Die CISIS12-Norm, das neue Handbuch, der umfangreiche Maßnahmenkatalog und ein unterstützendes Softwaretool versetzen Unternehmen und Kommunen jeder Größe in die Lage, mit vertretbarem Aufwand die eigene Sicherheit zu überprüfen und zu erhöhen.
„Ich habe mich sofort nach der Veröffentlichung intensiv mit CISIS12 auseinandergesetzt, daraufhin umgehend die Weiterbildung besucht und das Modell für meine Beratungstätigkeit adaptiert.“ erläutert Hermann Banse von der Genesis Consulting in Bochum.
„Ein wesentlicher Aspekt ist: Von Beginn an werden alle Beschäftigten sensibilisiert und in das Projekt eingebunden. Nur so kann eine funktionierende Sicherheitskultur etabliert werden“, so Hermann Banse.
Die Einführung eines ISMS bedarf angesichts der derzeitigen Lage kaum einer Begründung. Hermann Banse stellt demzufolge fest:
„Die Nachrichten sind mittlerweile voll von Meldungen zu Cyber-Kriminalität, Schwachstellen und Sicherheitslücken. Es gibt heute keine Organisation mehr, die nicht gefährdet ist. Die sich verändernden Strukturen wie Homeoffice und Cloud Computing tragen das ihre dazu bei.“
Die Vorteile eines ISMS lassen sich problemlos aufzählen. Dazu gehört, dass eine Organisation beispielsweise ihr Gedächtnis strukturiert und zwar durch eine angemessene Dokumentation:
„Alle betrieblichen Prozesse werden dokumentiert, ebenso die eingesetzte IT-Technik als Netzwerkplan inklusive Gebäude- und Büro-Sicherheit. Im Gegensatz zu anderen Modellen beinhaltet CISIS12 auch die Einführung eines IT-Servicemanagements (IT-SM) für alle Wartungs-, Änderungs- und Störungs-Prozesse. Im weiteren Verlauf erfolgt die Risikoanalyse mit Ermittlung von Eintrittswahrscheinlichkeiten, Auswirkungen und Maßnahmen zur Vermeidung oder Verringerung des Risikos.“
Natürlich stellt die Ableitung der richtigen Maßnahmen aus den Erkenntnissen, die die Dokumente liefern, eine Herausforderung dar. Aber mit CISIS12 und geeigneten Tools sei das keine unmögliche Aufgabe, wie Banse beschreibt:
„Der softwaregestützte Soll-Ist – Vergleich liefert den aktuellen Status und das Verbesserungspotenzial. Es folgen die Priorisierung, Konsolidierung und Durchführung der notwendigen Maßnahmen.“
Aber wie jedes Managementsystem lebt auch CISIS12 von Wiederholung und Pflege, Und wie geht das genau? Hermann Banse erläutert die Prozesse:
„In den Schritten 11 und 12 wird ein internes Audit durchgeführt und Revisionstermine werden festgelegt. Damit ist CISIS12 etabliert und als kontinuierlicher Verbesserungsprozess eingeführt
Vor Beginn eines Projekts steht ein gemeinsamer Workshop, sozusagen Schritt 0, in dem wir einen individuellen Projektablaufplan definieren und die notwendige und gewünschte Beraterleistung festlegen. Dies kann auch die Unterstützung bei der Zertifizierung des ISMS beinhalten."
Was also ist nun CISIS12? Was bringt es? Das Fazit Hermann Banses lautet:
„Abschließend: und Ja, mit CISIS12 ist in der Tat ein großer Wurf in der Informationssicherheit mit dem besonderen Fokus auf Machbarkeit und Budget gelungen!“