DQS im Dialog
DQS Website Abonnieren

ISIS12 2.0 – Update ebnet Weg zu ISO 27001

Für den Einstieg in die Informationssicherheit ist ISIS12 seit bald sieben Jahren eine gute Wahl. Das speziell für den Bedarf von KMU bzw. Kommunen und Verwaltungen dieser Größe ausgelegte Regelwerk stößt jedoch mit zunehmender Komplexität der IT-Strukturen an seine Grenzen. Unternehmen wünschen sich deshalb einen leichteren Umstieg auf ISO 27001. Dem kommt die aktuelle Revision zu ISIS12 2.0 nun nach – die überarbeitete Fassung soll Ende 2019 erscheinen.
© Fotolia Von ISIS12 zu ISO 27001

ISIS12 (Informations-Sicherheitsmanagement-System in 12 Schritten) wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und im Dezember 2012 vom Bayerischen IT-Sicherheitscluster erstmals herausgegeben. Das Regelwerk zur Einführung eines Informationssicherheits-Managementsystems (ISMS) basiert derzeit noch auf dem IT-Grundschutz-Katalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Es bietet in 12 konkreten Schritten klare Handlungsanweisungen, unterstützt durch ein Handbuch und ein praxisorientiertes Softwaretool. So können alle Anforderungen mit vergleichsweise geringer externer Unterstützung umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden.

Revision von ISIS12 zur 2.0

Das Regelwerk ist eine gute Lösung für die genannten Zielgruppen. Werden deren IT-Strukturen mit der Zeit aber komplexer oder wird der normale Schutzbedarf überschritten, stößt es an Grenzen. ISIS12-zertifizierte Unternehmen sind dann gezwungen, einen Umstieg auf ISO 27001 vorzunehmen, was allerdings mit entsprechendem Aufwand verbunden ist. Dennoch kann dieser Schritt sehr sinnvoll sein, wie die Praxis zeigt: Die ENTERBRAIN Software AG hat ihr Managementsystem in 2018 auf diese Weise erfolgreich weiterentwickelt.

Die Revision zu ISIS12 2.0 berücksichtigt nun stärker diesen Umstand und erweitert das Regelwerk zur Annäherung an ISO 27001 um einige Aspekte. Die Ergänzungen werden vor allem in den Schritten 8 bzw. 10 bis 12 zum Tragen kommen werden:

  • Durchführung einer Risikoanalyse (optional)
  • Durchführung eines internen Audits
  • Messung der Sicherheit
  • Implementierung eines Prozesses zur fortlaufenden Verbesserung

Die Version 2.0 wird nach Angaben des Bayerischen IT-Clusters künftig auf ISO/IEC 27001 basieren und nicht mehr auf dem BSI-Katalog zum IT-Grundschutz. Die bisherige Struktur wird jedoch beibehalten, so dass die Überführung auf die neue Version problemlos möglich sein wird. Das bereits seit einiger Zeit angebotene Zusatzmodul zur Erfüllung der Anforderungen der EU-Datenschutz-Grundverordnung (DS-GVO) wird weiterhin angeboten.

Die erfolgreiche Einführung können sich Unternehmen exklusiv durch die DQS zertifizieren lassen. Diese Partnerschaft mit dem Bayerischen IT-Sicherheitscluster besteht seit 2012 im Rahmen der Regelsetzung und der Zertifizierung von Informationssicherheitsstandards.

Upgrade auf ISO 27001: Welche Deltas bleiben?

Neben der evtl. notwendigen Implementierung der Anforderungen aus der gemeinsamen Grundstruktur der ISO-Managementsystemnormen (High Level Structure – HLS), müssen noch einige, nicht unwesentliche Anforderungen an die Informationssicherheit erfüllt werden (Überblick):

  • Durchführung einer Risikoanalyse (in Version 2.0 optional vorgesehen)
  • Umsetzung der aus der Risikoanalyse abgeleiteten Sicherheitsmaßnahmen, und zwar mit Blick auf die Maßnahmenziele aus Annex A von ISO 27001 (A.5 – A.18)
  • Erstellung einer Erklärung zur Anwendbarkeit (SOA)
  • Einrichtung eines Prozesses zur fortlaufenden Messung der Effizienz des ISMS
  • Erstellung und Aufrechterhaltung dokumentierter Information zur fortlaufenden Weiterentwicklung bzw. Verbesserung des ISMS

Whitepaper

ISO 9001 & ISO 27001 –
In Zeiten der Digitalisierung

  • Wie viel Papier braucht Qualität?
  • Der richtige Umgang mit dokumentierter Information
  • Dokumentierte Information wirksam schützen
  • ISO 27001: Basis für eine sichere Digitalisierung
Jetzt herunterladen!

Fazit

Für die Zielgruppe KMU sowie öffentliche Verwaltungen und Kommunen ist das Regelwerk ISIS12 ein guter Einstieg in die Informationssicherheit und kann vergleichsweise einfach eingeführt werden. Komplexere Unternehmensstrukturen verlangen jedoch nach einem entsprechenden Schutz, wie ihn z.B. die internationale Norm ISO 27001 bietet. Die nach Überarbeitung voraussichtlich Ende 2019 erscheinende Version ISIS12 2.0 wird deshalb mithilfe neu aufgenommener Aspekte eine Migration auf ISO 27001 erleichtern. Die DQS ist durch die DAkkS (Deutsche Akkreditierungsstelle GmbH) für ISO 27001 akkreditiert.