Mit CISIS12 Cyberattacken besser abwehren
IT-Sicherheit für KMU
Für kleine und mittlere Unternehmen sowie kommunale Einrichtungen gibt es eine Reihe von praxisnahen Standards, die beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) unterstützen können.
Einer dieser Ansätze ist CISIS12®, ein vom IT-Sicherheitscluster e.V. entwickelter Standard, der sich durch eine strukturierte Umsetzung in zwölf Schritten auszeichnet. Ziel ist es, Unternehmen eine systematische Herangehensweise zur Stärkung ihrer IT-Sicherheit zu ermöglichen.
Der Standard wurde als Weiterentwicklung des früheren ISIS12-Ansatzes konzipiert und um Aspekte der Compliance erweitert.
Die Verantwortung für die Weiterentwicklung, Zertifizierung und Betreuung von CISIS12® liegt ausschließlich beim IT-Sicherheitscluster e.V. sowie den von dort benannten Partnern.
Die Erhöhung der IT-Sicherheit sorgt für eine Haftungsreduzierung
Für kleine und mittlere Unternehmen (KMU) stellen begrenzte personelle Ressourcen und fehlendes IT-Fachwissen häufig eine Hürde bei der Einführung eines Informationssicherheitsmanagementsystems (ISMS) dar.
Aus diesem Grund wurden verschiedene Standards entwickelt, die einen strukturierten und praxisnahen Einstieg in die IT-Sicherheit ermöglichen – darunter auch CISIS12®, das vom IT-Sicherheitscluster e.V. speziell für die Bedarfe von KMU und Kommunen konzipiert wurde. Der Standard sieht einen klar definierten, mehrstufigen Prozess vor, mit dem organisatorische und technische Maßnahmen zur IT-Sicherheit systematisch geplant und umgesetzt werden können.
Eine Einführung eines solchen Standards kann dazu beitragen, interne Sicherheitsstrukturen zu verbessern, Risiken zu minimieren und im Bedarfsfall einen nachvollziehbaren Nachweis über ergriffene Maßnahmen zu erbringen.
Je nach Entwicklung der Unternehmensanforderungen kann später auf weitere Standards wie ISO/IEC 27001 oder TISAX aufgebaut werden – insbesondere dann, wenn Kundenanforderungen oder gesetzliche Nachweispflichten eine Zertifizierung verlangen.
Die Durchführung einer Zertifizierung nach CISIS12® erfolgt ausschließlich über anerkannte Partner des IT-Sicherheitscluster e.V. Weitere Informationen dazu erhalten Sie direkt beim Rechteinhaber.
Vorteile der CISIS12
Grundlage einer IT-Zertifizierung ist die Einführung eines Informations-Sicherheitsmanagement-Systems. Neben einer besseren Außendarstellung und einer Absicherung im Schadensfall – beispielsweise Datenverlust nach Stromausfall oder Erpressung durch Cyberkriminelle – profitieren Sie von weiteren Vorteilen.
Das stärkste Argument für ein ISMS ist dabei, dass Sie damit die eigenen Unternehmenswerte schützen.
Wie verschiedene Studien zeigen, geht die Mehrheit der Unternehmer trotz zunehmender Meldungen über Cyberangriffe immer noch davon aus, dass sie zu klein oder uninteressant für Cyberkriminelle seien. Hacker unterscheiden jedoch nicht nach Unternehmensgröße oder der potenziellen Marge, da der Handel mit erbeuteten Daten generell ein sehr lukratives Geschäft ist. Ein grundlegender Schritt – bei dem es in mittelständischen Unternehmen allerdings immer noch hakt – ist das Schließen von Sicherheitslöchern mithilfe der sogenannten IT-Standardmaßnahmen. Hier sollten Sie unbedingt überprüfen, dass in Ihrem Unternehmen die Hausaufgaben in der IT-Sicherheit gemacht wurden.
Eine Nachlässigkeit wäre vergleichbar mit einem Unternehmer, der sein Cabrio mit einer digitalen Spiegelreflexkamera auf dem Beifahrersitz offen auf einem Einkaufsparkplatz abstellt …
Ein Beispiel für die Folgen mangelnder IT-Sicherheit zeigt die Insolvenz eines deutschen Küchenherstellers, dessen Daten durch einen Stromausfall verlorengingen. Mit der IT-Standardmaßnahme “Daten durch Backup-Lösung absichern” wäre der Schaden wahrscheinlich beherrschbar geblieben.
