ISIS12 ist ein Managementsystem für IT-Sicherheit (ISMS), das sich dank seiner Praxisfreundlichkeit auch für kleine Kommunen gut eignet. Aktuell wird es in Richtung ISO/IEC 27001-Zertifizierung modernisiert und soll als ISIS12 2.0 noch mehr Praxisnähe beweisen.
Gerade kleine und mittlere Kommunen stehen oft personell und inhaltlich vor echten Herausforderungen, wenn es um die Sicherheit der Daten ihrer Bürger geht. Helfen können dabei Systeme wie ISIS12, das Maßnahmen zur Erhöhung der Informationssicherheit mit solchen zur Umsetzung der Datenschutzgrundverordnung (DSGVO) kombiniert. ISIS12 wurde im Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. unter der Prämisse entwickelt, ein ISMS zu schaffen, das durch seine gute Skalierbarkeit Organisationen ganz unterschiedlicher Größe in die Lage versetzt, das System mit einer hohen Erfolgsquote selbst einzuführen. So entstand eine Struktur aus zwölf Schritten, die ganz konkrete und nachvollziehbare Handlungsanweisungen enthalten und dem Modell seinen Namen gaben. Zum System gehören eine unterstützende Software und ein Handbuch, so dass auch kleinere Kommunen oder Firmen mit wenigen Mitarbeitern viele Maßnahmen in Eigenregie umsetzen können.
ISIS12 hat sich in den vergangenen Jahren zu einem Standard unter den ISMS entwickelt. Es lässt es sich mit relativ geringer externer Unterstützung einführen, wie die hohe Fertigstellungsquote zeigt. Zuletzt wurde ein Zusatzmodul zur Umsetzung der DSGVO integriert. Ein wirksames Werkzeug also, besonders wenn – wie in Bayern – alle Kommunen verpflichtet sind, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen. Dabei geht es nicht nur um den Schutz von IT-Systemen und personenbezogenen Daten in elektronischer Form, sondern auch um Papierunterlagen.
Die Neuerungen von ISIS12 2.0
Bereits ISIS12 bietet eine gut verständliche Führung, um alle Bereiche einer Kommune einzubeziehen. In die neue Version ISIS12 2.0, die gerade unter Federführung von BSP-SECURITY in Regensburg entwickelt wird, fließen die Erfahrungen aus zahlreichen Projekten ein, auch Best Practice Beispiele und der Wunsch zahlreicher Anwender, von ISIS12 möglichst einfach zu einer ISO/IEC 27001 Zertifizierung zu kommen. Die Nutzerfreundlichkeit bleibt dabei erhalten.
Besonderen Wert wird bei der Weiterentwicklung von ISIS12 darauf gelegt, dass Anwender ihre bereits erhobenen Datenbestände einfach in die Version 2.0 übernehmen können. Die bislang verwendeten Rahmenbedingungen bleiben unverändert, Nutzer müssen sich nicht umstellen. Die Struktur mit Handbuch, Katalog und unterstützender Software hat sich bewährt und wird beibehalten. Wie bisher sollen auch in Zukunft alle Dokumente für Kommunen kostenfrei zur Verfügung stehen.
Von ISIS12 2.0 zur ISO/IEC 27001
Die größte Neuerung besteht darin, dass die IT-Grundschutz Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht mehr Grundlage der empfohlenen Sicherheitsmaßnahmen sein werden. Vielmehr orientiert sich die Weiterentwicklung in Richtung der ISO/IEC 27001-Zertifizierung. Konkret bedeutet dies, dass mehrere Schritte im Vorgehensmodell an die ISO/IEC 27001 angepasst werden: In Schritt 8 wird beispielsweise eine optionale Risikoanalyse eingearbeitet. Zu den Schritten 10 bis 12 gehören künftig interne Audits, die Messung der Sicherheit und der Prozess der kontinuierlichen Verbesserung (KVP). Das Zusatzmodul ISIS12/DSGVO, das bereits im Einsatz ist, wird auch für die Version 2.0 angeboten – als sinnvoller Beitrag zur Integration des Datenschutzmanagement-Systems in das ISMS.
Dem Bayerischen IT-Sicherheitscluster e.V. ist es wichtig, mit ISIS12 2.0 ein Produkt auf den Markt zu bringen, das nicht nur die bisherigen Ansprüche an ISIS12 erfüllt, sondern noch einen Schritt weiter geht. Daher wird die Entwicklung noch etwas Zeit benötigen. Aktuell wird mit der Veröffentlichung im dritten Quartal 2019 gerechnet.
Fazit
ISIS12, gerade in vielen Kommunen ein beliebtes Managementsystem für IT-Sicherheit, bekommt ein Update. Die Version 2.0 bleibt nutzerfreundlich, wird noch praxisgerechter und vor allem in Richtung ISO/IEC 27001-Zertifizierung weiterentwickelt. Auf den Markt kommt ISIS12 2.0 voraussichtlich im Herbst 2019.
Autorin: Sandra Wiesbeck, Vorstandsvorsitzende Bayerischer IT-Sicherheitscluster
