Informationssicherheit wird immer wichtiger. Diese kann heute eigentlich nur noch durch etablierte, funktionierende Informationssicherheitsmanagementsysteme (kurz ISMS) und IT-Servicemanagementprozesse gewährleistet werden. Wünscht man sich dabei noch ein Zertifikat am Ende des Weges, wird schnell der Ruf nach BSI IT Grundschutz oder der ISO 27001 laut. Doch sind diese für KMU oder auch Kommunalverwaltungen wirklich leistbar und geeignet? Gerade bei kleineren Mitarbeiterzahlen?

Seien wir ehrlich! Der BSI IT Grundschutz ist ein toller Werkzeugkasten, aber für eine Zertifzierung mit 4.800 Seiten Material in 5 dicken Ordnern kaum zu bewältigen. Greift man daher zur international bekannteren ISO 27001 reibt man sich ob des hohen Abstraktionslevels irritiert die Augen. Alternativen? Aber sicher.

Der IT-Planungsrat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein praxistaugliches Vorgehen zur Einführung eines ISMS empfohlen. Dieses entspräche den Leitlinien für Informationssicherheit des Planungsrats. Vorausgegangen war ein entsprechendes Gutachten von Fraunhofer AISEC zu ISIS12 zur Anwendbarkeit von ISIS12 in der öffentlichen Verwaltung. In diesem wurde die Tauglichkeit für Verwaltungen mit bis zu 500 Mitarbeitern bestätigt.

a.s.k. Datenschutz, Sascha Kuhrau ist vom Bayerischen IT-Sicherheitscluster e.V. (dem Anbieter von ISIS12) für die Durchführung von Beratungsleistungen zur Einführung von ISIS12 in KMU und öffentlichen Verwaltungen zertifiziert.

ISIS12?

  • ISIS12 ist ein Verfahren, das die Einführung eines ISMS mit vergleichsweise geringerem Aufwand ermöglicht..
  • ISIS12 kann als Vorstufe zur Zertifizierung nach BSI IT-Grundschutz bzw. ISO/IEC 27001 dienen.
  • ISIS12 ist ein Informationssicherheitsmanagementsystem (ISMS), das über die Dauer eines Zyklus in 12 Verfahrensschritten eingeführt wird.
  • ISIS12 wurde speziell für kleinere Organisationen entwickelt.
  • Während des gesamten Prozesses stehen die speziell geschulten und zertifzierten ISIS12-Dienstleister beratend zur Seite.
  • Das leicht anwendbare und automatisierte ISIS12-Softwaretool unterstützt bei der Implementierung.
  • Ein spezielles ISIS12-Handbuch beschreibt alle Schritte explizit und klar verständlich.
  • Der ISIS12-Katalog wurde durch die radikale Reduzierung des BSI IT-Grundschutzkataloges der Zielgruppe – kleine und mittelständische Unternehmen und nun auch kommunale Verwaltungen – angepasst.

ISIS12 ist ein ISMS, speziell für kleinere Organisationen entwickelt, für die die Einführung der verbreiteten ISMS zu aufwändig wäre.

Quelle: https://www.bsp-security.de/isis12/isis12

Und was ist mit Zertifizierung?

Wer den Weg zur Einführung eines ISMS beschritten und erfolgreich absolviert hat, kann sich am Ende mit einer Zertifizierung belohnen. Diese wird von der DQS GmbH ISIS12 Deutsche Gesellschaft zur Zertifizierung von Managementsystemen durchgeführt. Die Mühe soll sich ja gelohnt haben für alle Beteiligten.

Fördermittel für bayerische Kommunen

Bayerische Kommunen können für die Einführung eines ISMS nach ISIS12 Fördermittel erhalten. In einem ersten Programm werden folgende Leistungen gefördert:

  • Beratungsdienstleistungen bei der Implementierung von ISIS12
  • Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter
  • Erstzertifizierung des Managementsystems zur Informationssicherheit

Förderfähig sind nur solche Leistungen, die von fachkundigen, lizensierten IT-Dienstleistern wie a.s.k. Datenschutz erfolgen. Von der Förderung ausgeschlossen sind Ausgaben für den Erwerb von Hard- und Software, Betriebskosten sowie technische und bauliche Schutzmaßnahmen.

Gefördert werden bis zu 50% der förderfähigen Ausgaben, bis zu einer Summe von maximal 15.000 Euro (brutto inkl. MwSt.).