Weitere Vorteile, die Ihnen eine Erhöhung Ihrer IT-Sicherheit durch ein ISMS bringt:
- Sicherheitsniveau wird erhöht → eingefahrenen Prozessen Betriebsblindheit entgegenwirken
- Cyber-Angriffe werden effizienter abgewehrt
- Außenwirkung steigt
- Akquisemittel für Neukunden
- Erfüllung von Kundenanforderungen
- Voraussetzung für eine Cyber-Versicherung
- Haftungsreduzierung ⇒ ISMS wird auf Funktionsfähigkeit überprüft
- Erfüllung gesetzlicher Anforderungen
- Sie haben einen Notfallplan in der Tasche
Zertifizierungskosten
Der Aufwand für die Einführung eines Informations-Sicherheitsmanagement-Systems (ISMS) richtet sich nach der Größe des Unternehmens, den bestehenden informationstechnischen Grundlagen und den Mitarbeiterkapazitäten.
Im Vergleich zu einer ISO27001-Einführung sind die Kosten der CISIS12-Zertifizierung deutlich geringer, da der Umfang der Prüfung reduziert werden kann. Obwohl sich CISIS12 durch einen schlanken Aufbau auszeichnet, handelt es sich um ein vollwertiges System zur Datensicherheit im Unternehmen.
Für eine mittelständische Spedition beläuft sich die Zertifizierungsdauer je nach Anzahl der Mitarbeiter auf 2 bis 5 Tage.
Plan – Do – Check – Act
00. Gute Vorbereitung ist die halbe Miete
Die effiziente Umsetzung eines Vorhabens gelingt nur bei entsprechender Vorbereitung und klarer Zielsetzung. Für den Erfolg der ISMS-Implementierung ist es daher grundlegend, dass im Vorfeld ein Projekt aufgesetzt wird. Hierfür werden folgende Themen besprochen:
- Projektauftrag inkl. Zieldefinition
- Rollen und Verantwortlichkeiten
- Projektmanagement-Methoden (Werkzeuge)
Gegebenenfalls ist auch eine für die Projektunterstützung passende Software auszuwählen. Der Nutzen solch einer Software ist, dass sie die einzelnen Implementierungsschritte abbilden und alle Beteiligten auf diese Weise durch das Projekt begleiten kann.
Zudem wird eine Stakeholder-Analyse durchgeführt, die bei unklarer Ist-Situation durch eine Schwachstellen-Analyse ergänzt wird.
01. Leitlinie erstellen
Eine Leitlinie ist ein kurzes Schriftstück zur Beschreibung der IT-Sicherheitsziele, die mit der Implementierung des ISMS verfolgt werden. Neben Leitaussagen zu Erfolgsmessung und Verantwortlichkeiten definiert es die Kundenanforderungen. Dabei wird darauf hingewiesen, dass die Gesamtverantwortung bzw. die Hoheit über das Projekt bei der Geschäftsleitung verbleibt.
Die "Do"-Phase – Einführung in die Praxis
Nachdem die Ausgestaltung des Informations-Sicherheitsmanagement-Systems (ISMS) nach und nach Formen angenommen hat, wird es Zeit, dessen Einführung in die Praxis vorzubereiten.
Dabei sollten Sie darauf achten, alle Mitarbeiter in den ISMS-Prozess einzubinden. Neben einer strukturierten Dokumentation kommt es auf die Festlegung der Verantwortlichen und deren Rollen an.
Aufgrund der engen Vernetzung der IT-Systeme in Unternehmen geht ein großes Risiko von den Beschäftigen selbst aus, da diese aus Unachtsamkeit häufig Sicherheitslücken schaffen. Zu den Hauptursachen von IT-Sicherheitsvorfällen in KMU zählen bekanntermaßen Spam-Mails, Viren und Trojanische Pferde. In den meisten Fällen ist es nachlässiges Verhalten, das den Cyberkriminellen die Türen in die IT-Systeme des Unternehmens öffnet.
