DQS im Dialog
DQS Website Abonnieren

Datenschutzzentrum Saarland nach ISIS12 zertifiziert

Für den nachhaltigen Erfolg von Organisationen jeder Art und Größe ist Informationssicherheit heute aus bekannten Gründen ein Muss. Als Einstieg in das Thema, besonders für KMU und öffentliche Stellen, bietet sich der Informationssicherheitsstandard ISIS12 an. Das Unabhängige Datenschutzzentrum Saarland hat sich für das Regelwerk entschieden und im Herbst 2019 nach ISIS12 von der DQS zertifizieren lassen.
Interview © iStock ISIS12 Saarland

Informationssicherheitsmanagement als logische Konsequenz

Die Erfüllung der vielfältigen Aufgaben des Unabhängigen Datenschutzzentrums Saarland ist mit dem Umgang sensibler, also besonders schützenswerter Daten und Informationen verbunden, weshalb die Einführung eines geeigneten Standards für Informationssicherheit eine logische Konsequenz darstellt.

Frank Moses ist Leiter des Referats 4 mit Zuständigkeit für die technischen und organisatorischen Aspekte des Datenschutzes und der Datensicherheit beim Datenschutzzentrum Saarland. Über seine Erfahrungen mit der Einführung und Zertifizierung gemäß ISIS12 und über den Nutzen, den seine Organisation daraus zieht, berichtet er im folgenden Interview.

Interview mit Frank Moses, Datenschutzzentrum Saarland

Das Unabhängige Datenschutzzentrum Saarland hat sich im Oktober 2018 zur Einführung des Standards ISIS12 entschlossen.

Herr Moses, was waren die Beweggründe für die Einführung?
Angesichts der zunehmenden Komplexität und Vernetzung der IT, aber auch der immer größeren Abhängigkeit der Organisation von dieser Technik, war es praktisch unumgänglich, ein Informationssicherheits-Managementsystem einzuführen. Einerseits um unsere IT nach einem geplanten Vorgehen auszurichten, aber auch um unsere Vorbildfunktion als Datenschutzzentrum zu erfüllen – denn Informationssicherheit geht zwar ohne Datenschutz, aber Datenschutz nicht ohne Informationssicherheit.

Warum haben Sie sich gerade für ISIS12 entschieden?
Grundsätzlich ist ISIS12 ein sehr guter und auch vergleichsweise einfacher Einstieg für ein entsprechendes System und dessen nachhaltige Umsetzung, dieser Einstieg ist uns mit dem Zertifikat gelungen. Ich bin der Ansicht, dass dieses Regelwerk besonders gut die Bedürfnisse kleinerer Organisationen trifft, was nicht heißen soll, dass es nicht auch für größere Unternehmen äußerst nützlich sein kann.

Welchen Aufwand mussten Sie für die Einführung bzw. die Vorbereitung auf die Zertifizierung nach ISIS12 betreiben?
Der Aufwand für den Aufbau und Etablierung des Systems blieb recht überschaubar. Alle notwendigen Aufgaben konnten in den täglichen Ablauf integriert werden. Jedoch muss ich an dieser Stelle ehrlicherweise sagen, dass ich als Projektleiter über eine entsprechende Expertise bzgl. der Einführung von Managementsystemen verfüge – vor diesem Hintergrund war kein externer Berater notwendig. Nichtsdestotrotz empfehle ich bei Einführung von ISIS12 von Anbeginn einen Berater mit ins Boot zu nehmen.

Sie hatten aber schon einige Hürden im Zuge der Einführung von ISIS12 zu überwinden, oder?
Ja, durchaus. Die wesentlichen Hürden bei der Implementierung von ISIS12, wenn man das so nennen will, steckten in der Umsetzung des Schrittes 5 – IT-Servicemanagementprozesse. Hier lag der Schwerpunkt darauf, die bereits in der Realität ablaufenden Prozesse (z.B. Änderungsprozesse wie On-Off-Boarding) in Richtlinien und Prozessdokumente zu gießen, und diese dann für das Audit als dokumentierten Nachweis bereitzulegen. Aber damit wir uns nicht falsch verstehen: Solche Dokumente werden natürlich nicht nur für das Audit erstellt – sie dienen vielmehr der Organisation als Basis für die täglichen Projektabläufe und gleichzeitig als Fundament für den kontinuierlichen Verbesserungsprozess.

Können Sie konkretisieren, auf welche Weise Ihre Organisation hier profitiert hat?
Es war tatsächlich gerade der Schritt 5 IT-Servicemanagement, der im Ergebnis das Unabhängige Datenschutzzentrum Saarland weiterentwickelt hat. Sämtliche Prozesse sind nun schriftlich dokumentiert und können von fachlich versierten externen Dritten umgesetzt bzw. nachvollzogen werden. Das heißt: Die Organisation hat dieses Prozesswissen nunmehr „schwarz auf weiß“. Hiermit wurde auch die Grundlage für mögliche Managemententscheidungen geschaffen, wie Outsourcing, Prozessverbesserung etc. Genau das ist auch ein wesentliches Feature von ISIS12, etwas, das es von anderen Vorgehensmodellen für den Aufbau und die Etablierung eines Managementsystems unterscheidet.

