Artikel zum Thema

CISIS 12: Die kompakte Alternative zur ISO 27001

Informationssicherheit ist längst nicht mehr nur ein Thema für Großunternehmen. Gerade kleine und mittlere Unternehmen (KMU), kommunale Verwaltungen und Organisationen rücken zunehmend in den Fokus von Cyberangriffen, Industriespionage und digitaler Sabotage. Doch der Aufbau eines umfassenden Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 stellt viele kleinere Einrichtungen vor enorme Herausforderungen: zu komplex, zu ressourcenintensiv, zu teuer.

CISIS 12 bietet hier eine pragmatische und praxisnahe Alternative. Oft als die „kleine Schwester der ISO 27001“ bezeichnet, wurde das Modell vom IT-Sicherheitscluster e. V. speziell für kleine und mittelständische Organisationen sowie Kommunen entwickelt, die ein strukturiertes und nachvollziehbares Vorgehen zur Informationssicherheit etablieren möchten – ohne die Komplexität und die formalen Anforderungen eines zertifizierten ISMS nach ISO 27001.


ZIELSETZUNG UND ANSATZ

Ziel von CISIS 12 ist es, den Einstieg in die Informationssicherheit niedrigschwellig und verständlich zu gestalten. Organisationen erhalten eine klare, verständliche und systematische Vorgehensweise, die auch ohne umfangreiche Vorbildung im Bereich IT-Sicherheit umsetzbar ist. Das System gliedert den Prozess in zwölf aufeinander aufbauende Schritte – von der Bestandsaufnahme bis zur kontinuierlichen Verbesserung – und ermöglicht es, Informationssicherheit systematisch aufzubauen, stetig weiterzuentwickeln und nahtlos in bestehende Organisationsstrukturen zu integrieren. Durch diese klare und praxisorientierte Struktur wird es auch kleineren Organisationen ermöglicht, alle wesentlichen Aspekte der Informationssicherheit Schritt für Schritt effektiv und effizient aufzubauen und nachhaltig in den laufenden Betrieb zu integrieren.


COMPLIANCE-INFORMATIONSSICHERHEITS-MANAGEMENT-SYSTEM IN 12 SCHRITTEN:

  1. PROJEKTORGANISATION UND VERANTWORTLICHKEITEN: Definition der Rollen und Zuständigkeiten für Informationssicherheit.
  2. IT-STRUKTURANALYSE: Erfassung der vorhandenen IT-Landschaft und -Systeme (Softwarelandkarte).
  3. SCHUTZBEDARFSFESTSTELLUNG: Bewertung der Schutzbedarfe für Daten und Systeme.
  4. IT-RISIKOMANAGEMENT: Identifikation und Bewertung von Risiken, Entwicklung von Maßnahmen.
  5. ERSTELLUNG EINES MASSNAHMENPLANS: Systematische Planung und Dokumentation notwendiger Schutzmaßnahmen.
  6. IT-NOTFALLMANAGEMENT: Aufbau von Konzepten zur Reaktion auf IT-Notfälle und Cyberangriffe.
  7. ERSTELLUNG EINES INFORMATIONSSICHERHEITSKONZEPTS: Zusammenführung der Analyseergebnisse in ein Gesamtkonzept.
  8. ERARBEITUNG VON INFORMATIONSSICHERHEITSRICHTLINIEN: Entwicklung konkreter Vorgaben und Handlungsanweisungen für Mitarbeitende.
  9. MITARBEITERSENSIBILISIERUNG: Schulungen und Maßnahmen zur Stärkung des Sicherheitsbewusstseins.
  10. ÜBERWACHUNG UND KONTROLLE: Regelmäßige Prüfung der Wirksamkeit der Maßnahmen.
  11. KONTINUIERLICHE VERBESSERUNG: Anpassung und Weiterentwicklung des Sicherheitsniveaus.
  12. INTEGRATION IN BESTEHENDE MANAGEMENTSYSTEME: Verknüpfung mit anderen Systemen wie Datenschutzmanagement, Notfall- und Krisenmanagement, Risikomanagement oder Qualitätsmanagement.
Sicherheitszeitschrift SICHERHEIT. Das Fachmagazin. (ePaper)

UNTERSCHIEDE ZUR ISO 27001

Während die ISO 27001 einen umfassenden internationalen Standard darstellt, der umfassende und auditierbare Anforderungen an ein ISMS stellt, ist CISIS 12 bewusst einfacher und praxisnaher gehalten.



ZIELSETZUNG DER CISIS 12:

Solide Einführung in die Informationssicherheit für KMU und Kommunen.

  • ZIELGRUPPE: Kleine und mittlere Organisationen, Kommunen, öffentliche und soziale Einrichtungen, Verbände, Schulen, Hochschulen
  • UMFANG: Kompakter, pragmatischer Einstieg
  • KOMPLEXITÄT: Überschaubar, verständlich, wenig Fachjargon
  • EINFÜHRUNGSAUFWAND: Wenige Personen, ca. 6 - 12 Monate
  • DOKUMENTATION: Beispiel - Maßnahmendokumentation erfolgt strukturiert über Standardformulare, beispielsweise Maßnahmenkatalog als Excel-Datei
  • ZERTIFIZIERUNG: Keine formale Zertifizierung – Fokus auf interne Nachweisbarkeit 
  • PRAXISBEZUG: Hoher Praxisbezug, ideal für Organisationen ohne umfangreiche IT-Abteilungen


ZIELSETZUNG DER ISO 27001:

Aufbau eines vollumfänglichen, zertifizierbaren ISMS.

  • ZIELGRUPPE: Organisationen jeder Größe weltweit
  • UMFANG: Vollumfängliches Managementsystem inkl. Risikomanagement und Audit
  • KOMPLEXITÄT: Hohe Anforderungen, komplexe Prozesse
  • EINFÜHRUNGSAUFWAND: Mehrere Projektteams, ca. 12 – 24 Monate
  • DOKUMENTATION: Beispiel - Vollständiges ISMS-Handbuch mit Richtlinien, Verfahren, Rollenbeschreibungen, Risikobehandlung und Steuerungsdokumenten vorgeschrieben
  • ZERTIFIZIERUNG: Zertifizierung durch akkreditierte Stellen
  • PRAXISBEZUG: Hoher Formalisierungsgrad, geeignet für Unternehmen mit etablierten Governance-, Risk- und Compliance-Strukturen (GRC)


CISIS 12 ist die ideale Lösung für Organisationen, die strukturiert, praxisnah und ressourcenschonend ein hohes Maß an Informationssicherheit erreichen möchten – ohne den Aufwand und die Komplexität einer ISO 27001-Zertifizierung. Es bietet insbesondere für kleine und mittlere Organisationen einen realistischen Einstieg und eine belastbare Grundlage, auf der später bei Bedarf auch ein vollständiges ISMS aufgebaut werden kann.