02. Beschäftigte sensibilisieren
Die Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit ist ein Prozess, der sich über sämtliche Phasen der ISMS-Einführung erstreckt. Hier kommt die Bedeutung des PDCA-Zyklus (Plan-Do-Check-Act) besonders gut zur Geltung, da Schulungen zur Cybersicherheit und zum verantwortungsvollen Umgang mit Daten keine einmalige Maßnahme sind, sondern einen fortlaufenden Prozess darstellen.
Beim Thema Mitarbeitersensibilisierung sollten folgende Aspekte berücksichtigt werden:
- Schulungskonzepte entwickeln
- Schulungsplan erstellen
- zielgruppenspezifische Schulungen durchführen
- Eigenverantwortlichkeit fördern
- über mögliche Sanktionen aufklären (Verursacherhaftung)
- vernünftige Fehlerkultur fördern
- kontinuierlichen Schulungsprozess etablieren
03. Informationssicherheitsteam aufbauen
In der Vorbereitungsphase zur ISMS-Einführung hatten Sie die Vergabe von Rollen und Verantwortlichkeiten geplant und klar geregelt, wem welche Aufgaben übertragen werden sollen. Nun ist das ISMS-Team zusammenzustellen. Das Team wird dabei in zwei Kategorien unterteilt – das Kernteam und das erweiterte Team.
Erweitertes Team
- Interne und externe Spezialisten
(z. B. IT, CISIS12-Berater) - Geschäftsleitung
- Vertreter Fachabteilungen
- QM-Beauftragter
- Fachkraft für Arbeitssicherheit
- Personalvertreter
Kernteam
- DSB (Datenschutzbeauftragter)
- ISB (Informationssicherheitsbeauftragter)
- IT-Leitung
04. IT-Dokumentation
Ein Kernpunkt des Informations-Sicherheitsmanagement-Systems (ISMS) ist die IT-Dokumentation. Damit das ISMS ordnungsgemäß funktioniert, müssen Dokumente gelenkt, freigegeben und klassifiziert werden.
Aus Gründen der Vertraulichkeit dürfen das IT-Betriebshandbuch und das IT-Notfallhandbuch nur für berechtigte Personen zugänglich sein. Eine weitere Schlüsselmaßnahme ist, die Dokumente zusätzlich auch in analoger Form an einem sicheren Ort zu verwahren. So sind zentrale Informationen vor einem Hackerangriff geschützt und bleiben zugänglich, auch wenn die Server im Unternehmen zur Abwehr eines Cyberangriffs zeitweise heruntergefahren werden müssen.
Um einen störungsfreien IT-Betrieb zu gewährleisten, ist es gute Praxis, Leitlinien zur Datensicherheit zu veröffentlichen sowie entsprechende Nachweise über deren Einhaltung vorzuhalten.
Aufgrund des strukturierten Aufbaus der IT-Dokumentation haben die Leitlinien einen direkten Einfluss auf die geforderten Referenzdokumente der CISIS12.
05. IT-Servicemanagement
Die Unternehmens-IT hat eine unterstützende Funktion und soll Sie befähigen, Ihre Geschäftsprozesse möglichst effizient abzuwickeln. Auf der anderen Seite bringt es die Digitalisierung mit sich, dass Datenbanken, Lagerbestände oder Auftragsdetails nicht mehr zugänglich sind, wenn das IT-System “down” ist. Daher ist es erforderlich, dass die Dienste des IT-Betriebes kontinuierlich und störungsfrei zur Verfügung stehen. Das Ziel sind also reibungslose digitale Abläufe.
Wartungsarbeiten an den IT-Systemen werden daher in der Regel außerhalb der Hauptbetriebszeiten durchgeführt. Viel wichtiger ist jedoch, dass ungeplante Störungen (Incidents) möglichst zeitnah und verlustarm beseitigt werden.
Das Servicemanagement beschreibt alle Prozesse und Aktivitäten rund um die Planung, Zusammenstellung, Lieferung und den Support von IT-Services. Wenn Sie eine Zertifizierung Ihrer IT-Sicherheit anstreben, wird während der ISMS-Einführung ein IT-Servicemanagement-Handbuch aufgesetzt, da dieses eine Voraussetzung für die Zertifizierung ist. Verfügen Sie bereits über ein IT-Servicemanagement-Handbuch, wird es entsprechend aktualisiert.
