„Einfach“: Der Weg zur CISIS12-Implementierung

Rudolf Ehrensberger, ISB der Verwaltungsgemeinschaft (VG) Neumarkt, im Gespräch mit Dr. Matthias Kampmann vom IT-Sicherheitscluster über das Upgrade von ISIS12V2 auf CISIS12 (ISIS12V3).

IT-SEC: Wie ist Ihre Arbeit mit und in ISIS12 zustande gekommen? Seit wann nutzen Sie das ISMS?

Rudolf Ehrensberger: Ich wurde von meinem Arbeitgeber, der Verwaltungsgemeinschaft Neumarkt i. d. OPf., mit der Einführung eines Informationssicherheitsmanagementsystems (ISMS) beauftragt. Der Schritt in ein ISMS, das auf der ISO/IEC 27001 oder auf dem Grundschutz des BSI basiert, war aus meiner Sicht ein zu großer. Somit fiel die Entscheidung auf ISIS12. Das war im Dezember 2018. Unsere Zusammenarbeit mit Frank Moses von Fa. SlyCon begann im Februar 2020. Mit ihm haben wir im Juni 2020 dann die DQS-Zertifizierung mit Erfolg durchgeführt. Die Zusammenarbeit war ein Glücksfall für die Kommune, weil wir so die Chance bekamen, eins der Pilotprojekte mit der dritten Version von ISIS12 zu bilden. Frank Moses ist ja nicht nur Berater, sondern auch einer der federführenden Entwickler von CISIS12.

IT-SEC: Die Verwaltungsgemeinschaft Neumarkt i. d. OPf. ist also Pilot für CISIS12 und hat sich aber zuerst in ISIS12V2 zertifiziert. Was ist mit CISIS12 anders geworden?

E.: Die Prozessorientierte Betrachtungsweise in der dritten Version ist eine wesentliche Verbesserung bei der Umsetzung und bei der Einführung sowie dem Ausbau und die Erweiterung eines nachvollziehbaren ISMS. Meines Erachtens wurde mit CISIS12 die Basis geschaffen, die digitalen Herausforderungen der Gegenwart zu stemmen und das ISMS zu harmonisieren.

Mit CISIS12 wurden die Zeichen der Zeit erkannt! Getreu dem Motto „Wer nicht mit der Zeit geht, der geht mit der Zeit“. Rudolf Ehrensberger

IT-SEC: Was wird besser?

E.: Die Sichtweise auf die Arbeit mit dem ISMS wird durch die Prozessbetrachtung für alle Beteiligten, ob auf der Leitungsebene oder ob es die Mitarbeiter betrifft, transparenter. Die Interviews mit den Fachbereichsleitern als Process Owner waren sehr effektiv. Es wurde über die Tätigkeiten (Prozesse) im Fachbereich gesprochen und nicht über kritische Anwendungen. Anwendungen sind nämlich per se zunächst alle unkritisch. Die Wichtigkeit der Anwendung ergibt sich aus dem Schutzbedarf des Geschäftsprozesses (GP), etwa dem Kommunikationsprozess, den eine bestimmte Anwendung benötigt. Und die Schutzniveaubewertung für die Anwendungen ist nicht Aufgabe des Process Owners. Das übernimmt dann beispielsweise der IT-Leiter.
CISIS12 ist ein echtes ISMS um den Marktanforderungen beziehungsweise den Herausforderungen, der Erwartungshaltung unserer Kunden (Bürger) und der Politik (OZG/Digitalisierung) gerecht zu werden. Und Entwicklung muss sein. Technik entwickelt sich, Organisationen verändern sich. Da muss ein ISMS mitgehen. Die Anpassung und Weiterentwicklung gibt es ja auch bei den ISO-Normen und beim BSI IT-Grundschutz. Mit CISIS12 wurden die Zeichen der Zeit erkannt! Getreu dem Motto „Wer nicht mit der Zeit geht, der geht mit der Zeit“.

IT-SEC: Wie gelingt der Umstieg?

E.: Einfach! Sie übernehmen die technisch-organisatorischen Maßnahmen aus ISIS12. Sie bewerten die CISIS12-Bausteine. Sie müssen wissen, welche Geschäftsprozesse in Ihrem Unternehmen oder in Ihrer Organisation von Bedeutung sind. Dazu führen Sie Interviews mit den Fachbereichsleitern, und sie führen die Schutzbedarfsbewertung durch. Die Schutzobjekte bekommen ein Schutzniveau. Fertig! Eine kompetente Beratung ist hier natürlich sehr von Vorteil. Wir in Neumarkt waren daher sehr froh, dass wir diesen Schritt als Pilotpartner des Clusters schon so früh gehen durften. Mit der Unterstützung unseres kompetenten Partners war dann die Weiterentwicklung unserer Organisation unter Einsatz von CISIS12 kein Problem mehr.

IT-SEC: Was brauchen Sie vom Cluster? Wie können wir unseren Service optimieren?

E.: Dass das IT-Sicherheitscluster beispielsweise Foren, jetzt natürlich online, organisiert, ist wirklich eine Hilfe. So können sich beispielsweise ISB in einem Rahmen austauschen, in dem Unternehmen unterschiedlicher Größe und Kommunen oder die ISB aus Landkreisen über ihre Erfahrungen im Berufsalltag sprechen. Dass das Cluster zudem verlässlich und stetiger Ansprechpartner ist und außerdem die Interessen von uns Anwendern wahrnimmt und bei der Entwicklung des ISMS berücksichtigt, ist bei solch großen Vorhaben wie der Einführung eines ISMS zwar nicht immer direkt sichtbar, aber auf jeden Fall eine große Hilfe.