Unterschied zwischen den Versionen

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche
({{Sandra-Wiesbeck}})
(Nützliche Links: * NIS-Richtlinie)
 
Zeile 28: Zeile 28:
 
* [[E-Government:ISIS12-Zertifizierung|ISIS12-Zertifizierung]]
 
* [[E-Government:ISIS12-Zertifizierung|ISIS12-Zertifizierung]]
 
* [[E-Government:IT-Kompetenz in Behörden|IT-Kompetenz in Behörden]]
 
* [[E-Government:IT-Kompetenz in Behörden|IT-Kompetenz in Behörden]]
* [[E-Government:Penetrationstest|Penetrationstest]]
+
* [[Gastbeitrag:NIS-Richtlinie|NIS-Richtlinie]]
 
* [[E-Government:Telemedien im IT-Sicherheitsgesetz|Telemedien im IT-Sicherheitsgesetz]]
 
* [[E-Government:Telemedien im IT-Sicherheitsgesetz|Telemedien im IT-Sicherheitsgesetz]]

Aktuelle Version vom 24. Juli 2019, 14:03 Uhr

Das nächste Ziel ist die ISO/IEC-27001-Zertifizierung

© Bayerischer IT-Sicherheitscluster e.V.

Von Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster

ISIS12 ist ein Management­system für IT-Sicherheit (ISMS), das sich dank seiner Praxis­freundlichkeit auch für kleine Kommunen gut eignet. Aktuell wird es in Richtung ISO/IEC-27001-Zertifizierung modernisiert und soll als ISIS12 2.0 noch mehr Praxisnähe beweisen.

Informationssicherheit in zwölf einfachen Schritten

Gerade kleine und mittlere Kommunen stehen personell und inhaltlich oft vor echten Herausforderungen, wenn es um die Sicherheit der Daten ihrer Bürger geht. Helfen können in Sachen Cybersicherheit Systeme wie ISIS12, das Maßnahmen zur Erhöhung der Informationssicherheit mit solchen zur Umsetzung der Datenschutzgrundverordnung (EU-DSGVO) kombiniert. ISIS12 wurde im Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. unter der Prämisse entwickelt, ein ISMS zu schaffen, das durch seine gute Skalierbarkeit Organisationen ganz unterschiedlicher Größe in die Lage versetzt, das System mit einer hohen Erfolgsquote selbst einzuführen. So entstand eine Struktur aus zwölf Schritten, die ganz konkrete und nachvollziehbare Handlungsanweisungen enthalten und dem Modell seinen Namen gaben. Zum System gehören eine unterstützende Software und ein Handbuch, sodass auch kleinere Kommunen oder Firmen mit wenigen Mitarbeitern viele Maßnahmen in Eigenregie umsetzen können.

ISIS12-Schritte.jpg ISIS12 ist ein einfacher, zwölfstufiger Workflow zur Etablierung eines Informations­sicherheits­management­systems (Bild: Bayerischer IT-Sicherheitscluster e.V.)

ISIS12 hat sich in den vergangenen Jahren zu einem Standard unter den ISMS entwickelt. Es lässt es sich mit relativ geringer externer Unterstützung einführen, wie die hohe Fertigstellungsquote zeigt. Zuletzt wurde ein Zusatzmodul zur Umsetzung der DSGVO integriert. Ein wirksames Werkzeug also, besonders wenn – wie in Bayern – alle Kommunen verpflichtet sind, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen. Dabei geht es nicht nur um den Schutz von IT-Systemen und personenbezogenen Daten in elektronischer Form, sondern auch um Papierunterlagen.

Die wichtigsten Neuerungen von ISIS12 2.0

Bereits ISIS12 bietet eine gut verständliche Führung, um alle Bereiche einer Kommune einzubeziehen. In die neue Version ISIS12 2.0, die gerade unter Federführung von BSP-Security in Regensburg entwickelt wird, fließen die Erfahrungen aus zahlreichen Projekten ein, auch Best-Practice-Beispiele und der Wunsch zahlreicher Anwender, von ISIS12 möglichst einfach zu einer ISO/IEC-27001-Zertifizierung zu kommen. Die Nutzerfreundlichkeit bleibt dabei erhalten.

