CISIS12

Dieser Artikel wurde wegen inhaltlicher Mängel auf der Qualitätssicherungsseite der Redaktion Informatik eingetragen. Dies geschieht, um die Qualität der Artikel aus dem Themengebiet Informatik auf ein akzeptables Niveau zu bringen. Hilf mit, die inhaltlichen Mängel dieses Artikels zu beseitigen, und beteilige dich an der Diskussion! (+)

Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein Framework zur Einführung und Umsetzung eines Information Security Management Systems (ISMS), das vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben wird. CISIS12 besteht aus drei Dokumenten: einer Norm, einem Handbuch mit der Beschreibung des Vorgehensmodells sowie einem Baustein- und Maßnahmenkatalog^[1]. Seit 2023 gibt es zudem einen ergänzenden Katalog für besonders hohe Sicherheitsanforderungen. Das Framework wurde speziell für den Einsatz in Kommunen und Kleinen und Mittleren Unternehmen (KMU) entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". CISIS12 ergänzt den Vorgänger ISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten) um eine zusätzliche Schicht mit Compliance-Aspekten und gibt somit der dritten Version des Frameworks den neuen Namen CISIS12.

Das Vorgehensmodell ist namensgebend, da es zwölf auszuführende Schritte vorgibt^[2]:

1. Leitlinie erstellen
2. Beschäftigte sensibilisieren
3. Informationssicherheits Team aufbauen
4. IT-Doku Struktur festlegen
5. IT-Service-Management-Prozesse
6. Compliance, Prozesse und Anwendungen
7. IT-Struktur analysieren
8. Risikomanagement
9. Soll-Ist-Vergleich
10. Umsetzung planen und umsetzen
11. Internes Audit
12. Revision

Die Schritte werden kontinuierlich, gemäß eines PDCA-Zyklus durchlaufen.

Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt.

Einige wichtige Prozesse bei CISIS12 sind:

• Risikomanagementprozess: Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung, Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit. Dieser Prozess hilft dabei, potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.
• Incident-Managementprozess: Der Incident-Managementprozess umfasst die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Hierbei geht es darum, schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren, um Schäden zu minimieren.
• Change-Managementprozess: Der Change-Managementprozess regelt die Umsetzung von Änderungen an IT-Systemen oder Prozessen, um sicherzustellen, dass diese Änderungen keine negativen Auswirkungen auf die Informationssicherheit haben.
• Kontinuierlicher Verbesserungsprozess: Der kontinuierliche Verbesserungsprozess (KVP) umfasst die ständige Überprüfung und Verbesserung der ISMS-Prozesse, um sicherzustellen, dass sie den sich ändernden Anforderungen und Bedrohungen gerecht werden.
• Schulungs- und Sensibilisierungsprozess: Der Schulungs- und Sensibilisierungsprozess umfasst Schulungen und Awareness-Kampagnen, um das Sicherheitsbewusstsein und -wissen der Mitarbeiter zu verbessern.
• Überwachungs- und Messprozess: Der Überwachungs- und Messprozess umfasst die Überwachung der Umsetzung der ISMS-Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.

Diese Prozesse sind eng miteinander verknüpft und bilden zusammen ein umfassendes System zur Gewährleistung der Informationssicherheit in einer Organisation.

CISIS12 ist unabhängig zertifizierbar.

Bis zur Version 3 wurde der Name ISIS12 verwendet.

Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist die frühere Version des Modells zur Einführung eines Information Security Management System (ISMS). Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit.

ISIS12 war eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS.

Auch der Gesetzgeber hat die Notwendigkeit von Informationssicherheit erkannt und entsprechende Gesetze erlassen (IT-Sicherheitsgesetz, Bayerisches E-Government Gesetz Art. 11). Außerdem ergeben sich auch aus anderen gesetzlichen Anforderungen Umsetzungshinweise zur Informationssicherheit (z. B. DSGVO, GmbH-Gesetz §43 Abs. 1, Basel II, S-Ox, Telemediengesetz, Aktiengesetz §91 Abs. 2 & § 93 Abs. 2, Handelsgesetz §317 Abs. 4 uvm.), meist wird hier das Thema Risiko oder Datenverlust als Basis herangezogen.