Im Handbuch müssen die von der CISIS12-Norm geforderten Serviceprozesse dokumentiert werden. Zudem sollte es Nachweise geben, dass diese Prozesse auch gelebt werden:
Wartungsprozess
– IT-Infrastruktur
– Gebäude Infrastruktur
– Software
Störungsbeseitigungsprozess (Incident Management)
– Störungsbeseitigungsprozess einleiten
– Ggf. Notfallmanagement aktivieren
Änderungsmanagement (Change-Management)
– Anforderungen strukturiert erfassen & bewerten
– Keine Änderungen ohne Freigabe
06. Compliance und Schutzbedarf
Unternehmer sind mit umfangreichen gesetzliche Anforderungen konfrontiert, deren Einhaltung sicherzustellen und zu dokumentieren ist. So auch im Bereich IT-Sicherheit und Datenschutz. In diesem Zuge wird in der Regel eine Gefährdungsbeurteilung notwendig. Das bedeutet, dass die kritischen Prozesse und Anwendungen eines Unternehmens zu identifizieren und nach Gefahrenpotenzial einzustufen sind. Die kritischen Prozesse und Anwendungen eines Unternehmens sind wiederum abhängig von der IT-Infrastruktur sowie einer funktionierenden Gebäudeinfrastruktur.
Gebäudeinfrastruktur_S10
Für alle kritischen Prozesse und Anwendungen müssen die Schutzbedarfe sowie die Auswirkungen im Schadensfall analysiert werden. In der Regel werden die Ergebnisse in einer Matrix dargestellt.
Der Schutzbedarfsanalyse liegt der Gedanke zugrunde, dass für ein Zielobjekt die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet werden müssen. Werden diese Grundwerte verletzt, beispielsweise, weil vertrauliche Informationen unberechtigterweise weitergegeben wurden, oder weil autorisierte Nutzer am Zugriff auf Systeme behindert werden, entsteht ein Schaden. Der Schutzbedarf eines Objekts wird anhand des Ausmaßes des drohenden Schadens bestimmt.
Schadensauswirkung
- Überschaubar
- Beträchtlich
- Existentiell, bedrohlich
Die Risikoanalyse geht Hand in Hand mit der Schutzbedarfsanalyse. Das Risikomanagement der CISIS12 folgt einem risikobasierten Ansatz, das heißt, dass Risiken in Verbindung mit Eintrittswahrscheinlichkeiten sowie Schadenshöhe ermittelt werden. Als logische Konsequenz erfolgt eine Risikobehandlung. Es werden also Maßnahmen gegen die Risiken entwickelt und auf ihre Wirksamkeit überprüft. Das Ganze wird dann in einem Maßnahmenkatalog festgehalten.
- Risiken identifizieren
- Eintrittswahrscheinlichkeit ermitteln
- Schadenshöhe
- Risikobehandlung ⇒ Maßnahmen entwickeln
- Maßnahmen Wirksamkeit überprüfen
- Maßnahmenkatalog erstellt
Durch die Einschätzung der Eintrittswahrscheinlichkeit und des Ausmaßes eines Schadens ist es möglich, Risiken besser einzuschätzen und zu visualisieren:
Diese Analyse dient als Basis, auf der das Backup-Konzept sowie das Notfallmanagement aufgesetzt werden. Einen besonderen Einfluss haben dabei die maximal tolerierbare Ausfallzeit (MTA) sowie der maximal tolerierbare Datenverlust (MTD).
Um die gesetzlichen Anforderungen einzuhalten, sollte ein Rechtskataster mit allen relevanten Gesetzen angelegt werden.
Auszug:
- DSGVO
- Fernmeldegesetz
- IT-Sicherheitsgesetz
- Kundenanforderung TISAX
- Norm – CISIS12
07. IT-Struktur analysieren
Bei der IT-Strukturanalyse werden alle IT-Assets systematisch per Excel oder mit einem Tool erfasst.
Kritische Systeme und Prozesse benötigen eine detaillierte Funktionsbeschreibung, um ein Notfallmanagement gewährleisten zu können. Durch eine Gruppierung der Assets wird ein bereinigter Netzplan erzeugt, der zur Komplexitätsreduktion beiträgt.
