In dieser Phase wird es nun spannend. Kritische Anwendungen und Systeme werden identifiziert und die Schwachstellenanalyse durchgeführt.
6) Kritische Anwendungen
In Schritt 6 werden die für die Organisation kritischen Anwendungen identifiziert und nach den Grundsätzen der Vertraulichkeit, Integrität und Verfügbarkeit in Schutzbedarfskategorien eingeteilt. Auf dieser Basis wird dann im Rahmen einer ersten Risikoanalyse die maximal tolerierbare Ausfallzeit festgestellt.
7) IT-Struktur
Nun wird die hinter den Anwendungen stehende Infrastruktur analysiert. Dabei werden nicht nur technische, sondern auch räumliche, personelle, organisatorische und infrastrukturelle Aspekte berücksichtigt. Der Schutzbedarf wird dabei von der darüberliegenden kritischen Anwendung nach unten vererbt.
8) Modellierung
Mittels des ISIS12 Katalogs (einer vom Umfang und Komplexität reduzierten Variante des BSI IT Grunschutzkatalogs) werden nun die Sicherheitsmaßnahmen zu den in Schritt 7 ermittelten Objekten zugeordnet. Dabei werden die vier Bausteine Universale Aspekte (S1), Infrastruktur (S2), IT-Systeme/Netze (S3) und Anwendungen (S4) behandelt. Zur besseren Übersicht und Nachvollziehbarkeit erfolgt dies mittels des ISIS12-Softwaretools.
9) GAP Analyse / Ist-Soll-Vergleich
Das Softwaretool stellt nun Anforderungslisten zur Verfügung, mit denen der Ist-Zustand mit dem angestrebten Soll-Zustand verglichen wird. Diese Listen werden mit den Fachbereichen zusammen bearbeitet und die einzelnen Punkte mit Erfüllungsgrad bewertet. Diese Grade sind “ja”, “teilweise”, “nein”, aber auch “nicht notwendig”. Im letzten Fall muss eine plausible Begründung hinterlegt werden.
10) Planung der Umsetzung und Umsetzung
Als Ergebnis aus Punkt 9 ergibt sich jetzt ein Katalog an umzusetzenden Maßnahmen. Diese werden mit weiteren Angaben zu Dringlichkeit, sowie Zeit- und Kostenaufwand versehen. Auf dieser Basis kann die Organisationsleitung über die Umsetzung entscheiden. Wurden die Maßnahmen zur Umsetzung freigegeben, erfolgt nun die Umsetzung. Dazu werden klare Verantwortlichkeiten und Zeitfenster definiert.
11) Interne Audits
In Schritt 11 wird nun geprüft, wie gut die einzelnen Maßnahmen umgesetzt sind (“wirken”) und damit den Vorgaben entsprechen. Schritt 11 ist im ISIS12-Vorgehensmodell als optionaler, aber empfohlener Schritt anzusehen, sofern keine Zertifizierung nach ISO/IEC 27001 angestrebt wird. Das interne Audit kann als Werkzeug zur Identifikation von Verbesserungspotenzialen fungieren. Als „intern“ wird ein Audit bezeichnet, wenn es in der Verantwortung der Organisation selbst liegt, die Auditkriterien und den Umfang des Audits festzulegen. Somit unterstützt das interne Audit den Wunsch nach kontinuierlicher Verbesserung aus dem PDCA-Zyklus (Plan, Do, Check, Act).
12) Revision
Nun ist der erste Durchlauf vollbracht. Das ISIS12-Softwaretool zeigt anschaulich den Umsetzungsgrad Ihres ISMS nach ISIS12 in der Organisation an. Ab jetzt wird das ISMS nicht mehr Schritt für Schritt abgearbeitet, sondern jeder einzelne Schritt kann bei Bedarf einzeln angesprungen und bearbeitet werden. Zur Revision gehören auch die Nachauditierungen sowie die Vorbereitungen auf die Re-Zertifizierung.
Eine Flasche Sekt hat sich das Informationssicherheitsteam bei Erreichen von Stufe 12 auf jeden Fall verdient.