Besonderer Wert wird bei der Weiterentwicklung von ISIS12 darauf gelegt, dass Anwender ihre bereits erhobenen Datenbestände einfach in die Version 2.0 übernehmen können. Die bislang verwendeten Rahmenbedingungen bleiben unverändert, Nutzer müssen sich nicht umstellen. Die Struktur mit Handbuch, Katalog und unterstützender Software hat sich bewährt und wird beibehalten. Wie bisher sollen auch in Zukunft alle Dokumente für Kommunen kostenfrei zur Verfügung stehen.

Serie: ISIS12
Die Einführung erklärt, warum Kommunen in der Pflicht sind, weshalb der Bayerische IT-Sicherheitscluster ISIS12 entwickelt hat und wie das System funktioniert. Der Folgebeitrag erläutert die Förderbedingungen in Bayern (seit Kurzem liegt die Bearbeitung der ISIS12-Anträge allerdings bei der Re­gie­rung von Oberfranken). Anschließend geht Sandra Wiesbeck noch genauer auf die Anforderungen an kommunale Informationssicherheit ein. Dazu gibt es einen Report von der ISIS12-Zertifizierung in Dingolfing, einen ISIS12-Anwenderbericht aus dem Landkreis Neu-Ulm und ein Interview zum EU-DSGVO-Modul. Ein Sonderbeitrag informiert außerdem über den aktuellen Stand der Update-Entwicklung zu ISIS12 2.0, das die ISO/IEC-27001-Zertifizierung in den Blick fasst.

Roadmap 2019: Von ISIS12 2.0 zur ISO/IEC 27001

Die größte Neuerung besteht darin, dass die IT-Grundschutz Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht mehr Grundlage der empfohlenen Sicherheitsmaßnahmen sein werden. Vielmehr orientiert sich die Weiterentwicklung in Richtung der ISO/IEC-27001-Zertifizierung. Konkret bedeutet dies, dass mehrere Schritte im Vorgehensmodell an die ISO/IEC 27001 angepasst werden: In Schritt 8 wird beispielsweise eine optionale Risikoanalyse eingearbeitet. Zu den Schritten 10 bis 12 gehören künftig interne Audits, die Messung der Sicherheit und der Prozess der kontinuierlichen Verbesserung (KVP). Das Zusatzmodul ISIS12/DSGVO, das bereits im Einsatz ist, wird auch für die Version 2.0 angeboten – als sinnvoller Beitrag zur Integration des Datenschutz­management­systems in das ISMS.

Dem Bayerischen IT-Sicherheitscluster e.V. ist es wichtig, mit ISIS12 2.0 ein Produkt auf den Markt zu bringen, das nicht nur die bisherigen Ansprüche an ISIS12 erfüllt, sondern noch einen Schritt weiter geht. Daher wird die Entwicklung noch etwas Zeit benötigen. Aktuell wird mit der Veröffentlichung im dritten Quartal 2019 gerechnet.

MW-KITK1709 ID123 ISIS12 001 Wiesbeck.jpg

Sandra Wiesbeck ist Vorstandsvorsitzende und Leiterin des Bayerischen IT-Sicherheitsclusters. Der Zusammenschluss von IT- und Anwenderunternehmen, Universitäten und Instituten erarbeitet in Netzwerken und Projektgruppen konkrete Security- und Safety-Lösungen für den Mittelstand und überschaubare Organisationen.


Sandra Wiesbeck, Bayerischer IT-Sicherheitscluster e.V., Franz-Mayer-Str. 1, 93053 Regensburg, Tel: 0941-60488918, sandra.wiesbeck@it-sec-cluster.de, www.it-sicherheit-bayern.de

Nützliche Links