Für alle kritischen Objekte müssen die Schutzbedarfe definiert und entsprechende Sicherheitsmaßnahmen gemäß der CISIS12-Bausteine modelliert werden.
Die "Check"-Phase – Vertrauen ist gut, Kontrolle ist besser
Um einen objektiven Eindruck vom erreichten IT-Sicherheitsniveau zu erhalten, ist es notwendig, die „Check-Phase“ gewissenhaft zu bearbeiten. Dies geschieht mittels eines Soll-Ist-Vergleichs, ggf. mit anschließender Maßnahmenumsetzung.
08.Soll-Ist-Vergleich
Nachweislich steht und fällt der Erfolg eines Projekts mit der Projektplanung. Aus diesem Grund hat das Projektmanagement in der CISIS12-Norm einen hohen Stellenwert. Die erfolgreiche Einführung eines Informations-Sicherheitsmanagement-Systems (ISMS) gelingt durch eine gut strukturierte Umsetzungsplanung.
Im ersten Schritt wird ein Kostenabschätzung der Maßnahmen durchgeführt, gefolgt von einer Priorisierung nach:
- Sicherheitsniveau
- Breitenwirkung
- Gegenseitigen Abhängigkeiten
Nach einer Konsolidierung ungeeigneter, identischer oder höherwertiger Maßnahmen wird über das Change-Management die Umsetzung überwacht. Begleitet werden die Maßnahmen von Schulungen und der Sensibilisierung der Mitarbeiter.
Die "Act"-Phase – Erfolgsüberprüfung
In der letzten Phase des Plan-Do-Check-Act-Zyklus soll auf Ergebnisse reagiert werden, die durch die vorhergehenden Maßnahmen erreicht wurden. Besondere Bedeutung hat der PDCA-Zyklus für den Punkt “Revision”. Die CISIS12-Maßnahmen werden dabei auf Wirksamkeit und Angemessenheit überprüft.
10. Internes Audit
Vorteile eines internen Audits:
- Überprüfung, ob das implementierte ISMS die IT-Sicherheitsziele erfüllt
- Verbesserungspotenziale werden aufgezeigt
- Mitarbeiter werden eingebunden
- Kosteneinsparung durch
- Identifikation unnötiger Maßnahmen
- frühzeitiges Erkennen von Qualitätsabweichungen
- Qualitätssteigerungen
Vorteile interner Audits durch externe Patei:
Wird eine externe Person mit dem internen Audit beauftragt, können sich daraus folgende Vorteile ergeben:
- Neutrale Bewertung
- Zugriff auf Expertenwissen
- Schnellere Durchführung
(Eigene Mitarbeiter werden zeitlich nicht so stark belastet)
Die Ergebnisse eines Audis müssen analysiert und Ursachen für Abweichungen mit dem Audit-Team identifiziert werden. Die Verbesserungsmaßnahmen fließen in die Umsetzungsplanung ein und werden vom Change-Management bewertet und priorisiert.
Nach einem Audit ergibt sich für das Management ein klares Bild, wie das aktuelle IT-Sicherheitsniveau im Unternehmen ausgeprägt ist und an welchen Stellschrauben noch gedreht werden sollte.
11. Revision versus Audit
Im Gegensatz zum Audit, das aufgrund der Natur der Sache eine Momentaufnahme darstellt, verfolgt die Revision einen kontinuierlichen Ansatz und sollte in regelmäßigen, kürzeren Abständen und idealerweise vor einem Audit erfolgen. Der Revisionsplan zielt auf die Analyse des gesamten Informations-Sicherheitsmanagement-Systems (ISMS) ab. Um zu gewährleisten, dass stets ein angemessenes Sicherheitsniveau herrscht, werden die umgesetzten CISIS12-Schritte daraufhin untersucht, ob diese mit den aktuellen IT-Sicherheitszielen vereinbar sind.
