Informationssicherheit - Überblick
Stichworte
Cyber Threat Intelligence, Cybersecurity, IT-Security, Information
Security,
ISMS, ISO 27001, IT-Grundschutz BSI 200-x, ISIS12, CISO, ISM, ISM, ISB
Worum geht es
Informationen sind wesentliche Unternehmenswerte und liegen
in digitaler Form als Daten in ihren IT-Systemen sowie in analoger
Form als Papierdokumente, Wissen der Mitabeiter, Prozessen,
Standorte oder änliches in ihrem Unternehmen vor.
Werden diese Unternehmenswerte entwendet, verfälscht,
vernichtet, sind über eine kritische Zeit hinaus nicht nutzbar oder
einfach den falschen Personen zugänglich gemacht worden, kann
ein großer und gegebenenfalls kritischer Schaden entstehen, ein
Schaden der Unternehmenswerte.
Diese Werte zu schützen ist Inhalt der Informationssicherheit.
Im Rahmen des Informationssicherheitsmanagements werden
alle Maßnahmen dazu organisiert sowie durchgeführt und durch
ein ISMS unterstützt, das insbesondere zur Dokumentation, dem
kontinuierlichen Verbessern der Informationssicherheit sowie als
Ausgangspunkt von Audits dient.
Begriffe
Cybersecurity: Der Schwerpunkt der Cybersecurity liegt auf
digitalen Informationen und dem Schutz dieser Informationen
gegenüber dem ungewollten Zugriff aus dem Internet.
IT-Sichrheit: Dies ist ein älterer Begriff der primär die IT in das
Zentrum der Sicherheitsbetrachtung gestellt hat und heute als
Synonym für Informationssicherheit genutzt wird.
Informationssicherheit: Der derzeit übergreifende Begriff für alle
Belange und Bereiche Informationen d.h. Unternehmenswerte zu
schützen. Es steht nicht nur primär die IT und digitale
Verarbeitung von Daten im Focus, sondern alle schützeneswerten
Informationen eines Unternehmens.
Daher wird „Informationssicherheit“ als Begriff für die Sicherheit
sämtlicher Unternehmenswerte genutzt.
Alles Synonyme: Grundsätzlich können all diese Begriffe als
Synonyme verwendet werden, denn auch wenn die verwendenten
Begriffe den Focus eingegrenzen, ist dennoch meist die gesamte
Menge an Unternehmenswerten betroffen und lediglich der
Schwerpunkt veschoben.
Wer kümmert sich im Unternehmen darum
In der Regel gibt es eine Person oder ein Team von Personen,
die sich um die Informationssicherheit kümmern.
Diese Rolle wird meist Informationssicherheitsbeauftragter - bzw.
-manager (ISB oder ISM) oder englisch CISO (Chief Information
Security Officer) bzw. ISO (Information Security Officer) oder
einfach Informationssicherheitsmanagement genannt.
Diese Begriffe und Abkürzungen sind weder geschützt noch fest
definiert, so dass sie keine konkreten Verantwortlichkeiten
beschreiben, aber alle die Aufgabe teilen sollten, die Werte des
Unternehmens zu schützen.
Welche Standards zur Informatinssicherheit gibt es
Die Standards zur Einhaltung bestimmter Anforderungen an die
Informationssicherheit sind klar definiert und unterscheiden sich
in der Art des Vorgehens, der Detailtiefe der Vorgaben und in den
Mögllichkeiten, die sie bieten.
Neben der Erhöhung der Informationssicherheit haben diese
Standards auch das Ziel, die Bemühungen um die
Informationsicherheit bewertbar zu machen und bei Einhalten
der Standards ein Zertifizierung zu erreichen bzw. zu erneuern.
