ISIS12 ist ein Managementsystem für IT-Sicherheit (ISMS), das sich dank seiner Praxisfreundlichkeit auch für kleine Kommunen gut eignet. Aktuell wird es in Richtung ISO/IEC 27001-Zertifizierung modernisiert und soll als ISIS12 2.0 noch mehr Praxisnähe beweisen.

Gerade kleine und mittlere Kommunen stehen oft personell und inhaltlich vor echten Herausforderungen, wenn es um die Sicherheit der Daten ihrer Bürger geht. Helfen können dabei Systeme wie ISIS12, das Maßnahmen zur Erhöhung der Informationssicherheit mit solchen zur Umsetzung der Datenschutzgrundverordnung (DSGVO) kombiniert. ISIS12 wurde im Netzwerk des Bayerischen IT-Sicherheitsclusters e.V. unter der Prämisse entwickelt, ein ISMS zu schaffen, das durch seine gute Skalierbarkeit Organisationen ganz unterschiedlicher Größe in die Lage versetzt, das System mit einer hohen Erfolgsquote selbst einzuführen. So entstand eine Struktur aus zwölf Schritten, die ganz konkrete und nachvollziehbare Handlungsanweisungen enthalten und dem Modell seinen Namen gaben. Zum System gehören eine unterstützende Software und ein Handbuch, so dass auch kleinere Kommunen oder Firmen mit wenigen Mitarbeitern viele Maßnahmen in Eigenregie umsetzen können.
ISIS12 hat sich in den vergangenen Jahren zu einem Standard unter den ISMS entwickelt. Es lässt es sich mit relativ geringer externer Unterstützung einführen, wie die hohe Fertigstellungsquote zeigt. Zuletzt wurde ein Zusatzmodul zur Umsetzung der DSGVO integriert. Ein wirksames Werkzeug also, besonders wenn – wie in Bayern – alle Kommunen verpflichtet sind, Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen. Dabei geht es nicht nur um den Schutz von IT-Systemen und personenbezogenen Daten in elektronischer Form, sondern auch um Papierunterlagen.

Die Neuerungen von ISIS12 2.0
Bereits ISIS12 bietet eine gut verständliche Führung, um alle Bereiche einer Kommune einzubeziehen. In die neue Version ISIS12 2.0, die gerade unter Federführung von BSP-SECURITY in Regensburg entwickelt wird, fließen die Erfahrungen aus zahlreichen Projekten ein, auch Best Practice Beispiele und der Wunsch zahlreicher Anwender, von ISIS12 möglichst einfach zu einer ISO/IEC 27001 Zertifizierung zu kommen. Die Nutzerfreundlichkeit bleibt dabei erhalten.
Besonderen Wert wird bei der Weiterentwicklung von ISIS12 darauf gelegt, dass Anwender ihre bereits erhobenen Datenbestände einfach in die Version 2.0 übernehmen können. Die bislang verwendeten Rahmenbedingungen bleiben unverändert, Nutzer müssen sich nicht umstellen. Die Struktur mit Handbuch, Katalog und unterstützender Software hat sich bewährt und wird beibehalten. Wie bisher sollen auch in Zukunft alle Dokumente für Kommunen kostenfrei zur Verfügung stehen.

Von ISIS12 2.0 zur ISO/IEC 27001
Die größte Neuerung besteht darin, dass die IT-Grundschutz Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht mehr Grundlage der empfohlenen Sicherheitsmaßnahmen sein werden. Vielmehr orientiert sich die Weiterentwicklung in Richtung der ISO/IEC 27001-Zertifizierung. Konkret bedeutet dies, dass mehrere Schritte im Vorgehensmodell an die ISO/IEC 27001 angepasst werden: In Schritt 8 wird beispielsweise eine optionale Risikoanalyse eingearbeitet. Zu den Schritten 10 bis 12 gehören künftig interne Audits, die Messung der Sicherheit und der Prozess der kontinuierlichen Verbesserung (KVP). Das Zusatzmodul ISIS12/DSGVO, das bereits im Einsatz ist, wird auch für die Version 2.0 angeboten – als sinnvoller Beitrag zur Integration des Datenschutzmanagement-Systems in das ISMS.
Dem Bayerischen IT-Sicherheitscluster e.V. ist es wichtig, mit ISIS12 2.0 ein Produkt auf den Markt zu bringen, das nicht nur die bisherigen Ansprüche an ISIS12 erfüllt, sondern noch einen Schritt weiter geht. Daher wird die Entwicklung noch etwas Zeit benötigen. Aktuell wird mit der Veröffentlichung im dritten Quartal 2019 gerechnet.

Fazit
ISIS12, gerade in vielen Kommunen ein beliebtes Managementsystem für IT-Sicherheit, bekommt ein Update. Die Version 2.0 bleibt nutzerfreundlich, wird noch praxisgerechter und vor allem in Richtung ISO/IEC 27001-Zertifizierung weiterentwickelt. Auf den Markt kommt ISIS12 2.0 voraussichtlich im Herbst 2019.

Autorin: Sandra Wiesbeck, Vorstandsvorsitzende Bayerischer IT-Sicherheitscluster

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    Wer „haftet“ eigentlich im Datenschutz?

    Wer „haftet“ eigentlich im Datenschutz?

    Geht es danach, wer in einer Organisation die Verantwortung für den Datenschutz trägt, richten sich schnell die Augen auf die oder den Datenschutzbeauftragten (DSB). Menschen machen Fehler und schnell ist im „Datenschutz-Alltag“ etwas übersehen. Aber rechtfertigt eine...

    read more