Informationssicherheit und Datensicherheit
für öffentliche Verwaltungen

– wirksamer Schutz vor Cyberangriffen und Datenverlusten
dampf-consultinginformationssicherheit-datenschutz-behoerden-verwaltungen-isa-isis-cisis-iso-27001

ISA+Informations-Sicherheits-AnalyseWas ist die
ISA+Informations-Sicherheits-Analyse?

Die ISA+ Informations-Sicherheits-Analyse ist eine speziell für die Belange von kleinen und mittleren Organisationen geschaffener Fragenkatalog, entwickelt von Experten aus dem Bereich Datensicherheit des IT-Sicherheitsclusters e.V.

Worum geht es?

Gefährdungspotenziale werden immer vielfältiger: Heutzutage sind nicht mehr nur Großkonzerne von Risiken betroffen. Jede Organisation, die mit Daten umgeht – und das sind nahezu alle Kommunen und öffentlichen Einrichtungen – sind in der Pflicht, eben diese Daten umfassend zu schützen. Gesetzgebungen und Richtlinien zwingen Organisationen, Maßnahmen zur Informationssicherheit einzuleiten.

Nicht nur Daten von Bürgern oder Geschäftspartnern sind gemeint, sondern auch interne Daten wie Personal- oder Finanzdaten.

Informationssicherheit spielt in der Folge dieser Ist-Situation eine immer größer werdende Rolle, auch in kleinen und mittleren Organisationen (KMO). Aber nicht nur der Gesetzgeber verlangt Informationssicherheit.

Viele Unternehmen haben bereits erkannt, dass Informationssicherheit ein Wettbewerbsfaktor ist: auch Bürger legen größten Wert auf den Schutz ihrer Daten – eine Anforderung, die gerade von Behörden und öffentlichen Einrichtungen selbstverständlich erfüllt werden muss.

So wird die Datensicherheit schnell zum maßgeblichen Faktor für das Ansehen der Kommune in der Öffentlichkeit.

Gerade kleine und mittlere Behörden haben oftmals nicht die Möglichkeit, ihre Datensicherheit nach dem BSI Grundschutzkatalog oder der Richtlinie ISO 27001 durchzuführen. Doch auch für diese Organisationen ist Informationssicherheit, über die reine technische IT-Sicherheit hinausgehende, ein wichtiger Faktor. Datensicherheit kann entscheidend für die Aufgabenerfüllung sein.

Der Fragenkatalog

Mit den 50 verständlich gehaltenen Fragen wird Ihnen eine Option zur Selbsteinschätzung an die Hand gegeben. Der ISA+ Informations-Sicherheits-Analyse-Fragenkatalog beleuchtet zunächst die organisatorischen Voraussetzungen, kommt dann zum Prüfen wesentlicher technischer Bedingungen und hinterfragt zuletzt Interaktionen mit internen und externen Partnern. Möchten Sie sich schon heute mit dem Fragenkatalog beschäftigen, können Sie die aktuelle Version kostenfrei anfordern.

Unsere Leistungen –
Das tun wir für Sie

Ablauf unserer konzeptionellen Beratung Phase A+B:

Vorbesprechung Probleme und IST-Situation vor Ort

Feststellung Ist-Zustand Ihrer Informationssicherheit;

Dokumentation der Ergebnisse

Diskussion der Ergebnisse und konkrete Handlungsempfehlungen

Erarbeitung eines Informationssicherheits-Managementsystems

Ergebnis –
Das bekommen Sie

Sie erhalten einen schriftlichen Beratungsbericht zu den Optimierungsmöglichkeiten der Informationssicherheit in Ihrer Organisation sowie die notwendigen Unterlagen zur Umsetzung in die tägliche Praxis. Damit optimieren Sie Ihre Informationssicherheit und schaffen die Basis zur Einführung Ihres Informationssicherheitsmanagementsystems (ISMS).

CISIS12 ist das Informationssicherheitsmanagementsystem in 12 SchrittenWas ist
CISIS12 ?