All dieser Standards setzen den Aufbau und die Etablierung eines
Informationsmanagementsystems (ISMS) voraus, das über
festgelegte Mechanismen, Dokumentationen, Prozesse und
Prüfungen eine Verbesserung des Sicherheitsniveaus des
betrachteten Unternehmensbereiches zum Zielt hat. Dabei muss
für ein Informationssicherheitsmanagementsystem keineswegs
ein bestimmtes Tool oder eine Datenbank eingesetzt werden. Es
ist grundsätzlich möglich, handschriftliche Dokumente, eine
Textverarbeitung oder eine Tabellenkalkulationstools zu
verwenden. Die Erfahrung hat allerdings gezeigt, dass sich
angepasste Dokumentenmanagementsysteme oder spezielle
Tools/Systeme auf Basis einer Datenbank für den Aufbau und
Betrieb eines ISMS wesentlich besser eignen und den Aufwand,
die Qualität des Informationssicherheitsmanagement sowie die
Kosten im Rahmen zu halten. Nicht zu vergessen ist das oft zweite
ZIel, das mit der Einführung eines ISMS vebunden ist:
Die Zertifizierung des betrachteten Unternehmens-bereiches nach
dem ausgewählten Standard.
Die Zertifierung erhält das Unternehmen durch Prüfung eines
entsprechenden Auditors über festgelegte Vorgaben und
Prozesse.
Ein Auditor wird sich gleich zu Beginn das ISMS zeigen lassen.
Wenn kein geeignetes Tool eingesetzt wird, ist das Risiko, die
Standards nicht einzuhalten deutlich höher, da das Management
der Informations-sicherheit deutlich schwieriger ist. Daher wird
der Auditor das ISMS als solches in besonderen Augenschein
nehmen und insbesondere auf Aktualität, Nachvollziebarkeit und
Vollständigkeit schauen, bevor er mit der „eigentlichen“ Prüfung
beginnt. Gegebenenfalls ist bereits zu diesem Zeitpunkt das Audit
beendet und eine Zertifizierung nicht erreicht.
Auch wenn Sie derzeit keine Zertifizierung anstreben, sondern
vorerst nur für sich dem Thema Informationssicherheit mehr
Aufmerksamkeit schenken wollen, ist der Aufbau eines ISMS und
als Basis ein geeigneter Tooleinsatz anzuraten.
Ein Szenario, das man vermeiden sollte
Sie investieren Zeit und Geld in das Thema
Informationssicherheit, zb. weil es einen konkreten
Sicherheitsvorfall gab, der sich nicht wiederholen soll. Ihre
Investition trägt Früchte.
Sie werden festsellen, dass sich das Thema
Informationssicherheits-management als
Steuerungsmechanismus der Sicherheit allgemein sehr gut eignet
und fordern Berichte zum Thema an. Im nächsten Schritt
bemerken Sie, dass sich das Thema auch zur Bewertung und
Steurerung von Risiken eignet und beschließen, dass das
Informations-management ein wichtiger Managementprozess ist
und als solcher einen festen Platz im obersten Management
haben muss. Parallel hierzu wird klar, dass der Mehrwert nicht
nur für den bisher betrachteten Unternehmensbereich relevant
ist, sondern für die meisten Unternehmensbereiche sinnvoll ist
und ggf. auch noch die hohen Prämien für die z.B. eine
Cyberversicherung reduzieren hilft.
Bis zu diesem Zeitpunkt wurde aus dem einfachen ISMS auf
Einzeldokumentenbasis ein richtiges ISM-System. Bis dahin wurde
das ISMS jedoch bereits 2 bis 4 mal neu aufgebaut.
Cyber Threat Intelligence - Die Speerspitze des Schutzes Ihre Unternemenswerte
Datenschutz | Impressum | Kontakt
|
Wichtige zertifizierungsfähige Standards zur
Informationssicherheit
ISO 27001
Aufbau, Ablauf und Schwerpunkte
Die ISO 2700x ist ein internationaler Standard und
entsprechend wird dieser Standard in internationalen Kontext
häufig eingesetzt.
Den Kern der ISO 2700x bildet das Risikomanagement.
