- 2. April 2019 | Isabelle Lackinger | Allgemeine News
Die ISIS12- Methodik gilt als gute Alternative zu den etablierten Managementsystemen der ISO27001 und des BSI IT-Grundschutzes. Die Methodik kann es als Vorstufe bei der Einführung „höherer“ Systeme genutzt werden.
Großwallstadt, 02.04.2019
Die ISIS12-Methodik wurde vom Bayerischen IT-Sicherheitscluster e.V. entwickelt und beschreibt die „einfache“ Einführung eines Informationssicherheitsmanagementsystems in 12 Schritten (ISIS12). Bei der Auswahl der Sicherheitsmaßnahmen orientiert sich ISIS12 stark an dem BSI IT-Grundschutz, weshalb sie auch schon mal mit dem Begriff „IT-Grundschutz light“ in Verbindung gebracht wird. Dabei liegt genau darin ihr Vorteil. Mit einem risikobasierten Ansatz und ihrer verständlichen Anleitung zum Selbermachen stellt sie besonders für kleine und mittelständische Unternehmen (KMUs) sowie für öffentliche Verwaltungen ein schlankes Verfahren zur Einführung und Verbesserung der Informationssicherheit dar. Wer sich für die Migration zur ISO27001 entschließt, kann dabei auf den Grundlagen aufbauen, die mit der Einführung eines ISMS nach ISIS12 geschaffen wurden.
Gemeinsamkeiten nutzen.
Vor allem in der Initialisierungsphase (Schritte 1 – 2 der ISIS12-Mehtodik) und der Aufbau- und Ablauf-Organisation (Schritte 3 – 5) wird die Basis für ein ISMS gelegt und wir können von den folgenden Gemeinsamkeiten der unterschiedlichen Methodiken profitieren. Dazu zählen zum Beispiel:
- Unternehmensleitlinie für Informationssicherheit („Information Security Policy“)
- Definition und Abgrenzung des Anwendungsbereichs
- Sensibilisierungskonzept für Mitarbeiter („Awareness Trainings“)
- Rollen und Verantwortlichkeiten
- Grundlage für (IT-) Dokumentation
- Definition von Prozessen der Informationssicherheit
- Der Gedanke der kontinuierlichen Verbesserung (PDCA Zyklus).
Diese Gemeinsamkeiten gilt es bei der Migration zu nutzen und die entsprechenden Unterschiede zu identifizieren bzw. zu beachten. Als größter Unterschied zwischen den beiden Methoden ist sicherlich die Risikoanalyse zu nennen, die bei ISIS12 indirekt gegeben ist und nach ISO27001 grundsätzlich und als Voraussetzung für das weitere Vorgehen durchzuführen ist.
Hilfsmittel bei der Migration.
Die Anforderungen aus der ISO27001, die s.g. „Control Objectives“ und „Controls“, sind minimalistisch abstrakt formuliert und erlauben eine gewisse Flexibilität bzw. organisationsorientierte Angemessenheit bei der Umsetzung. So finden viele der konkreten ISIS12-Maßnahmen Wiederverwendung und können den entsprechenden „Controls“ mithilfe von bereits angefertigten und frei verfügbaren Tabellen zugeordnet werden. Es empfiehlt sich bei der Zuordnung und der ergänzenden Auswahl an Maßnahmen auf professionelle Beratungsunterstützung zurückzugreifen, wie es beispielsweise die Applied Security GmbH mit ihren erfahrenen Beratern für Informationssicherheit anbietet.