Das Informationssicherheitsmanagementsystem (ISMS) CISIS12 ist speziell für den Einsatz in KMO (Kleine und mittlere Organisationen) und Behörden entwickelt. Früher unter dem Namen ISIS12 geführt, ist es seit 2021 in der Version 3 um den Buchstaben C erweitert, um das Thema Compliance und zugehörige Prozesse noch besser herauszustellen.

CISIS12 besteht aus einer Norm, dem Maßnahmenkatalog sowie einem Handbuch als Grundlage der Umsetzung. Durch die konkreten Maßnahmen der 12 Schritte wird kontinuierlich und systematisch die Informationssicherheit überprüft und verbessert.

Die Vorteile im Überblick

Compliance und zugehörige Prozesse
Strukturierter Aufbau: Norm, Maßnahmenkatalog, Auditschema
Verweise zu relevanten Normen und Maßnahmen-Katalogen aus BSI-IT-Grundschutz und ISO/IEC 27001
Integrationsmöglichkeiten von branchenspezifischen Normen und Katalogen, wie TISAX®, B3S-KRITIS
Schulungskonzept für Anwenderinnen und Anwender
Software mit Projektmanagement, DSGVO-Modul, Dokumentensteuerung
CISIS12 ist unabhängig zertifizierbar

Für wen eignet sich CISIS12?

Durch den vergleichsweise geringeren Aufwand zur Einführung und Umsetzung eignet sich CISIS12 ideal für kleine Kommunen und Unternehmen. Bezüglich der Organisationsgröße gibt es für den Einsatz von CISIS12 aber nach oben keine Grenzen.

CISIS12 bietet Verweise zu relevanten „größeren“ Normen wie dem IT-Grundschutzkatalog und der ISO/IEC 27001. Damit ist es sozusagen vollständig „aufwärtskompatibel“. Zusätzlich gibt es Integrationsmöglichkeiten von branchenspezifischen Normen wie TISAX oder B3S-KRITIS.

Wie funktioniert die
Umsetzung von CISIS12?

Die grundsätzlichen Vorteile eines ISMS auf Basis von CISIS12 sind die klaren Handlungsempfehlungen in zwölf übersichtlichen Schritten. Dadurch wird die Einführung und der Betrieb des ISMS in anschauliche und leicht handzuhabende Pakete unterteilt.

Gemeinsame Prinzipien aufbauen

1.

Leitlinie erstellen

2.

Beschäftigte sensibilisieren

Rahmenbedingungen aufbauen

3.

Informationssicherheitsteam aufbauen

4.

IT-Dokumentationsstruktur festlegen

5.

IT-Servicemanagementprozesse festlegen

Analyse

6.

Compliance, Prozesse und Anwendungen erfassen

7.

IT-Struktur analysieren

Problemidentifizierung

8.

Risikomanagement

9.

Soll-Ist-Vergleich

Synthese, Problemlösungen, Strategie & Umsetzung

10.

Umsetzung planen und durchführen

Überprüfung, Bewertung und Verbesserung

11.

Internes Audit & Qualitätsmanagement

12.

Revision, kontinuierlicher Verbesserungsprozess

Die Einführung von ISIS12 wird unabhängig zertifiziert. Damit bildet es eine solide Grundlage für einen späteren Umstieg auf ein umfangreicheres ISMS wie die ISO/IEC 27001.

Welche
Fördermöglichkeiten gibt es?

