ISIS12 hat sich in den vergangenen Jahren als Standard unter den Informationssicherheitsmanagementsystemen (ISMS) etabliert. Beliebt ist das ISMS vor allem deshalb, weil es in seinen konkreten 12 Schritten klare Handlungsanweisungen bietet und daher mit vergleichsweise geringer externer Unterstützung eingeführt werden kann und dadurch eine hohe Fertigstellungsgarantie aufweist.
Um ISIS12 aktuell zu halten, wurde zuletzt ein Modul zur Umsetzung der DSGVO als Zusatzmodul integriert. Jetzt wird ISIS12 grundlegend überarbeitet und mit der Erfahrung aus vielen Projekten verbessert. Michael Gruber, Geschäftsführer von BSP-SECURITY, ist Leiter der Entwicklung von ISIS12 und erzählt im Interview, worauf sich Nutzer und Interessenten bei ISIS12 2.0 einstellen dürfen.
Herr Gruber, allein der Name ISIS12 2.0 zeigt, dass es größere Änderungen bei dem Informationssicherheitsmanagementsystem in 12 Schritten geben wird. Was sind die Hauptpunkte?
Michael Gruber: Die größte Neuerung ist wohl, dass der BSI-Grundschutz Katalog nicht mehr Grundlage der empfohlenen Sicherheitsmaßnahmen sein wird. Wir beziehen Best Practice Beispiele mit ein und orientieren uns mit allgemeinen Handlungsempfehlungen in Richtung der ISO/IEC 27001. Die Möglichkeit, organisch auf ISO zu kommen, entspricht der Nachfrage und ist absolut sinnvoll.
Das heißt, alle die ISIS12 2.0 als Zwischenschritt zur ISO/IEC 27001 einführen wollen, haben es künftig leichter?
Ja, das stimmt. Einige der 12 Schritte im Vorgehensmodell werden so angepasst, dass diese inhaltlich näher an der ISO/IEC 27001 sind. In Schritt 8 wird beispielweise eine optionale Risikoanalyse eingearbeitet. Die Schritte 10 bis 12 werden ebenfalls überarbeitet. Hier sieht das Vorgehensmodell künftig unter anderem ein internes Audit, Messung der Sicherheit und KVP vor.
Zuletzt wurde auch die DSGVO mit in ISIS12 aufgenommen, was den Anwendern die Einführung sowieso notwendiger Maßnahmen erleichtert hat. Wird es das auch in ISIS12 2.0 geben?
Die Integration des Datenschutz-Managements im Sinne der DSGVO in das Vorgehensmodell ist etwas, das ISIS12 auszeichnet. Deshalb wird auch die Version 2.0 selbstverständlich DSGVO-kompatibel bleiben.
Was bedeutet die Weiterentwicklung zu ISIS 2.0 für alle, die ISIS12 bereits im Einsatz haben?
Die ISIS12 2.0 Architektur sieht vor, dass ISIS12-Nutzer ohne Mehrarbeit zur Version 2.0 migrieren können. Dies wird u.a. durch Matching-Tabellen erreicht, bereits erhobene Datenbestände on der bisherigen ISIS12 in die Version 2.0 zu übernehmen
Umstellen müssen sich bisherige Nutzerin der Anwendung nicht, was die Rahmenbedingungen angeht: Die Struktur mit Handbuch, Katalog und unterstützender Software bleibt unverändert.
Was sagen Sie jemandem, der überlegt ISIS12 2.0 einzuführen?
Eine gute Wahl! ISIS12 2.0 ist noch skalierbarer, auch für kleine Organisationen. Es zeichnet sich dadurch aus, dass das ISMS in Eigenregie mit minimaler externer Unterstützung einführbar ist. Und ganz wichtig, neben der Möglichkeit DSGVO Compliance durch Integration des Datenschutzmanagentsystems zu erweitern, kann in einem weiteren Schritt das ISMS ISO/IEC 27001 ready gestaltet werden. Wie schon das aktuelle ISIS12 Version wird es eine Zertifizierung des ISMS durch die DQS GmbH (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) geben. Das bedeutet, die Einführung von ISIS12 2.0 wird von einer unabhängigen Stelle überprüft und bestätigt. Das spricht für sich.
Vielen Dank für das Interview. Zum Schluss: was ist der Kern, der ISIS12 für Organisationen verschiedenster Größe und Ausprägung so interessant macht?
ISIS12 bietet einen nachvollziehbaren Weg zur Einführung eines ISMS, didaktisch mit Handbuch und Software optimal geführt, konkrete Sicherheitsmaßnahmen und ist ganz bewusst so gestaltet, dass es die Organisationen ermächtigt, das ISMS mit einer hohen Erfolgsquote selbst einzuführen. Wobei wie in vielen Bereichen externe Unterstützung die Qualität noch erhöhen kann.