Das Vorgehen ist Top-Down orientiert, d.h. es wird vom Groben
ausgegangen und weiter verfeinert. Der Standard ISO 2700x ist
auf relativ wenigen Seiten beschrieben, gibt kein festes
Vorgehen vor und bietet dem Unternehmen viel Freiraum
dafür aber weniger
Handlungsempfehlungen und detailierte Umsetzungshilfen
Zertifizierung
Die ISO 27001 bietet eine international gültige Zertifizierung
Was spricht dafür:
Internationalität und breite Akzeptanz
Was spricht dagegen:
Gegen den Einsatz der ISO 2700x spricht nichts viel; alledings
sollte sich das jeweilige Unternehmen klar darüber sein, dass
der Aufbau und der Betrieb viel Aufwand bedeutet und eine
Zertifizierung und Rezertifizierung kontinuierlichen Aufwand
erzeugt. Daher ist die Ermittlung des richtigen Scope
(Unternehmensbereich auf den der Standard angewendet
werden soll.) von großer Bedeutung.
Für wen ist die ISO 2700x geeignet
International agierende Unternehmen, die sich in der
kontinuierlichen Verbesserung ihrer Informationssicherheit
engagieren möchten oder als Zulieferer oder Dienstleister eine
Zertifizierung nach ISO 27001 benötigen und entsprechende
Ressourcen in diese Thema stecken können.
BSI 200-x / IT-Grundschutz
Aufbau, Ablauf und Schwerpunkte
Der BSI Standard 200-x (IT-Grundschutz) ist ein nationaler
Standard der primär im deutschsprachigen Raum und
Behördenumfeld eingesetzt wird. Der Kern des BSI 200-x bildet
heute ein festes Vorgehensmodell entlang der
Unternehmensprozese (in der älteren Version 100-x war der
Standard stark auf Behördenstand-orten ausgelegt, der Kern
lag auf dem Aufbau von Standorten räumlich von außen nach
innen). Mit der Version 200-x ist der Standard deutlich
schlanker und handhabbarer geworden.
BSI 200-x füllt mehr als 800 Seiten und ein Kompendium.
Der Ansatz des Standards ist ein Bottom-Up-Vorgehen, d.h. zu
Beginn werden sehr viele Details (Sturkturanalyse)
aufgenommen und danach zu Gruppen zusammengefasst.
Zertifizierung
Der Standard bietet eine Zertifizierung nach BSI, die auch
ausschließlch vom BSI vergeben wird.
Außerdem bietet der Standard eine Zertifizierung nach ISO
27001 auf Basis des IT-Grundschutz.
Was spricht dafür
Der BSI 200-x ist ein Standard mit klarem Vorgehensmodell
und eher festen Strukturen, jedoch bietet dieser Standard ein
paar durchaus positive Eigenschafen wie
- mehrere Vorgehensmodelle in einem Standard
- zwei Zertifizierungsmöglicheiten
- ein auch für andere Standards nützliches Kompendium und
für
Standardsoftware vorgefertigte Module und
Maßnahmenbündel,
die eine eigene Risikoanalyse überflüssig machen können.
Was spricht dagegen
Dem IT-Grundschutz wird nachgesagt, dass er sehr viel
Dokumentations- und Implementierungs aufwand verursacht
und etwas starr sei. (Dies ist sicher nicht von der Hand zu
weisen, dem steht jedoch eine große und ggf. nützliche
Detailtiefe und Angriffspunkte für Maßnahmen entgegen und
auch die Toolunterstützung entschärft diesen ggf. ersten
Eindruck).
Für wen ist die BSI 200-x (IT-Grundschutz) geeignet
Das Vorgehen des Standard verlangt ein sehr strukturiertes
Vorgehen, das jedoch durch ein klares Vorgehensmodell
gestützt wird. Die Bereitschaft dazu sollte vom jeweiligen
Unternehmen daher auch vorhanden sein.
ISIS12 „ISMS in 12-Schritten“
Aufbau, Ablauf und Schwerpunkte
Die ISIS12 hat zum Ziel einen gegenüber der ISO 27001 und BSI
200-x leichtgewichtigeren Ansatz zu verolgen, eine feste
Vorgehensweise in 12 Schritten zu bieten und dennoch eine
ausreichende Detailtiefe zu erreichen.
