GCS: Mit dem Standard CISIS12 sensible Daten schützen

Im ersten Schritt wird im Wesentlichen eine Leitlinie zur Informationssicherheit erstellt. Sie dient als Referenzdokument der CISIS12-Norm und ist wesentliches Element eines Informationssicherheitsmanagementsystems (ISMS).

Viele Projekte zur Informationssicherheit berücksichtigen die Beschäftigten erst am Ende. Gerade das Thema Cybersicherheit trifft aber in aller erster Linie die Beschäftigten und auch Führungskräfte. Im Rahmen von Schritt 2 muss auf Basis eines entsprechenden Konzepts ein Prozess etabliert werden, der die Schulung, die Sensibilisierung und die Information der Beschäftigten nachhaltig und zielgruppenspezifisch sicherstellt.

In Schritt 3 werden die für den Aufbau des ISMS notwendigen Aufgaben, Rechte und Pflichten schriftlich festgelegt und ein ISMS-Team bestimmt. Abhängig von der Organisationsgröße müssen die Rollen im Team festgelegt werden und wer zum Kernteam beziehungsweise zum erweiterten Sicherheitsteam gehören soll. Ungeachtet dieser Aufbauorganisation muss in jedem Fall ein Mitglied der Organisationsleitung in das erweiterte Team integriert werden.

Kein erfolgreiches Projekt ohne guten Plan. Vor diesem Hintergrund geht es in Schritt 4 des CISIS12-Vorgehensmodells darum, eine für das ISMS passende Dokumentationsstruktur zu erstellen und gemäß dem PDCA-Zyklus fortzuschreiben. Dabei muss eine Dokumentation, die einerseits die Organisation bei dem Betrieb des ISMS unterstützen soll, aber auch andererseits als Nachweis für die Zertifizierung dient, die Anforderungen Strukturiertheit, Übersichtlichkeit, Vollständigkeit, Verständlichkeit, Korrektheit, Nachvollziehbarkeit, Objektivität, Integrität und Authentizität erfüllen. Die CISIS12-Norm nennt die 16 Pflichtdokumente (zum Beispiel Leitlinie, Schulungs- und Sensibilisierungskonzept über Betriebshandbuch und Netzplan bis hin zu einem Managementbericht inklusive Umsetzungs- und Risikobehandlungsplan und Notfallhandbuch). Neben diesen zertifizierungsrelevanten Referenzdokumenten entstehen beim Durchlaufen der 12 Schritte zwangsläufig weitere Dokumente, zum Beispiel Arbeitsanweisungen, Prozessbeschreibungen oder Konzepte. Nahezu alle Dokumentationen müssen den Beschäftigten bekanntgemacht werden.

Einer der wesentlichen Unterschiede zu anderen ISMS-Vorgehensmodellen ist die Implementierung des IT-Servicemanagements in das CISIS12-Vorgehensmodell. Gerade die Implementierung von klar definierten und beschriebenen IT-Servicemanagementprozessen bildet einen wesentlichen Erfolgsfaktor für die Steigerung der Informationssicherheit beziehungsweise den Reifegrad des ISMS. In Schritt 5 sind somit die drei wesentlichen IT-Servicemanagementprozesse (Wartungs-, Störungs- und Änderungsprozesse) organisationsspezifisch aufzubauen, beziehungsweise die bereits in der Realität bestehenden Prozesse in das ISMS zu integrieren und fortzuentwickeln.

In Schritt 6 geht es darum, sowohl die gesetzlichen Anforderungen und vertraglichen Verpflichtungen (Compliance) als auch die Prozesssicht in das Managementsystem zu integrieren. Dabei umfasst CISIS12 fünf Betrachtungsebenen, nämlich die Compliance- und Prozessschicht sowie die Anwendungs-, Infrastruktur- und Gebäudeebene. Damit bietet CISIS12 eine Sichtweise auf Leitungsebene: „Welche rechtlichen Anforderungen und Compliance-Anforderungen muss die Leitungsebene erfüllen und wie können diese in der Praxis umgesetzt werden (Corporate Governance)?“. Somit erleichtert das Vorgehensmodell CISIS12 der Leitungsebene das Handeln und die Übertragung der notwendigen Aufgaben zum Aufbau und zur Etablierung eines ISMS bei gleichzeitiger Erfüllung der gesetzlichen Vorgaben und Minimierung der Haftungsrisiken der Leitungsebene. Dies bedeutet, dass in Schritt 6 die für die Organisation wesentlichen Geschäftsprozesse identifiziert und hinsichtlich der Schutzbedarfe Vertraulichkeit, Integrität und Verfügbarkeit bewertet werden.

