DQS im Dialog
DQS Website Abonnieren

ISIS12 2.02 – Update ebnet Weg zu ISO 27001

Für den Einstieg in die Informationssicherheit ist ISIS12 seit bald sieben Jahren eine gute Wahl. Das speziell für den Bedarf von KMU bzw. Kommunen und Verwaltungen dieser Größe ausgelegte Regelwerk stößt jedoch mit zunehmender Komplexität der IT-Strukturen an seine Grenzen. Unternehmen wünschen sich deshalb einen leichteren Umstieg auf ISO 27001. Dem kommt die aktuelle Revision zu ISIS12 2.0 nun nach – die überarbeitete Fassung soll Ende 2019 erscheinen.
© Fotolia Von ISIS12 zu ISO 27001

ISIS12 (Informations-Sicherheitsmanagement-System in 12 Schritten) wurde vom Netzwerk für Informationssicherheit im Mittelstand entwickelt und im Dezember 2012 vom Bayerischen IT-Sicherheitscluster erstmals herausgegeben. Das Regelwerk bietet in 12 konkreten Schritten klare Handlungsanweisungen, unterstützt durch ein Handbuch und ein praxisorientiertes Softwaretool. So können alle Anforderungen mit vergleichsweise geringer externer Unterstützung umgesetzt und die grundlegenden Gefährdungen für die Informationssicherheit abgedeckt werden.

Revision von ISIS12 zur 2.02

Das Regelwerk ist eine gute Lösung für die genannten Zielgruppen. Sobald aber die IT-Struktur komplexer oder der normale Schutzbedarf überschritten wird, stößt es an Grenzen. ISIS12-zertifizierte Unternehmen sind dann gezwungen, einen Umstieg auf die internationale Norm ISO 27001 vorzunehmen. Dies ist allerdings mit einem höheren Aufwand verbunden. Dennoch kann dieser Schritt sehr sinnvoll sein, wie die Praxis zeigt: Die ENTERBRAIN Software AG hat ihr Managementsystem in 2018 auf diese Weise erfolgreich weiterentwickelt.

Die Revision zu ISIS12 2.02 berücksichtigt nun stärker diesen Umstand und erweitert das Regelwerk zur Annäherung an ISO 27001 um einige Aspekte. Die Ergänzungen kommen vor allem in den Schritten 8 bzw. 10 bis 12 zum Tragen:

  • Durchführung einer Risikoanalyse (optional)
  • Durchführung eines internen Audits
  • Messung der Sicherheit
  • Implementierung eines Prozesses zur fortlaufenden Verbesserung

Die Version 2.02 basiert nach Angaben des Bayerischen IT-Clusters auf der Norm ISO/IEC 27001. Nicht mehr, wie bisher, auf dem BSI-Katalog zum IT-Grundschutz. Die bisherige Struktur des Regelwerks wurde jedoch beibehalten, so dass die Überführung auf die neue Version problemlos möglich ist.

Die erfolgreiche Einführung können sich Unternehmen durch die DQS zertifizieren lassen. Diese Partnerschaft mit dem Bayerischen IT-Sicherheitscluster besteht seit 2012 im Rahmen der Regelsetzung und der Zertifizierung von Informationssicherheitsstandards.

Upgrade auf ISO 27001: Welche Deltas bleiben?

Neben der evtl. notwendigen Implementierung der Anforderungen aus der gemeinsamen Grundstruktur der ISO-Managementsystemnormen (High Level Structure – HLS), müssen noch einige, nicht unwesentliche Anforderungen an die Informationssicherheit erfüllt werden. Ein Überblick:

  • Durchführung einer Risikoanalyse (in Version 2.02 optional vorgesehen)
  • Umsetzung der aus der Risikoanalyse abgeleiteten Sicherheitsmaßnahmen, und zwar mit Blick auf die Maßnahmenziele aus Annex A von ISO 27001 (A.5 – A.18)
  • Erstellung einer Erklärung zur Anwendbarkeit (SOA)
  • Einrichtung eines Prozesses zur fortlaufenden Messung der Effizienz des ISMS
  • Erstellung und Aufrechterhaltung dokumentierter Information zur fortlaufenden Weiterentwicklung bzw. Verbesserung des ISMS
Informationssicherheit ISO 27001 Whitepaper

Whitepaper

ISO 9001 & ISO 27001 –
In Zeiten der Digitalisierung

  • Wie viel Papier braucht Qualität?
  • Der richtige Umgang mit dokumentierter Information
  • Dokumentierte Information wirksam schützen
  • ISO 27001: Basis für eine sichere Digitalisierung
Jetzt herunterladen!

Fazit

Für die Zielgruppe KMU sowie öffentliche Verwaltungen und Kommunen ist das Regelwerk ISIS12 ein guter Einstieg in die Informationssicherheit. Es kann vergleichsweise einfach eingeführt werden. Komplexere Unternehmensstrukturen verlangen jedoch nach einem entsprechenden Schutz, wie ihn z.B. die internationale Norm ISO 27001 bietet. Die neue Version ISIS12 2.02 erleichtert mithilfe neu aufgenommener Aspekte eine Migration auf die internationale Norm ISO 27001. Die DQS ist durch die DAkkS (Deutsche Akkreditierungsstelle GmbH) für ISO/IEC 27001 akkreditiert.

DQS. The Audit Company.

Die DQS, im Jahr 1985 als Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen mbH gegründet, trägt aus gutem Grund bis heute das „Q“ in ihrem Namen – auch wenn aus den Qualitätssicherungssystemen von einst längst Managementsysteme geworden sind. Denn die DQS begutachtet im ganzheitlichen Sinn mit weltweit etwa 1.800 Mitarbeitern nach allen führenden Managementsystemnorm und anerkannten Standards. Unser vollumfängliches Leistungsspektrum finden Sie hier.