Die Methodik wird von einem explizit für die ISIS12
entwickeltem Tool begleitet.
Zertifizierung
Eine Zertifizierung nach ISIS12 ist ebenfalls möglich.
Was spricht dafür
DIe ISIS12 ist ein stark methodisch geprägter Standard, der
einerseits eine gute Führung in der Umsetzung und
Anwendung bietet, durch dieses eher starre Vorgehen jedoch
nicht für jeden Unternehmentyp und jede
Unternehmensgröße geeignet sein dürfte.
Was spricht dagegen
Für wen geeignet
Die ISIS12 ist insbesondere für weniger große Unternehmen
geeignet, die mit wenigen Ressourcen ein ISMS aufbauen
wollen.
Bisher war die ISIS12 gerne als eine kleine Variante des IT-
Grundschutz angesehen und entsprechend gerne in der
komunalen Verwaltung eingesetzt, allerdings steht die Nähe
zum IT-Grundschutz nicht mehr so sehr im Fokus der aktuellen
Version des Standards.
VDA - Branchenspezifischer Standard der Automobilbranche
und weitere Standards zur Informationssicherheit folgen.
Informationssicherheitsbeauftragter / -verantwortlicher
( ISB / CISO )
Aufbau und Betrieb des Informationssicherheitsmanagements
exercitation in consequat ad sint in et ea excepteur dolore in
officia: Amet cillum, dolore aute nulla irure ut tempor, cillum
nulla culpa.
Betrieb der Informationssicherheit
Elit culpa, id sed culpa anim cupidatat officia nulla ipsum sit
irure et dolore ex proident nisi. In minim aute sit ut mollit
tempor voluptate esse id amet consectetur aute incididunt
minim proident sed ad fugiat. In, officia consectetur. Ut sint
adipisicing. Cupidatat do ad quis occaecat qui eiusmod irure,
occaecat cupidatat, quis, minim reprehenderit enim ea eu.
Excepteur magna quis deserunt.
Informationssicherheit - Überblick
Stichworte
Cyber Threat Intelligence, Cybersecurity, IT-Security,
Information Security,
ISMS, ISO 27001, IT-Grundschutz BSI 200-x, ISIS12,
CISO, ISM, ISM, ISB
Worum geht es
Informationen sind wesentliche
Unternehmenswerte und liegen in digitaler
Form als Daten in ihren IT-Systemen sowie in
analoger Form als Papierdokumente, Wissen
der Mitabeiter, Prozessen, Standorte oder
änliches in ihrem Unternehmen vor.
Werden diese Unternehmenswerte entwendet,
verfälscht, vernichtet, sind über eine kritische
Zeit hinaus nicht nutzbar oder einfach den
falschen Personen zugänglich gemacht worden,
kann ein großer und gegebenenfalls kritischer
Schaden entstehen, ein Schaden der
Unternehmenswerte.
Diese Werte zu schützen ist Inhalt der
Informationssicherheit.
Im Rahmen des
Informationssicherheitsmanagements werden
alle Maßnahmen dazu organisiert sowie
durchgeführt und durch ein ISMS unterstützt,
das insbesondere zur Dokumentation, dem
kontinuierlichen Verbessern der
Informationssicherheit sowie als
Ausgangspunkt von Audits dient.
Begriffe
Cybersecurity: Der Schwerpunkt der
Cybersecurity liegt auf digitalen Informationen
und dem Schutz dieser Informationen
gegenüber dem ungewollten Zugriff aus dem
Internet.
IT-Sichrheit: Dies ist ein älterer Begriff der
primär die IT in das Zentrum der
Sicherheitsbetrachtung gestellt hat und heute
als Synonym für Informationssicherheit genutzt
wird.
Informationssicherheit: Der derzeit
übergreifende Begriff für alle Belange und
Bereiche Informationen d.h.
