ISIS12 Pha­se 3

In die­ser Pha­se wird es nun span­nend. Kri­ti­sche Anwen­dun­gen und Sys­te­me wer­den iden­ti­fi­ziert und die Schwach­stel­len­ana­ly­se durch­ge­führt.

6) Kri­ti­sche Anwen­dun­gen

In Schritt 6 wer­den die für die Orga­ni­sa­ti­on kri­ti­schen Anwen­dun­gen iden­ti­fi­ziert und nach den Grund­sät­zen der Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit in Schutz­be­darfs­ka­te­go­ri­en ein­ge­teilt. Auf die­ser Basis wird dann im Rah­men einer ers­ten Risi­ko­ana­ly­se die maxi­mal tole­rier­ba­re Aus­fall­zeit fest­ge­stellt.

7) IT-Struk­tur

Nun wird die hin­ter den Anwen­dun­gen ste­hen­de Infra­struk­tur ana­ly­siert. Dabei wer­den nicht nur tech­ni­sche, son­dern auch räum­li­che, per­so­nel­le, orga­ni­sa­to­ri­sche und infra­struk­tu­rel­le Aspek­te berück­sich­tigt. Der Schutz­be­darf wird dabei von der dar­über­lie­gen­den kri­ti­schen Anwen­dung nach unten ver­erbt.

8) Model­lie­rung

Mit­tels des ISIS12 Kata­logs (einer vom Umfang und Kom­ple­xi­tät redu­zier­ten Vari­an­te des BSI IT Grun­schutz­ka­ta­logs) wer­den nun die Sicher­heits­maß­nah­men zu den in Schritt 7 ermit­tel­ten Objek­ten zuge­ord­net. Dabei wer­den die vier Bau­stei­ne Uni­ver­sa­le Aspek­te (S1), Infra­struk­tur (S2), IT-Sys­te­me/­Net­ze (S3) und Anwen­dun­gen (S4) behan­delt. Zur bes­se­ren Über­sicht und Nach­voll­zieh­bar­keit erfolgt dies mit­tels des ISI­S12-Soft­ware­tools.

9) GAP Ana­ly­se / Ist-Soll-Ver­gleich

Das Soft­ware­tool stellt nun Anfor­de­rungs­lis­ten zur Ver­fü­gung, mit denen der Ist-Zustand mit dem ange­streb­ten Soll-Zustand ver­gli­chen wird. Die­se Lis­ten wer­den mit den Fach­be­rei­chen zusam­men bear­bei­tet und die ein­zel­nen Punk­te mit Erfül­lungs­grad bewer­tet. Die­se Gra­de sind “ja”, “teil­wei­se”, “nein”, aber auch “nicht not­wen­dig”. Im letz­ten Fall muss eine plau­si­ble Begrün­dung hin­ter­legt wer­den.

10) Pla­nung der Umset­zung

Als Ergeb­nis aus Punkt 9 ergibt sich jetzt ein Kata­log an umzu­set­zen­den Maß­nah­men. Die­se wer­den mit wei­te­ren Anga­ben zu Dring­lich­keit, sowie Zeit- und Kos­ten­auf­wand ver­se­hen. Auf die­ser Basis kann die Orga­ni­sa­ti­ons­lei­tung über die Umset­zung ent­schei­den.

11) Umset­zung

Wur­den die Maß­nah­men zur Umset­zung in Punkt 10 frei­ge­ge­ben, erfolgt nun die Umset­zung. Dazu wer­den kla­re Ver­ant­wort­lich­kei­ten und Zeit­fens­ter defi­niert.

12) Revi­si­on

Nun ist der ers­te Durch­lauf voll­bracht. Das ISI­S12-Soft­ware­tool zeigt anschau­lich den Umset­zungs­grad Ihres ISMS nach ISIS12 in der Orga­ni­sa­ti­on an. Ab jetzt wird das ISMS nicht mehr Schritt für Schritt abge­ar­bei­tet, son­dern jeder ein­zel­ne Schritt kann bei Bedarf ein­zeln ange­sprun­gen und bear­bei­tet wer­den. Zur Revi­si­on gehö­ren auch die Nach­au­di­tie­run­gen sowie die Vor­be­rei­tun­gen auf die Re-Zer­ti­fi­zie­rung.

Eine Fla­sche Sekt hat sich das Infor­ma­ti­ons­si­cher­heits­team bei Errei­chen von Stu­fe 12 auf jeden Fall ver­dient.