Sie verbindet mehr als nur die gleichen Anfangsbuchstaben: Die Gemeinde Ismaning und das Informationssicherheits-Management-System (ISMS). Warum sie sich für das Modell „ISIS12“ entschieden haben, verraten die Verantwortlichen im Interview.
Sie haben sich im Bereich Informationssicherheits-Management für das Vorgehensmodell „ISIS12“ entschieden. Warum gerade dieses Verfahren?
Nach Bekanntwerden der neuen gesetzlichen Anforderungen aus dem Bayerischen E‑Gouvernement Gesetz (BayEGovG) hat sich die Gemeinde Ismaning zum Jahresanfang 2016 über die geforderten Informationssicherheitskonzepte informiert und intern beraten. Dabei wurden die Unterschiede der Systeme aufgezeigt und der Mehraufwand zu einem vollständigen Informationssicherheits-Management-System (ISMS) untersucht.
Und welche Vorteile bietet ein vollständiges ISMS für die Gemeinde Ismaning aus Ihrer Sicht?
Ein ständig fortlaufender Informationssicherheitsprozess sorgt für ein bleibendes hohes Maß an Sicherheit. Jährliche Anpassungen und regelmäßige Überprüfungen zeigen neu entstandene Änderungen und Lücken auf. Diese können dann schnellstmöglich geschlossen werden. Die Vorteile, insbesondere das höhere Maß an Sicherheit, haben die Entscheidung zur Einführung eines ISMS leicht gemacht.
Warum haben Sie sich bei der Gemeinde Ismaning für ISIS12 entschieden?
Wir haben uns mit anderen Rathäusern und Kommunen ausgetauscht. Hier kristallisierte sich schnell das ISMS nach dem von der DQS zertifizierbaren Standard ISIS12 heraus. Es wurde ursprünglich für kleine und mittlere KMU vom Bayerischen IT-Sicherheitscluster e.V. (Bay. IT-SC) entwickelt. Es ist ein relativ kompaktes und mit kleinen Projektteams in circa 18 Monaten aufzubauendes ISMS. Es besteht aus insgesamt 12 Schritten und benötigt intern nur zusätzlich einen Projektleiter oder IT-Sicherheitsbeauftragten (ISB).
Können Sie uns ein bisschen was zum Projekt erzählen? Wie lief die konkrete Umsetzung ab?
Wir haben es intern in drei Phasen aufgeteilt. In dieser ersten Phase suchte unser IT-Projektleiter Thomas Malissek Informationen zu geeigneten anpassbaren ISMS und externen Partnern. Gemeinsam mit fly-tech erstellten wir nach Projektfreigabe die Leitlinie zur Informationssicherheit (ISL). Anschließend die Kollegen in der Gemeinde Ismaning in mehreren Inhouse-Schulungen für das Thema IT und Datensicherheit sensibilisiert.
Was passierte dann in Phase 2 und 3?
In der zweiten Phase erledigten wir vorwiegend organisatorische Aufgaben. Das Informationssicherheitsteam wurde aufgebaut und eine IT-Dokumentationsstruktur erstellt. Außerdem wurden das komplette IT-Netz, die Gebäude, die Infrastruktur einschließlich der Hard- und Software inventarisiert.
Daneben die drei am häufigsten benutzten IT-Service-Management-Prozesse – Wartung, Änderung und Störungsbeseitigung –eingeführt und visuell dokumentiert.
In dieser dritten Phase wurden kritische, also wichtige Applikationen in den Abteilungen identifiziert und die IT-Struktur analysiert. Daraus dann die nötigen Sicherheitsmaßnahmen modelliert.
Am Ende der dritten Phase wurden nach einem Ist-Soll-Vergleich Umsetzung und Kosten der noch fehlenden IT-Sicherheits-Maßnahmen geplant.
Wie haben Sie die Zusammenarbeit mit fly-tech bei der Einführung von ISIS12 empfunden?
Was sehr hilfreich war, war die große Flexibilität der Mitarbeiter von fly-tech. Zum einen konnten sie sich schnell auf unsere Anforderungen einstellen. Zum anderen haben sie sich an unseren Zeitplänen orientiert. Trotz des engen Projektplans führten sie jeweils drei Inhouse-Schulungen pro Tag durch. Schließlich hat uns schlicht und ergreifend das Angebot überzeugt.
Welchen Mehrwert bringt ISIS12 nun für die Gemeinde Ismaning?
Der Mehrwert eines ISMS gegenüber einem reinen Informationssicherheitskonzept ist sicherlich die jährliche Anpassung an neue Gegebenheiten. Dazu gehören neuartige Gefahren, neue Erkenntnisse, neue IT und die jährliche Schulung neuer Mitarbeiter. Zudem kann das ISIS12 später bei Bedarf zu einem vollwertigen großem ISMS nach ISO27001 auf Basis des IT-Grundschutzes nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI IT-GS) „aufgebohrt“ werden.
„War es das“ nun erstmal im Bereich Informationssicherheit oder planen Sie schon konkrete weitere Schritte?
Nein, das war es noch lange nicht. Der Sinn eines Managementsystems und eines PDCA-Zyklus ist die jährliche Revision durch den ISB, die Kontrolle der bekannten und das Auffinden neuer Sicherheitslücken. Zudem sind die nächsten Schulungen für die Kollegen, die in den letzten zwei Jahren neu dazugekommen sind, geplant. Zudem soll es weitere Online-Schulungs-Maßnahmen geben, um das Sicherheits-Niveau der Mitarbeiter zu halten und weiter zu verbessern.
Anmerkung der Redaktion: Das Bild ist vor der Corona-Pandemie entstanden.
Zu sehen sind (v.l.n.r.): Sandra Wiesbeck (Sicherheitscluster), Felix Struve (Sicherheitscluster), Thomas Malissek (ISB Ismaning) und Christian Köhler (fly-tech).
Für weitere Informationen geht es hier zu unserer CISIS12-Infoseite