In vielen Bundesländern wird die Verbesserung der Informationssicherheit unterstützt. Beispielsweise wird in Bayern die Einführung eines Informationssicherheitsmanagementsystems bei Kommunen vom Freistaat Bayern gefördert. Weitere Infos finden Sie bei der Regierung in Unterfranken: https://www.regierung.unterfranken.bayern.de/aufgaben/leistung/leistung_35004/index.html

International führende Norm für Informationssicherheits-Managementsysteme (ISMS) ISO 27001
Zertifizierung

Fast kein Tag vergeht mittlerweile an dem nicht über Sicherheitslücken oder Hackerangriffe in den Medien berichtet wird. Es stehen nicht mehr nur „Die Großen“ im Fokus, auch kleine Unternehmen oder Behörden geraten ins Visier der Angreifer. Die Haltung „was wollen die Hacker schon bei mir, bei mir ist doch nichts Wertvolles zu holen“ ist heute längs überholt. Der wirtschaftliche Schaden nach einem Hackerangriff mit Datenklau ist immens. Von Imageschäden und Vertrauensverlust mal ganz zu schweigen.

Ein strukturiertes Vorgehen zur Umsetzung der Informationssicherheit ist heute unerlässlich. Dabei ist es ganz egal, ob es um gesetzliche Vorgaben geht (Stichworte: IT-Sicherheitsgesetze oder Kritische Infrastrukturen) oder um die Anforderungen von Kunden oder Lieferanten. Eine zuverlässige Informationstechnik und Informationssicherheit mit System sind unverzichtbar.

Was ist eine ISO 27001 Zertifizierung?
ISO 27001 Zertifizierung?

Bei der ISO/IEC 27001 handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und damit um die wichtigste Cyber-Security-Zertifizierung. Sie bietet Organisationen aller Größen klare Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung ihrer Informationssicherheit. Die Anforderungen sind generell anwendbar und gelten für private Unternehmen sowie öffentliche Einrichtungen oder gemeinnützige Institutionen.

ISO 27001 hilft Ihnen dabei, Datensicherheit ernst zu nehmen und Systeme und Prozesse einzurichten, um so das Risiko von Sicherheitsverletzungen oder Datenmissbrauch zu vermeiden. Die Zertifizierung ist nicht nur sinnvoll, um gezielte Angriffe abzuwehren. Ein stabiles ISMS schützt Sie auch vor ungewollten Unterbrechungen, die möglicherweise den gesamten Geschäftsbetrieb lahmlegen.

Was bringt ein
Informationssicherheitsmanagementsystem mit ISO 27001 Zertifizierung?

Bedrohungen zuverlässig erkennen und reduzieren
Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung
Minimierung von Haftungsrisiken
Minimierung von Geschäftsrisiken
Senkung von Versicherungsprämien
Optimierung von Prozess- und IT-Kosten
Steigerung der Wettbewerbsfähigkeit und der Zuverlässigkeit
Schaffung von Vertrauen bei Bürgern, Kunden, Geschäftspartnern und in der Öffentlichkeit

Der Weg zu einer
ISO 27001 Zertifizierung

Vorbesprechung Probleme und IST-Situation vor Ort

Bestehende Informationssicherheits-Prozesse ermitteln und analysieren

Vorhandene IT-Sicherheitsvorschriften sichten und bewerten

Erfassung der IT-Struktur

Feststellung Ist-Zustand Ihrer Informationssicherheit

Risikoanalyse und Maßnahmenumsetzung

Interne Audits und Korrekturen

Reporting und Bewertung

Audit und Zertifizierung Ihres ISMS durch eine unabhängige Zertifizierungsstelle

Zentraler Ausgangspunkt des ISMS ist immer die spezifische, individuelle Situation Ihrer Organisation, die sich durch Stakeholder- und Risikoanalysen ermitteln lässt. Danach wird ein maßgeschneidertes Sicherheitskonzept erstellt und auf die identifizierten Erwartungen und Risiken eingegangen. Über diesen regelmäßig wiederkehrenden Prozess bleiben ihr Sicherheitskonzept und die damit verbundenen Maßnahmen immer up-to-date und im Einklang mit den – sich ändernden – Anforderungen.

dampf.consulting GmbH
Am Lermetsrain 9, 35327 Ulrichstein

Bleiben Sie informiert

Abonnieren Sie unseren Newsletter und bleiben Sie Up-To-Date in Sachen Datenschutz und IT-Sicherheit