ISIS12 Pha­se 3

In die­ser Pha­se wird es nun span­nend. Kri­ti­sche Anwen­dun­gen und Sys­te­me wer­den iden­ti­fi­ziert und die Schwach­stel­len­ana­ly­se durchgeführt.

6) Kri­ti­sche Anwendungen

In Schritt 6 wer­den die für die Orga­ni­sa­ti­on kri­ti­schen Anwen­dun­gen iden­ti­fi­ziert und nach den Grund­sät­zen der Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit in Schutz­be­darfs­ka­te­go­rien ein­ge­teilt. Auf die­ser Basis wird dann im Rah­men einer ers­ten Risi­ko­ana­ly­se die maxi­mal tole­rier­ba­re Aus­fall­zeit festgestellt.

7) IT-Struk­tur

Nun wird die hin­ter den Anwen­dun­gen ste­hen­de Infra­struk­tur ana­ly­siert. Dabei wer­den nicht nur tech­ni­sche, son­dern auch räum­li­che, per­so­nel­le, orga­ni­sa­to­ri­sche und infra­struk­tu­rel­le Aspek­te berück­sich­tigt. Der Schutz­be­darf wird dabei von der dar­über­lie­gen­den kri­ti­schen Anwen­dung nach unten vererbt.

8) Model­lie­rung

Mit­tels des ISIS12 Kata­logs (einer vom Umfang und Kom­ple­xi­tät redu­zier­ten Vari­an­te des BSI IT Grun­schutz­ka­ta­logs) wer­den nun die Sicher­heits­maß­nah­men zu den in Schritt 7 ermit­tel­ten Objek­ten zuge­ord­net. Dabei wer­den die vier Bau­stei­ne Uni­ver­sa­le Aspek­te (S1), Infra­struk­tur (S2), IT-Sys­te­me/­Net­ze (S3) und Anwen­dun­gen (S4) behan­delt. Zur bes­se­ren Über­sicht und Nach­voll­zieh­bar­keit erfolgt dies mit­tels des ISIS12-Softwaretools.

9) GAP Ana­ly­se / Ist-Soll-Vergleich

Das Soft­ware­tool stellt nun Anfor­de­rungs­lis­ten zur Ver­fü­gung, mit denen der Ist-Zustand mit dem ange­streb­ten Soll-Zustand ver­gli­chen wird. Die­se Lis­ten wer­den mit den Fach­be­rei­chen zusam­men bear­bei­tet und die ein­zel­nen Punk­te mit Erfül­lungs­grad bewer­tet. Die­se Gra­de sind “ja”, “teil­wei­se”, “nein”, aber auch “nicht not­wen­dig”. Im letz­ten Fall muss eine plau­si­ble Begrün­dung hin­ter­legt werden.

10) Pla­nung der Umset­zung und Umsetzung

Als Ergeb­nis aus Punkt 9 ergibt sich jetzt ein Kata­log an umzu­set­zen­den Maß­nah­men. Die­se wer­den mit wei­te­ren Anga­ben zu Dring­lich­keit, sowie Zeit- und Kos­ten­auf­wand ver­se­hen. Auf die­ser Basis kann die Orga­ni­sa­ti­ons­lei­tung über die Umset­zung ent­schei­den. Wur­den die Maß­nah­men zur Umset­zung frei­ge­ge­ben, erfolgt nun die Umset­zung. Dazu wer­den kla­re Ver­ant­wort­lich­kei­ten und Zeit­fens­ter definiert.

11) Inter­ne Audits

In Schritt 11 wird nun geprüft, wie gut die ein­zel­nen Maß­nah­men umge­setzt sind (“wir­ken”) und damit den Vor­ga­ben ent­spre­chen. Schritt 11 ist im ISI­S12-Vor­ge­hens­mo­dell als optio­na­ler, aber emp­foh­le­ner Schritt anzu­se­hen, sofern kei­ne Zer­ti­fi­zie­rung nach ISO/IEC 27001 ange­strebt wird. Das inter­ne Audit kann als Werk­zeug zur Iden­ti­fi­ka­ti­on von Ver­bes­se­rungs­po­ten­zia­len fun­gie­ren. Als „intern“ wird ein Audit bezeich­net, wenn es in der Ver­ant­wor­tung der Orga­ni­sa­ti­on selbst liegt, die Audit­kri­te­ri­en und den Umfang des Audits fest­zu­le­gen. Somit unter­stützt das inter­ne Audit den Wunsch nach kon­ti­nu­ier­li­cher Ver­bes­se­rung aus dem PDCA-Zyklus (Plan, Do, Check, Act).

12) Revi­si­on

Nun ist der ers­te Durch­lauf voll­bracht. Das ISI­S12-Soft­ware­tool zeigt anschau­lich den Umset­zungs­grad Ihres ISMS nach ISIS12 in der Orga­ni­sa­ti­on an. Ab jetzt wird das ISMS nicht mehr Schritt für Schritt abge­ar­bei­tet, son­dern jeder ein­zel­ne Schritt kann bei Bedarf ein­zeln ange­sprun­gen und bear­bei­tet wer­den. Zur Revi­si­on gehö­ren auch die Nach­au­di­tie­run­gen sowie die Vor­be­rei­tun­gen auf die Re-Zertifizierung.

Eine Fla­sche Sekt hat sich das Infor­ma­ti­ons­si­cher­heits­team bei Errei­chen von Stu­fe 12 auf jeden Fall verdient.