Alle weiteren Informationen zur Förderung von ISIS12 für bayerische Kommunen können Sie auf den ISIS12-Seiten des Bayerischen IT-Sicherheitsclusters e.V. abrufen.

Wenn Sie sich zur Umsetzung entschieden haben, unterstützen wir Sie gerne bei der Antragstellung (diese muss vor der Auftragsvergabe erfolgen!) und selbstverständlich bei der erfolgreichen Einführung von ISIS12 in Ihrer Organisation.

Vorteile eines externen Datenschutzbeauftragten

Unternehmen und Vereine hatten schon vor der DSGVO die Möglichkeit, sich die Vorteile eines externen Datenschutzbeauftragten zu sichern. Bis Mai 2018 war es für öffentliche Stellen (Behörden, Kommunen) je nach Bundesland sehr unterschiedlich geregelt. Doch mit der DSGVO hat sich das geändert und auch diese Einrichtungen kommen nun in den Genuß der Vorteile eines externen Datenschutzbeauftragten.

Datenschutz geht alle an – Unternehmen, Unternehmer und Behörden

Wer personenbezogene Daten erhebt, verarbeitet oder nutzt, unterliegt den Regelungen der DSGVO, zusätzlich des Bundesdatenschutzgesetzes (BDSG) und als kommunale Einrichtungen des jeweiligen Landesdatenschutzgesetzes. Diese Gesetze gelten ausnahmslos für Unternehmen, Unternehmer, Behörden und kommunale Einrichtungen – unabhängig von der Anzahl der Mitarbeiter oder vorhandenen Schweigepflichten. Die Anforderungen sind hoch und Verstöße – ganz unabhängig von imageschädigenden Datenpannen – kosten schnell mal Geld.

Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde im Zuge der DSGVO für öffentliche Stellen vereinheitlicht. Wie Unternehmen können diese sich nun die Vorteile eines externen Datenschutzbeauftragten sichern, die Pflicht zur Benennung eines Datenschutzbeauftragten besteht generell für alle Behörden und Kommunen.

Personenbezogene Daten

Diese fallen im Tagesgeschäft überall an – Mitarbeiter, Bewerber, Kunden, Bürger, Lieferanten, Interessenten – und sind entweder in IT-Systemen oder auf Papier (z.B. Personalakte) gespeichert. Diese Daten gilt es, vor Verlust, Zerstörung und Mißbrauch (auch im eigenen Haus) zu schützen. Werden die Vorschriften nicht umgesetzt oder kommt es zu einer Datenpanne, werden oftmals gerade für Unternehmen und Vereine empfindliche Bußgelder fällig.

Qual der Wahl, wenn ein Datenschutzbeauftragter benannt werden muss

Ab einer gewissen Mitarbeiteranzahl (manchmal reicht jedoch bereits ein bestimmter Geschäftszweck) ist die Bestellung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Öffentliche Stellen müssen unabhängig von der Mitarbeiterzahl einen Datenschutzbeauftragten benennen. Die Benennung kann intern oder extern erfolgen. Eine fehlende, eine verspätete oder eine sog. „pro forma“ Bestellung ist kein Kavaliersdelikt und wird ebenfalls mit Bußgeldern geahndet

Der Gesetzgeber läßt Ihnen die freie Wahl – sichern Sie sich daher die Vorteile eines externen Datenschutzbeauftragten für Ihre Organisation. Die Aufgaben eines Datenschutzbeauftragten sind sehr vielfältig. Externe Datenschutzbeauftragte haben hier schnell die Vorteile auf ihrer Seite.

Externer Datenschutzbeauftragter als Team die bessere Lösung

Klare Vorteile für die Wahl eines externen Datenschutzbeauftragten

Interner DatenschutzbeauftragterExterner Datenschutzbeauftragter
Nicht weisungsgebundenArbeitet im Rahmen des Projektauftrags
Frei in seiner ZeiteinteilungFest definierte Zeitrahmen
Erweiterter KündigungsschutzKann wie jeder Vertrag gekündigt werden
Kann nicht abberufen werdenExterne Bestellung widerrufbar
Kosten für Fortbildung trägt das UnternehmenTrägt Kosten für Fort- und Weiterbildungen selbst, muss diese nachweisen
Kein VersicherungsschutzVersicherungsschutz im Rahmen der Beraterhaftung
Intransparente KostenKosten sind kalkulierbar und jederzeit nachvollziehbar
Interessenskonflikte vorprogrammiertKeine Konflikte, da nur ein Ziel: Datenschutz
Interdisziplinär und branchenübergreifend