CISIS12 – ウィキペディア
コンプライアンス情報セキュリティ管理システムは12ステップで ( CISIS12 )IT Security Cluster E.V.によって開発、公開、訓練、および配布される情報セキュリティ管理システム(ISMS)。標準の説明、導入のためのマニュアル、および対策のカタログが含まれています。自治体や中小企業で使用するために特別に開発されました。 CISIS12は、モダリティにおける情報セキュリティの体系的かつ継続的な増加のための具体的な測定値を区別します。数年にわたって確立されてきた標準ISIS12を補完し、コンプライアンススペクトルを備えた追加のレイヤーを使用して、バージョン3に新しい名前CISIS12を与えます。
- ガイドラインを作成し、目標を定義します
- 感作します
- ISM-Team
- ドキュメンテーション
- ITSMプロセス
- コンプライアンス /プロセス /アプリケーション
- インフラストラクチャー
- リスク(新)
- 実際の比較
- 実装
- 内部的に監査(新)
- リビジョン
ステップは、PDCAサイクルで継続的に通過します。
プロセスレイヤーの統合 [ 編集 | ソーステキストを編集します ]
完全なISMS標準を確立するために、CISIS12でプロセスビューが前面に出され、重要なプロセスには重要なシステムリソースが必要です。これにより、CISIS12はISO 27001などの国際標準に近づきますが、明確な手続きモデルを定義します。
証明可能性 [ 編集 | ソーステキストを編集します ]
CISIS12は独立して認定できます。
バージョン3までの名前がありました ISIS12 使用済み。
12ステップの情報セキュリティ管理システム ( ISIS12 )は、情報セキュリティ管理システム(ISMS)の導入のためのモデルの以前のバージョンです。自治体や中小企業で使用するために特別に開発されました。 ISIS12には、情報セキュリティの体系的および継続的な増加のための具体的な測定が含まれています。
ISIS12は、ISMの独立して認定されたエントリーレベルでした。 ISO/IEC 27001との互換性とIT Basic Protectionは、その後の広範な認定ISMへの切り替えを可能にしました。 B. ISO/IEC 27001 ITに基づく基本保護に基づいています。 [初め]
ISIS12では、ISIS12のリスク管理にもより高い優先度が与えられています。
基本的なアイデア [ 編集 | ソーステキストを編集します ]
議員はまた、情報セキュリティの必要性を認識し、対応する法律を発行しました(ITセキュリティ法、バイエルン州の電子政府法芸術11)。さらに、他の法的要件からの情報セキュリティに関する実装情報もあります(例:GDPR、GMBH-ACT§43パラグラフ1、バーゼルII、S-OX、テレメディア法、セクション2およびセクション93(2)、商業法§317パラグラフ4の会社)、リスクまたはデータ損失のトピックは通常使用されます。
経験によると、ISMの実際の導入と実装の困難は、人員のボトルネック、専門知識の欠如、およびほとんど小さなIT部門の過負荷で構成されていることが示されています。
したがって、ISIS12の開発における基本的なアイデアは、必需品と組織的に手頃な価格のギャップを埋めることでした。これらの考慮事項の結果として、モデルは12の具体的なステップで作成されました [2] 、基本的な保護とISO/IEC 27001標準から導出されました。
主な焦点は、の開発にありました 中型企業(NIM)の情報セキュリティネットワーク (ネットワークパートナーのリスト)すべての脅威シナリオがカバーされているわけではなく、会社には理解可能な言語で統合された導入コンセプトを備えた明確で明確な指示が与えられているという事実に掲載されています。目的は、責任ある責任者にセルフヘルプヘルプのガイド付きガイドラインを提供することです。 [初め]
序章 [ 編集 | ソーステキストを編集します ]
ISIS12へのISMの導入は、12段階で実行されます。 [3]
- ガイドラインを作成します
- 従業員は感動します
- 情報セキュリティチームを構築します
- ITドキュメント構造を設定します
- ITサービス管理プロセスを紹介します
- 重要なアプリケーションを特定します
- IT構造を分析します
- モデルセキュリティ対策
- 実際のものを比較します
- 計画の実装
- 埋め込む
- リビジョン
ステップは、PDCAサイクルに応じて、時間の観点から渡されます。
ハンドブック、カタログ、ソフトウェア [ 編集 | ソーステキストを編集します ]
ISIS12プロシージャモデルは、「中小組織の情報セキュリティの効率的な設計のためのハンドブック」で監視的に処理されています。これは、認定されたISIS12アドバイザーの実装に伴うことができる理解できるガイドです。 [4]
ISIS12カタログは、BSI IT基本保護カタログ(15th EL 2016 [BSI:2013a])およびDe Jure Standard ISO/IEC 27001 [ISO:2013a](測定A.5-A.18)またはISO/IEC 27002 [ISO:ISO:2008B]のコンクリートのコンクリートから描かれ、補完されました。 [5]
入門プロセスと改訂サイクルは、付随するソフトウェアによってサポートできます。バイエルンのITセキュリティクラスターE.V.を代表して
目的は、ISIS12の実装と使用におけるプロジェクト参加者をサポートすることです。 [6]
ITサービス管理プロセスの統合 [ 編集 | ソーステキストを編集します ]
経験によると、以前にISMを導入したことがない企業には、ITサービス管理(ITSM)プロセスが定義されていません。したがって、基本的なITSMはISIS12に統合され、重要なプロセスのメンテナンス、変化、および中断に統合されました。 [7]
データ保護の統合 [ 編集 | ソーステキストを編集します ]
情報セキュリティ管理とデータ保護管理には、多くの同等の要件、文書、手順があります。したがって、両方の世界を接続することは近く、これはISIS12で可能です。
これには、DSMをISMS12に接続し、対応する相乗効果を使用するために、次の手順が選択されました。
- ステップ1では、情報セキュリティガイドラインが拡張され、データ保護エリアが含まれるため、その重要性が明らかになります。
- ステップ2では、データ保護のコンポーネントも従業員の感作に統合されています。
- ISIS12構造およびプロセス組織は、GDPRに関連するポイントを含むように拡張されています(ステップ3、ステップ4、ステップ5)。 GDPR関連プロセスが含まれています [4]
- ステップ6特に、「検証可能性」の分野で中心的な役割を果たします。ステップ6では、入手可能性、完全性、機密性の観点から、処理が既に特定され、記録され、保護要件が必要になっています。個人データが処理されるアプリケーションは、処理の概要(Art。30GDPR)にまとめられています。必要なRAとDFAは、に基づいたステップに基づいています 処理 それに応じて実行および文書化されました。
- GDPRの特別な要件は、拘束力のあるセキュリティ対策の形式の新しいISIS12ビルディングブロック「B 1.5データ保護GDPR」および/または「B 4.10ソフトウェアとハードウェア開発」などの特定のビルディングブロック(デフォルトによるプライバシー)に含まれています。 [5]
ステップ12では、年間データ保護監査が実装されており、拡張された手続きモデルの12ステップをチェックします。将来、ASBNチェックリストもASBNの一部になります。目的の認定がある場合、DSMSによって拡張された認証スキームを使用できます。監査円周はそれに応じて拡大され、GDPRによると、企業に必要な証拠または説明責任を満たす機会を提供します。
認証 [ 編集 | ソーステキストを編集します ]
ISIS12に従ってISMを導入した企業は、監査の一部としてこれを通過できます データ保護証明書 また DQS 独立して認定されています。 [8]
ISIS12は、ISO/IEC 27001またはIT基本保護に従って、さらなる認証の基礎としていつでも使用できます。
財政的支援 [ 編集 | ソーステキストを編集します ]
当初の開発は、BICCNETを介してバイエルン州経済、インフラ、輸送、技術省によって資金提供されました。
ISIS12は、さまざまなイニシアチブでも対象となりました。
- バイエルンの自治体での情報セキュリティの促進 [9]
- Saarland自治体の情報セキュリティの促進 [11]
地方自治体のセキュリティ用ISIS12 [ 編集 | ソーステキストを編集します ]
IT計画評議会は、市の安全保障で使用するためにISIS12を正式に推奨しました。 [12番目] これは、BSI IT Basic ProtectionとISO 27001 ISIS12に加えて、中小規模のローカル管理を導入するのに特に適していることを意味します。 ISIS12を使用すると、バイエルンITセキュリティクラスターのネットワーク「小さなオフィス(NIM)の情報セキュリティ(NIM)」は、12の管理可能な手順で情報セキュリティガイドラインのエントリと設計を示す実行可能な手順を開発しました。
Fraunhofer Aisecからの専門家の意見 [ 編集 | ソーステキストを編集します ]
フラウンホーファーaisecでバイエルン州の自由状態によって委託された専門家の意見 [13] また、ISIS12はBSI IT基本保護方法論に基づいており、IT計画評議会のITSに対する最小要件をISMに満たしていることを確認しています。必要な安全対策は、ISMSへの入国として最大500人の従業員を抱える中小規模の自治体でISIS12で比較的簡単に実装できます。特に、ISIS12は、ISO 27001またはBSI IT Basic Protectionに基づいて、ISMを後で導入するための基礎でもあります。
レポートはまた、ISIS12の限界を明確に示しています:
約500人の従業員を抱える「定義された「標準的な当局」、最も均一なIT基底インフラストラクチャ、パブリックネットワークに接続されている支店、主に正常な保護要件、ITシステムの高可用性要件がなく、ISIS12が適切な手続きであると結論付けることができます。
ITセキュリティ法によれば、ISIS12は、ITセキュリティ法に従って重要なインフラストラクチャのプロバイダーには適していません。ただし、ISIS12はISO/IEC 27001認証の紹介として役立つことができます。
地元の協会 [ 編集 | ソーステキストを編集します ]
ドイツの都市の日は、ISIS12が自治体におけるガイドラインに準拠したISMの拡大の基礎であるという「地方自治体における情報セキュリティガイドラインの設計のための配布資料」で結論に達しました。 [14]
- ↑ a b ISIS12とは何ですか? -ISIS12。 ITセキュリティクラスターE.V. 2018年7月17日にアクセス 。
- ↑ アンドレアスライヘルト: データセキュリティの改善。 Tele Regional Passau 1(TRP1)、 2020年10月24日に取得 。
- ↑ ISIS12について。 の: ISIS12.it-Sicherheitscluster.de。 ITセキュリティクラスターE.V.、2020年9月23日、 2020年10月24日に取得 。
- ↑ a b ISIS12ネットワーク: 中小規模の組織(KMO)の情報セキュリティの効率的な設計に関するハンドブック 。 ISIS12マニュアル。 ed。:Bavarian IT Security Cluster E.V.バージョン1.9、2018年6月。
- ↑ a b ISIS12ネットワーク: ISIS12 -Katalog 。 ed。:Bavarian IT Security Cluster E.V.バージョン1.5、2018年6月。
- ↑ ソフトウェア – ISIS12。 ITセキュリティクラスターE.V. 2018年7月17日にアクセス 。
- ↑ ISIS12について。 の: ISIS12.it-Sicherheitscluster.de。 ITセキュリティクラスターE.V.、2020年9月23日、 2020年10月24日に取得 (セクション ステップ5:ITサービス管理プロセスを紹介します )。
- ↑ 認定-ISIS12。 の: ISIS12.it-Sicherheitscluster.de。 ITセキュリティクラスターE.V.、2020年10月22日、 2020年10月24日に取得 。
- ↑ パブリックネットワークの保護。 2018年7月17日にアクセス 。
- ↑ DigitalBonus – DigitalBonus Bayern。 2018年7月17日にアクセス 。
- ↑ 今日のSaarlandプレスリリース| saarland.de。 2018年7月17日にアクセス 。
- ↑ IT計画評議会の決定2013/01-コントロールプロジェクト「ガイドライン情報セキュリティ」 ( 記念 2015年2月9日から インターネットアーカイブ ))
- ↑ a b 行政におけるISIS12の適用性に関する専門家の意見(Fraunhofer) (PDF; 602 kb)
- ↑ 地方自治体における情報セキュリティガイドラインの設計のための配布資料 の: staedtetag.de 、2014年11月、2018年8月2日アクセス。(PDF; 973 KB)
Recent Comments