Schwierigkeiten bei der praktischen Einführung und Umsetzung eines ISMS bestehen erfahrungsgemäß unter anderem in personellen Engpässen, mangelndem Fachwissen und der Überlastung der meist kleinen IT-Abteilungen.

Grundgedanke bei der Entwicklung von ISIS12 war es daher, die Lücke zwischen Notwendigkeiten und organisatorisch Leistbarem zu schließen. Als Resultat dieser Überlegungen entstand ein Modell in zwölf konkreten Schritten^[3], abgeleitet aus IT-Grundschutz und der Norm ISO/IEC 27001.

Die ursprüngliche Entwicklung wurde vom bayerischen Staatsministerium für Wirtschaft, Infrastruktur, Verkehr und Technologie über BICCnet gefördert.

Zudem war ISIS12 im Rahmen verschiedener Initiativen förderfähig:

• Förderung der Informationssicherheit in bayerischen Kommunen^[4]
• Digitalbonus.Bayern^[5]
• Förderung der Informationssicherheit in saarländischen Kommunen^[6]

Der IT-Planungsrat hat ISIS12 offiziell für den Einsatz in der kommunalen Sicherheit empfohlen.^[7] Dies bedeutet, dass sich neben dem BSI IT-Grundschutz und der ISO 27001 ISIS12 insbesondere für die Einführung in kleinen und mittleren Kommunalverwaltungen eignet. Das Netz „Informationssicherheit für den Mittelstand (NIM)“ des Bayerischen IT-Sicherheitsclusters e.V. hat mit ISIS12 ein praktikables Vorgehen erarbeitet, das in zwölf überschaubaren Schritten den Einstieg in Entwicklung und Gestaltung von Informationssicherheitsleitlinien aufzeigt.

Ein vom Freistaat Bayern bei Fraunhofer AISEC in Auftrag gegebenes Gutachten^[8] bestätigt ebenfalls, dass sich ISIS12 an der BSI IT-Grundschutzmethodik orientiert und die Mindestanforderungen des IT-Planungsrats an ein ISMS erfüllt. Die erforderlichen Sicherheitsmaßnahmen können mit ISIS12 bei kleineren und mittleren Kommunen mit bis zu 500 Mitarbeitern als Einstieg in ein ISMS vergleichsweise leicht umgesetzt werden. Insbesondere eigne sich ISIS12 auch als Grundlage für die spätere Einführung eines ISMS auf Basis von ISO 27001 oder des BSI IT-Grundschutzes.

• CISIS12 – Compliance und Informationssicherheit in 12 Schritten
• Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (vom 30. März 2015; auf der Webseite des IT-Planungsrats)
• ISIS12/CISIS12 - ein Informations-Sicherheitsmanagement System in 12 Schritten

1. ↑ CISIS12® Werkzeuge. In: CISIS12®. Abgerufen am 8. April 2025. 
2. ↑ Redaktion IT-SICHERHEIT (cs): In zwölf Schritten zum ISMS. 4. September 2023, abgerufen am 8. April 2025 (deutsch). 
3. ↑ Andreas Reichelt: Verbesserte Datensicherheit. Tele Regional Passau 1 (TRP1), abgerufen am 24. Oktober 2020. 
4. ↑ Schutz der Öffentlichen Netze. Abgerufen am 17. Juli 2018. 
5. ↑ Digitalbonus – Digitalbonus Bayern. Abgerufen am 17. Juli 2018. 
6. ↑ Pressemitteilung Saarland heute | Saarland.de. Abgerufen am 17. Juli 2018. 
7. ↑ IT-Planungsrat Entscheidung 2013/01 - Steuerungsprojekt „Leitlinie Informationssicherheit“ (Memento vom 9. Februar 2015 im Internet Archive)
8. ↑ Gutachten zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung (Fraunhofer) (PDF; 602 kB)