Eine Revisionsplan umfasst die folgenden Punkte:
- Alle ISMS-Dokumente gem. Revisionsdatum aktualisieren
- Prüfschwerpunkte festlegen
- ISMS in die Geschäftsprozesse integrieren
Durch die Integration des Revisionsplans in den kontinuierlichen Verbesserungsprozess wird sichergestellt, dass die Instrumente für ein funktionierendes ISMS kontinuierlich überprüft und verbessert werden.
12. Zertifizierung
Vorteile einer Zertifizierung
Neben einer verbesserten Außendarstellung gegenüber bestehenden oder potenziellen Kunden gibt es weitere Vorteile einer Zertifizierung.
- Stärkung der Außenwirkung
- Sichtbarer Nachweis des IT-Sicherheitsniveaus
- wirkungsvolles Akquise-Instrument für die Neukundengewinnung
- Erfüllung von Kundenanforderungen
- Haftungsreduzierung
⇒ ISMS wird auf Funktionsfähigkeit überprüft - Erfüllung gesetzlicher Anforderungen
- Erhöhung des Sicherheitsniveaus
⇒ Schutz vor “Business as usual” / Betriebsblindheit
Zertifizierungsstellen
Eine Zertifizierung nach CISIS12-Norm erfolgt von akkreditierten Zertifizierungsstellen. Der externe Auditor übermittelt den Audit-Bericht an eine von zwei Zertifizierungsstellen:
- DQS GmbH
- datenschutz cert GmbH
Diese prüft den Audit-Bericht und erteilt bei positiver Prüfung das Zertifikat.
Gültigkeit
Einführungs- und Zertifizierungskosten
Der Aufwand für die Einführung eines Informations-Sicherheitsmanagement-Systems (ISMS) richtet sich nach der Größe des Unternehmens, den bestehenden informationstechnischen Grundlagen und den Mitarbeiterkapazitäten.
Im Vergleich zu einer ISO27001-Einführung sind die Kosten der CISIS12-Zertifizierung deutlich geringer, da der Umfang der Prüfung reduziert werden kann. Obwohl sich CISIS12 durch einen schlanken Aufbau auszeichnet, handelt es sich um ein vollwertiges System zur Datensicherheit im Unternehmen.
Für eine mittelständische Spedition beläuft sich die Zertifizierungsdauer je nach Anzahl der Mitarbeiter auf 2 bis 5 Tage.
- Die Einführungskosten hängen von den gleichen Kriterien wie die Einführungsdauer ab.
- Für ein zertifiziertes ISMS können folgenden Aufwände anfallen:
Kosten für die:
- Einführung (interne/externe Mitarbeiter)
- Zertifizierung
- Ggf. Lizenzkosten für Software/Vorlagen
Hinweis: CISIS12® ist eine eingetragene Marke des IT-Sicherheitscluster e.V.
Die Nennung erfolgt ausschließlich zu Informationszwecken im Rahmen einer neutralen Darstellung gängiger ISMS-Standards.
SpediHub steht in keiner wirtschaftlichen oder organisatorischen Verbindung zum Rechteinhaber und bietet keine CISIS12®-Beratung
oder -Zertifizierung an.
Nähere Informationen zu unseren IT-Security-Paketen finden Sie hier.
FAQ
Warum sollten Sie ein Informations-Sicherheitsmanagement System (ISMS) einführen?
- Das stärkste Argument sollte für Sie sein, dass Sie dadurch die eigenen Unternehmenswerte schützen. Viele Unternehmer gehen davon aus, dass sie zu klein seien, um in das Visier von Cyberkriminellen zu geraten. Hacker unterscheiden jedoch nicht nach Größe oder potenzieller Marge.
- Für den Abschluss einer Cyber-Versicherung ist ein Nachweis über das aktuelle Sicherheitsniveau erforderlich.
Die Einführungsdauer hängt von unterschiedlichen Kriterien ab:
- Größe des Unternehmens
- Scope des ISMS (Welche Standorte bzw. Abteilungen müssen berücksichtigt werden)
- Angestrebtes Sicherheitsniveau
- Auf welche Grundlagen kann aufgebaut werden
o Aktuelles Sicherheitsniveau
o Vorhandene Anweisungen, Richtlinien - Knowhow und Zeitressourcen des internen und externen Projektteams
- Je nachdem, welche Voraussetzungen vorliegen, können innerhalb von 3–6 Monaten gute Ergebnisse erarbeitet werden.