Unternehmenswerte zu schützen. Es steht nicht
nur primär die IT und digitale Verarbeitung von
Daten im Focus, sondern alle schützeneswerten
Informationen eines Unternehmens.
Daher wird „Informationssicherheit“ als Begriff
für die Sicherheit sämtlicher
Unternehmenswerte genutzt.
Alles Synonyme: Grundsätzlich können all diese
Begriffe als Synonyme verwendet werden, denn
auch wenn die verwendenten Begriffe den
Focus eingegrenzen, ist dennoch meist die
gesamte Menge an Unternehmenswerten
betroffen und lediglich der Schwerpunkt
veschoben.
Wer kümmert sich im Unternehmen
darum
In der Regel gibt es eine Person oder ein Team
von Personen,
die sich um die Informationssicherheit
kümmern.
Diese Rolle wird meist
Informationssicherheitsbeauftragter - bzw.
-manager (ISB oder ISM) oder englisch CISO
(Chief Information Security Officer) bzw. ISO
(Information Security Officer) oder einfach
Informationssicherheitsmanagement genannt.
Diese Begriffe und Abkürzungen sind weder
geschützt noch fest definiert, so dass sie keine
konkreten Verantwortlichkeiten beschreiben,
aber alle die Aufgabe teilen sollten, die Werte
des Unternehmens zu schützen.
Welche Standards zur
Informatinssicherheit gibt es
Die Standards zur Einhaltung bestimmter
Anforderungen an die Informationssicherheit
sind klar definiert und unterscheiden sich in der
Art des Vorgehens, der Detailtiefe der Vorgaben
und in den Mögllichkeiten, die sie bieten.
Neben der Erhöhung der Informationssicherheit
haben diese Standards auch das Ziel, die
Bemühungen um die Informationsicherheit
bewertbar zu machen und bei Einhalten der
Standards ein Zertifizierung zu erreichen bzw. zu
erneuern.
All dieser Standards setzen den Aufbau und die
Etablierung eines
Informationsmanagementsystems (ISMS)
voraus, das über festgelegte Mechanismen,
Dokumentationen, Prozesse und Prüfungen
eine Verbesserung des Sicherheitsniveaus des
betrachteten Unternehmensbereiches zum Zielt
hat. Dabei muss für ein
Informationssicherheitsmanagementsystem
keineswegs ein bestimmtes Tool oder eine
Datenbank eingesetzt werden. Es ist
grundsätzlich möglich, handschriftliche
Dokumente, eine Textverarbeitung oder eine
Tabellenkalkulationstools zu verwenden. Die
Erfahrung hat allerdings gezeigt, dass sich
angepasste Dokumentenmanagementsysteme
oder spezielle Tools/Systeme auf Basis einer
Datenbank für den Aufbau und Betrieb eines
ISMS wesentlich besser eignen und den
Aufwand, die Qualität des
Informationssicherheitsmanagement sowie die
Kosten im Rahmen zu halten. Nicht zu
vergessen ist das oft zweite ZIel, das mit der
Einführung eines ISMS vebunden ist:
Die Zertifizierung des betrachteten
Unternehmens-bereiches nach dem
ausgewählten Standard.
Die Zertifierung erhält das Unternehmen durch
Prüfung eines entsprechenden Auditors über
festgelegte Vorgaben und Prozesse.
Ein Auditor wird sich gleich zu Beginn das ISMS
zeigen lassen. Wenn kein geeignetes Tool
eingesetzt wird, ist das Risiko, die Standards
nicht einzuhalten deutlich höher, da das
Management der Informations-sicherheit
deutlich schwieriger ist. Daher wird der Auditor
das ISMS als solches in besonderen
Augenschein nehmen und insbesondere auf
Aktualität, Nachvollziebarkeit und
Vollständigkeit schauen, bevor er mit der
„eigentlichen“ Prüfung beginnt. Gegebenenfalls
ist bereits zu diesem Zeitpunkt das Audit
beendet und eine Zertifizierung nicht erreicht.
