzelinterviews abgearbeitet werden.

Schritt 10:
In ISIS12 Schritt 10 wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzenden Maßnahmen werden priorisiert und zusammen mit einer Kostenabschätzung der Geschäftsleitung als Vorschlag präsentiert. Mit dieser Planungsgrundlage treffen Sie Ihre Entscheidungen zur IT-Sicherheits auf Basis eines genauen Zeit-, Finanzierungs- und Projektplanes. 

Schritt 11:
Nach Festlegung der Umsetzungsreihenfolge der Maßnahmen, werden diese in diesem Schritt final umgesetzt.. Für jede Maßnahme werden die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festgelegt. Eine begleitende Schulung der Mitarbeiter unterstützt die Einführung von Sicherheitsmaßnahmen.

Schritt 12:
Abschließend werden im Sinn des PDCA-Prinzips (Plan-Do-Check-Act) die Aktualität der ISIS2-Schritte 1-11 und die wirksame Umsetzung der noch offenen Sicherheits-Maßnahmen im Sinne einer Revision kontinuierlich untersucht. Das ISMS ist etabliert und wird weiter optimiert.

 

Sprechen Sie mit uns, wir beraten Sie gerne:

Telefon: 0821 - 343 203 98
E-Mail: info@dexevo.eu

Kontaktformular >>