Idealerweise wird für die ISMS-Einführung ein Expertenteam zusammengestellt, das durch Mitarbeiter aus folgenden Bereichen besetzt ist:
- Geschäftsleitung
- IT-Leiter
- Informationssicherheit
- Arbeitssicherheit
- Datenschutz
- Qualitätsmanagement
- Fachbereichsverantwortliche
Systeme wie der IT-Grundschutz oder die ISO27001 sind durch eine hohe Komplexität gekennzeichnet und es mangelt ihnen dadurch auch an der nötigen Flexibilität. Beim CISIS12 handelt es sich um ein schlankes System, mit dem KMU trotz begrenzter personeller und zeitlicher Ressourcen die nötigen IT-Sicherheitsmaßnahmen umsetzen und eine Zertifizierung erhalten können. Die Einführung nach CISIS12 ist in einem überschaubaren Zeitraum und daher auch zu überschaubaren Kosten möglich.
- Prinzipiell kann ein ISMS eingeführt werden, ohne dafür eine bestimmte Software zu verwenden.
- Für eine effizientere und schnellere Umsetzung ist eine ISMS-Software jedoch durchaus sinnvoll. Weitere Vorteile entstehen beim nächsten Überprüfungstermin der IT-Sicherheit, da ein ISMS einem kontinuierlichen Verbesserungsprozess unterworfen ist.
- Der Umgang mit ISMS-Musterdokumenten wird in den meisten Unternehmen individuell gehandhabt. Den größten Nutzen erreicht man, indem alle Dokumente selbst erarbeitet werden.
- „Wie funktioniert die Zertifizierung bei niedrigschwelligen ISMS-Modellen?“
- „Einige ISMS-Standards für KMU bieten optional die Möglichkeit, sich durch externe Stellen zertifizieren zu lassen. Für bestimmte Modelle – wie CISIS12® – erfolgt dies über vom Rechteinhaber benannte Stellen. Informationen dazu erhalten Sie direkt beim IT-Sicherheitscluster e.V.
CISIS12® ist eine eingetragene Marke des IT-Sicherheitscluster e.V.
Die CISIS12®-Zertifizierung erfolgt ausschließlich durch akkreditierte Partner des IT-Sicherheitscluster e.V.
Aktuelle Beiträge zur Datensicherheit
Wie Logistikunternehmen von einem ISMS profitieren
So schützen sich Logistiker mit einem Informationssicherheits-Managementsystem (ISMS) vor Hackerangriffen und Cyberattacken.
Beitragsbild: istock.com | ArLawKa AungTun
Datensicherheit, Datenqualität und die Auswirkungen auf den Schutzbedarf
Datensicherheit und Datenqualität sowie die Auswirkungen auf den Schutzbedarf DSGVO – Datenqualität Spätestens mit der Einführung der DSGVO sollte sich
Beitragsbild: (c) Mikhailmishchenko | Dreamstime.com
Steigende Bedrohung durch Cyberangriffe
Um Ihre Datensicherheit / IT-Sicherheit zu verbessen, muss man wissen, wo sich Sicherheitslücken eingeschlichen haben. Eine IT-Risikoanalyse..
Beitragsbild: istock.com | BrianAJackson
Wachsende Schäden durch Cyberangriffe im Mittelstand
Mittelständische Unternehmen sind nicht ausreichend vor IT-Risiken geschützt. Defizite gibt es vor allem bei den sogenannten Standardmaßnahmen. Dabei wären doch..
Beitragsbild: istock.com | Eisenlohr
Backupstrategie für Logistikunternehmen
Das IT-Backup ist für Ihr Unternehmen eine Art „Lebensversicherung“. Wir erklären Ihnen, wie Sie ein wirkungsvolles Backup anlegen können und erläutern, in welche ergänzenden Maßnahmen Sie dieses Backup einbetten sollten.
Beitragsbild: istock.com | ArLawKa AungTun
Steiler Anstieg bei Lösegeldzahlungen in 2022 Was bringt eine Cyber-Versicherung?
Was bringt eine Cyber-Versicherung? Die zunehmende Bedrohung durch Cyberangriffe ist inzwischen ein großes Thema, sowohl in der Fachliteratur als auch