Auch wenn Sie derzeit keine Zertifizierung
anstreben, sondern vorerst nur für sich dem
Thema Informationssicherheit mehr
Aufmerksamkeit schenken wollen, ist der
Aufbau eines ISMS und als Basis ein geeigneter
Tooleinsatz anzuraten.
Ein Szenario, das man vermeiden sollte
Sie investieren Zeit und Geld in das Thema
Informationssicherheit, zb. weil es einen
konkreten Sicherheitsvorfall gab, der sich nicht
wiederholen soll. Ihre Investition trägt Früchte.
Sie werden festsellen, dass sich das Thema
Informationssicherheits-management als
Steuerungsmechanismus der Sicherheit
allgemein sehr gut eignet und fordern Berichte
zum Thema an. Im nächsten Schritt bemerken
Sie, dass sich das Thema auch zur Bewertung
und Steurerung von Risiken eignet und
beschließen, dass das Informations-
management ein wichtiger Managementprozess
ist und als solcher einen festen Platz im
obersten Management haben muss. Parallel
hierzu wird klar, dass der Mehrwert nicht nur
für den bisher betrachteten
Unternehmensbereich relevant ist, sondern für
die meisten Unternehmensbereiche sinnvoll ist
und ggf. auch noch die hohen Prämien für die
z.B. eine Cyberversicherung reduzieren hilft.
Bis zu diesem Zeitpunkt wurde aus dem
einfachen ISMS auf Einzeldokumentenbasis ein
richtiges ISM-System. Bis dahin wurde das ISMS
jedoch bereits 2 bis 4 mal neu aufgebaut.
Cyber Threat
Intelligence -
Die Speerspitze
des Schutzes
Ihre
Unternemensw
erte
Datenschutz 
| Impressum | Kontakt
| Impressum | Kontakt
Wichtige zertifizierungsfähige
Standards zur Informationssicherheit
ISO 27001
Aufbau, Ablauf und Schwerpunkte
Die ISO 2700x ist ein internationaler Standard
und entsprechend wird dieser Standard in
internationalen Kontext häufig eingesetzt.
Den Kern der ISO 2700x bildet das
Risikomanagement.
Das Vorgehen ist Top-Down orientiert, d.h. es
wird vom Groben ausgegangen und weiter
verfeinert. Der Standard ISO 2700x ist auf relativ
wenigen Seiten beschrieben, gibt kein festes
Vorgehen vor und bietet dem Unternehmen viel
Freiraum dafür aber weniger
Handlungsempfehlungen und detailierte
Umsetzungshilfen
Zertifizierung
Die ISO 27001 bietet eine international gültige
Zertifizierung
Was spricht dafür:
Internationalität und breite Akzeptanz
Was spricht dagegen:
Gegen den Einsatz der ISO 2700x spricht nichts
viel; alledings sollte sich das jeweilige
Unternehmen klar darüber sein, dass der
Aufbau und der Betrieb viel Aufwand bedeutet
und eine Zertifizierung und Rezertifizierung
kontinuierlichen Aufwand erzeugt. Daher ist die
Ermittlung des richtigen Scope
(Unternehmensbereich auf den der Standard
angewendet werden soll.) von großer
Bedeutung.
Für wen ist die ISO 2700x geeignet
International agierende Unternehmen, die sich
in der kontinuierlichen Verbesserung ihrer
Informationssicherheit engagieren möchten
oder als Zulieferer oder Dienstleister eine
Zertifizierung nach ISO 27001 benötigen und
entsprechende Ressourcen in diese Thema
stecken können.
BSI 200-x / IT-Grundschutz
Aufbau, Ablauf und Schwerpunkte
Der BSI Standard 200-x (IT-Grundschutz) ist ein
nationaler Standard der primär im
deutschsprachigen Raum und Behördenumfeld
eingesetzt wird. Der Kern des BSI 200-x bildet
heute ein festes Vorgehensmodell entlang der
Unternehmensprozese (in der älteren Version
100-x war der Standard stark auf
Behördenstand-orten ausgelegt, der Kern lag
auf dem Aufbau von Standorten räumlich von
außen nach innen). Mit der Version 200-x ist der
Standard deutlich schlanker und handhabbarer
geworden.