Welchen weiteren Nutzen hat ISIS12 für Ihre Organisation?
Lassen Sie mich das anhand einer knappen Aufzählung beantworten: Wir haben

  • dokumentierte Prozesse und einen Gesamtüberblick,
  • eine nachhaltige Umsetzung der Prozesse,
  • Messbarkeit der Prozessumsetzung
  • eine Übersicht über die umgesetzten und noch offenen technischen-organisatorischen Maßnahmen und
  • einen Managementreport als Grundlage für weitere technische, organisatorische und kaufmännische Entscheidungen,
  • kurz gesagt: Wir haben eine schlanke Verwaltung!

Wie zufrieden waren Sie denn mit der DQS als Ihr Zertifizierer?
Ihr Auditor hat uns professionell durch das Zertifizierungsaudit geführt. Gerade der externe Blick des Auditors hat die eine oder andere Verbesserungsmöglichkeit aufgezeigt. Vor diesem Hintergrund wollen wir uns auch zukünftig mit der DQS und dem Auditor entwickeln und unser ISMS spürbar verbessern.

Das freut uns – in welche Richtung planen Sie denn für die Zukunft, evtl. ein Upgrade auf ISO 27001?
Für uns sind jetzt noch einige Nacharbeiten und Verbesserungen auf der Planungs- und Strategieseite umzusetzen. Vor diesem Hintergrund wollen wir das Jahr nach der ISIS12 Zertifizierung nutzen, um diese offenen Punkte abzuarbeiten und dann entscheiden, wie es weitergeht. ISO 27001 könnte für das Unabhängige Datenschutzzentrum Saarland durchaus eine Option sein.

Herr Moses, wir bedanken uns für das interessante Gespräch!

ZAHLEN, DATEN, FAKTEN

Das Unabhängige Datenschutzzentrum Saarland ist der Sitz der Landesbeauftragten für Datenschutz und Informationsfreiheit des Saarlandes. Sie überwacht die Einhaltung datenschutzrechtlicher Vorschriften bei öffentlichen und nichtöffentlichen Stellen in ihrem Bundesland. Gleichzeitig berät sie diese Stellen im Rahmen ihres Aufgabenbereichs, z.B. zur Verbesserung des Datenschutzes.

(Privat-)Personen können sich direkt an die Landesbeauftragte wenden, wenn sie sich durch die Verarbeitung ihrer Daten in ihren Rechten verletzt fühlen. Zu den Aufgaben gehören also auch die Beanstandung möglicher Verstöße oder Mängel bei öffentlichen Stellen bzw. die Anordnung von Maßnahmen bei nichtöffentlichen Stellen sowie die Verfolgung und Ahndung von Ordnungswidrigkeiten in der Eigenschaft als Datenschutzaufsichtsbehörde.

Weitere Informationen

ISIS12 – Informationssicherheit in 12 Schritten

ISIS12 wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und im Dezember 2012 vom Bayerischen IT-Sicherheitscluster erstmals herausgegeben. Das detaillierte Vorgehensmodell enthält klare Handlungsanweisungen in zwölf Schritten, die vergleichsweise einfach nacheinander bearbeitet werden können. Begleitet wird die Einführung durch ein Handbuch und eine praxisorientierte Software, was gerade Kommunen und mittelständischen Unternehmen die Umsetzung erleichtert. So können alle Anforderungen mit vergleichsweise geringer externer Unterstützung umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden. ISIS12 liegt aktuell in der Version 2.0 vor.

Weiterführende Informationen zu ISIS12

  • pragmatischer Einstieg in die Informationssicherheit
  • überschaubarer Aufwand und Kosten
  • ideale Vorbereitung hin zu ISO 27001
Jetzt mehr erfahren!

Was können wir für Sie tun?

Seit mehr als 30 Jahren stehen wir mit unparteilichen Audits und Zertifizierungen für die Weiterentwicklung von Managementsystemen und Prozessen. Gegründet 1985 als erster Zertifizierer für Managementsysteme in Deutschland, zählt die DQS heute zu den führenden Auditspezialisten. 29.000 zertifizierte Managementsysteme von Organisationen aller Größen und Branchen sind Ausdruck unserer Erfolgsgeschichte als Premiumdienstleister und machen uns zur größten Tochter der international agierenden DQS Gruppe.

In dynamischen Märkten setzen wir immer neue Maßstäbe: Wir auditieren nach rund 100 anerkannten Normen und Regelwerken, nach branchenspezifischen Standards oder maßgeschneidert nach Ihren individuellen Vorgaben.

Unser Anspruch beginnt dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort!