Das von BSP-SECURITY initiierte und Großteils entwickelte ISIS12 Vorgehensmodell ist als klassischer Top-Down-Ansatz konzipiert, bei der die Organisationsleitung die Gesamtverantwortung für die Informationssicherheit trägt, den dafür notwendigen Sicherheitsprozess initiiert und die dafür erforderlichen Ressourcen zur Verfügung stellt. Die erfolgreiche ISIS12 Phase 1 Initialisierung ist entscheidend für den Erfolg bei der Einführung des Sicherheitsprozesses und der Sicherheitskonzeption.
Schritt 1: Leitlinie erstellen
Zu Beginn wird eine Leitlinie zur Informationssicherheit erstellt, die von der Organisationsleitung als zentrales Strategiepapier unterzeichnet wird. Darin werden die mit den Geschäftszielen und Fachaufgaben korrespondierenden Informationssicherheitsziele beschrieben, und die daraus abgeleitete Sicherheitsstrategie fixiert. Den Mitarbeitern wird der Sinn der Leitlinie und die sich daraus ergebenden Konsequenzen vermittelt.
Schritt 2: Mitarbeiter sensibilisieren
Die Mitarbeiter werden bereits zu Anfang des Sicherheitsprozesses in der Phase 1 auf die Bedeutung der Informationssicherheit für die Organisation hingewiesen. Sie bekommen die Leitlinie zur Informationssicherheit vermittelt und werden auf die Verbindlichkeit der Leitlinie für ihr eigenes Verhalten hingewiesen. Ziel ist es jeden einzelnen Mitarbeiter zu sensibilisieren und zu motivieren, da ohne aktive Mitarbeit aller Beteiligter in einem Unternehmen kein angemessenes Sicherheitsniveau realisiert werden kann. Der erweiterte Führungskreis wird in dieser Initialisierungsphase über die zu erwartenden Arbeitsaufwände informiert und um tatkräftige Mitarbeit der Abteilungen gebeten. Die aktive Miteinbeziehung von Mitarbeitern findet im Gegensatz zum ISO/IEC 27001 Standard und zu den BSI Standards bereits zu Beginn des Sicherheitsprozesses statt; ein nicht zu unterschätzender Faktor für die weiteren Schritte.
Unsere langjährige Projekterfahrung zeigt, dass die ISIS12 Phase 1 zwingend abgeschlossen sein muss, bevor die nächsten Schritte in Phase 2 und Phase 3 realisiert werden.