BSI 200-x füllt mehr als 800 Seiten und ein
Kompendium.
Der Ansatz des Standards ist ein Bottom-Up-
Vorgehen, d.h. zu Beginn werden sehr viele
Details (Sturkturanalyse) aufgenommen und
danach zu Gruppen zusammengefasst.
Zertifizierung
Der Standard bietet eine Zertifizierung nach BSI,
die auch ausschließlch vom BSI vergeben wird.
Außerdem bietet der Standard eine
Zertifizierung nach ISO 27001 auf Basis des IT-
Grundschutz.
Was spricht dafür
Der BSI 200-x ist ein Standard mit klarem
Vorgehensmodell und eher festen Strukturen,
jedoch bietet dieser Standard ein paar durchaus
positive Eigenschafen wie
- mehrere Vorgehensmodelle in einem Standard
- zwei Zertifizierungsmöglicheiten
- ein auch für andere Standards nützliches
Kompendium und für
Standardsoftware vorgefertigte Module und
Maßnahmenbündel,
die eine eigene Risikoanalyse überflüssig
machen können.
Was spricht dagegen
Dem IT-Grundschutz wird nachgesagt, dass er
sehr viel Dokumentations- und
Implementierungs aufwand verursacht und
etwas starr sei. (Dies ist sicher nicht von der
Hand zu weisen, dem steht jedoch eine große
und ggf. nützliche Detailtiefe und
Angriffspunkte für Maßnahmen entgegen und
auch die Toolunterstützung entschärft diesen
ggf. ersten Eindruck).
Für wen ist die BSI 200-x (IT-Grundschutz)
geeignet
Das Vorgehen des Standard verlangt ein sehr
strukturiertes Vorgehen, das jedoch durch ein
klares Vorgehensmodell gestützt wird. Die
Bereitschaft dazu sollte vom jeweiligen
Unternehmen daher auch vorhanden sein.
ISIS12 „ISMS in 12-Schritten“
Aufbau, Ablauf und Schwerpunkte
Die ISIS12 hat zum Ziel einen gegenüber der ISO
27001 und BSI 200-x leichtgewichtigeren Ansatz
zu verolgen, eine feste Vorgehensweise in 12
Schritten zu bieten und dennoch eine
ausreichende Detailtiefe zu erreichen.
Die Methodik wird von einem explizit für die
ISIS12 entwickeltem Tool begleitet.
Zertifizierung
Eine Zertifizierung nach ISIS12 ist ebenfalls
möglich.
Was spricht dafür
DIe ISIS12 ist ein stark methodisch geprägter
Standard, der einerseits eine gute Führung in
der Umsetzung und Anwendung bietet, durch
dieses eher starre Vorgehen jedoch nicht für
jeden Unternehmentyp und jede
Unternehmensgröße geeignet sein dürfte.
Was spricht dagegen
Für wen geeignet
Die ISIS12 ist insbesondere für weniger große
Unternehmen geeignet, die mit wenigen
Ressourcen ein ISMS aufbauen wollen.
Bisher war die ISIS12 gerne als eine kleine
Variante des IT-Grundschutz angesehen und
entsprechend gerne in der komunalen
Verwaltung eingesetzt, allerdings steht die Nähe
zum IT-Grundschutz nicht mehr so sehr im
Fokus der aktuellen Version des Standards.
VDA - Branchenspezifischer Standard der
Automobilbranche
und weitere Standards zur
Informationssicherheit folgen.
- index
- dsgvo_und_ki
- datenschutzerklaerung
- impressum
- Dsgvo_und_ki-a
- cyber_resilience_act
- nis_2
- digital_service_act
- digital_markets_act
- data_act
- ai_act
- person_angebot
- Consulting
- grc
- datenschutz
- Datenschutz-a
- ai-act
- informationssicherheit
- cyberr threat intelligence
- agile_prozesse
- projekte
- audits
- Industries
- KONTAKT
- Kontakt-a