ISIS 12: Management der Informationssicherheit für den Mittelstand

Mittelständische Unternehmen sind mit den Herausforderungen der Wirtschaftsspionage, des Datenschutzes und der Notwendigkeit hoher IT-Verfügbarkeit ebenso konfrontiert wie viele Konzerne. Um diese Herausforderungen meistern zu können, ist die Einführung eines Informationssicherheitsmanagement-Systems (ISMS) nötig. Die dafür bereits existierenden Standards ISO 27001 und BSI Grundschutz stellen für mittelständische Unternehmen erfahrungsgemäß aber eine zu große Einstiegshürde dar.

Das Vorgehensmodell ISIS 12 ist speziell für den Mittelstand als ISMS und IT-Service-Management-System konzipiert. Das Modell wird in 12 Schritten im Unternehmen realisiert. Es ist in einer einfachen, verständlichen Sprache formuliert. Der Anwender findet dadurch einen schnellen Einstieg ins Informationssicherheitsmanagement und kann die Maßnahmen, begleitet durch einen ISIS-12-Dienstleister, zum größten Teil selbst umsetzen. Das ISIS 12 anwendende, mittelständische Unternehmen erhält damit einen echten Basisschutz, der auch eine Vorstufe zu einer Zertifizierug nach ISO 27001 oder dem BSI-Grundschutz sein kann.

Das Vorgehensmodell orientiert sich zwar an der bewährten Methodik des BSI-Grundschutzes, ist aber dennoch ein für den Mittelstand neu entwickelter Ansatz. Die wichtigsten Merkmale sind:

• Das Modell enthält klar formulierte Anweisungen, auch zur IT-Dokumentation und zum IT-Service Management.
• ISMS und IT-Service Management werden in den ISIS 12 Prozess integriert. Diese Integration stellt ein Schlüsselelement von ISIS 12 dar.
• ISIS 12 betrachtet nur wenige unternehmenskritische Anwendungen und wendet auf die damit verbundenen IT-Systeme einen gegenüber dem BSI Grundschutz radikal reduzierten Maßnahmenkatalog an.

Das Netzwerk entwickelt zudem derzeit die Open-Source-Software verinice weiter. Damit soll sich künftig der ISIS-12-Workflow abbilden lassen und Anwendern ein Tool an die Hand gegeben werden, das die Einführung von ISIS 12 erleichtert. Mittelfristig ist zudem beabsichtigt, ein Zertifizierungsverfahren zu etablieren.

Partner aus Wirtschaft und Wissenschaft

Initiator von ISIS 12 ist das Bayerische IT-Sicherheitscluster. Die Organisation hat auch das Management des Netzwerks übernommen. Das Bayerische Wirtschaftsministerium fördert das Projekt über BICC-NET, den Bayerischen Cluster für Informations- und Kommunikationstechnologie. Das Partnernetzwerk ist grundsätzlich offen für weitere Mitglieder.

AUTOR

Sandra Wiesbeck ...

... ist Mitarbeiterin der IT Inkubator Ostbayern GmbH. Das Unternehmen ist ein Technologieförderunternehmen der Stadt Regensburg und wird nach seinem Standort auch IT-Speicher genannt.

Im November 2011 gehören dem Netzwerk neben Hochschule Regensburg und Universität Regensburg folgende Partner aus der Industrie an: Die Dienstleister Bits & Bytes aus Rotthalmünster, Mabunta aus München, die IT-Inkubator Ostbayern GmbH, das Systemhaus Bizteam aus Weiden, das Regensburger Beratungsunternehmen BSP Security, das auf für Informationssicherheit und Datenschutz spezialisierte Sachverständigenbüro Secianus Schröppel & Karner aus Freystadt sowie der Hersteller IC Compas aus Unterschleißheim bei München.

Das ISIS 12-Modell wurde erstmals beim BSI-IT-Grundschutztag am 25. Oktober 2011 in Regensburg vorgestellt. Derzeit wird es von den beteiligten Partnern mit einer Veranstaltungsreihe in Bayern präsentiert. Die Veranstaltungshinweise werden auf der Website www.it-sicherheit-bayern.de veröffentlicht. Außerdem suchen die Initiatoren für ISIS 12 derzeit mittelständische Unternehmen als Pilotanwender. Interessenten sollten über 100 bis 500 rechnergestützte Arbeitplätze verfügen.