Die Erfassung der IT-Infrastruktur (auch Assets genannt, zum Beispiel Server, Clients, aktive Netzkomponenten etc.) leitet sich aus den in Schritt 6 identifizierten Geschäftsprozessen und den für diese Geschäftsprozesse notwendigen Anwendungen ab und bildet eine wichtige Säule des ISMS.

Eine wesentliche Neuerung im CISIS12-Vorgehensmodell ist das Risikomanagement. Die jüngsten geopolitischen Entwicklungen haben gezeigt, dass der Aufbau eines Informationssicherheitsmanagements heute ein „Must-have“ für alle Organisationen ist. Das darin etablierte Risikomanagement ist ein wichtiges Instrument, um aus der Vergangenheit zu lernen und zukünftige Ereignisse besser einschätzen zu können. Ein wesentliches Ergebnis einer Risikobetrachtung ist der Risikobehandlungsplan.

In Schritt 9 werden die in den Schritten 6 und 7 erfassten Prozesse, Anwendungen, IT-Infrastrukturen und Gebäude und die daraus modellierten Maßnahmen aus dem CISIS12-Bausteinkatalog hinsichtlich des Umsetzungsgrads bewertet. Dieser Bewertungsprozess erfolgt als Selbstbewertung, die durch (externe) Dritte unterstützt werden kann.

Die in Schritt 9 ermittelten Umsetzungsgrade der einzelnen Maßnahmen können in Schritt 10 – gegebenenfalls toolgestützt – in einen Umsetzungsplan überführt werden. Hierbei können einzelne Maßnahmen priorisiert, deren finanzielle und personellen Aufwände erfasst und die Rollen des Initiators und des Umsetzers toolgestützt festgelegt werden. Kein System ist perfekt. Das gilt auch für das mit CISIS12 aufgebaute ISMS. Der Reifegrad eines Managementsystems mit CISIS12 entwickelt sich erst mit mehreren Durchläufen. Beim Erstaudit wird somit von einem Systemaudit gesprochen, wobei bei der Zertifizierungsprüfung der Schwerpunkt auf die Dokumentation und die Umsetzung der Plandokumente (gelebter Sicherheitsprozess) gelegt wird. Im Überwachungsaudit wird dann geprüft, wie sich das ISMS weiterentwickelt hat und wie sich diese Weiterentwicklung auf den Reifegrad auswirkt.

In Schritt 11 fordert CISIS12, dass die Organisation ein entsprechendes Auditprogramm erstellt. In diesem Auditprogramm sollen dann sowohl die jeweiligen Zertifizierungs- als auch die internen Audits enthalten sein. Mithilfe der internen Audits soll die Organisation selbst in die Lage versetzt werden, ihr eigenes ISMS auf Schwachstellen zu untersuchen und entsprechend zu verbessern.

Die CISIS12-Schritte 1 bis 11 sind gemäß dem PDCA-Zyklus regelmäßig (zum Beispiel jährlich) zu durchlaufen. Veränderungen und Ergänzungen können aber auch jederzeit in das Managementsystem eingebracht werden. Schritt 12 fasst die Ergebnisse des abgeschlossenen PDCA-Zyklus zusammen und endet mit der Erstellung eines Managementberichts. Dieser wird um Dokumente wie Umsetzungsplan und Risikobehandlungsplan ergänzt und sollte von der Leitungsebene im Rahmen einer Managementbewertung entsprechend gewürdigt werden. Gleichzeitig stellt der Managementbericht eines der zertifizierungsrelevanten Referenzdokumente dar. Sobald die Leitungsebene den Managementbericht inklusive seiner Anlagen freigegeben hat, kann der nächste PDCA-Zyklus beginnen und der kontinuierliche Verbesserungsprozess eingeleitet werden.