Was ist CISIS12?
Zuletzt aktualisiert:
Kurz erklärt: CISIS12 ist ein KMU-orientiertes Informationssicherheits-Managementsystem in zwölf strukturierten Schritten. Es wurde von der Bayerischen Informationssicherheitsstelle und dem it.sicherheitscluster e.V. entwickelt und ist die Weiterentwicklung von ISIS12. Der Standard ist deutlich schlanker als ISO 27001 oder BSI IT-Grundschutz, aber zertifizierungsfähig — und wird häufig von kleinen Behörden, Kommunen, kirchlichen Trägern und KMU als pragmatischer Einstieg in ein vollständiges ISMS genutzt.
CISIS12 ist ein strukturiertes Informationssicherheits-Managementsystem in zwölf Schritten — speziell für kleine und mittelständische Unternehmen, Kommunen sowie gemeinnützige Träger entwickelt. Der Standard kombiniert die methodische Klarheit eines schrittweisen Vorgehens mit der Möglichkeit einer Zertifizierung und füllt damit die Lücke zwischen der sehr schlanken DIN SPEC 27076 und der umfangreichen ISO 27001.
Foundational Facts
- Herausgeber: it.sicherheitscluster e.V. (Bayerisches IT-Sicherheitscluster)
- Vorgänger: ISIS12 (abgelöst durch CISIS12)
- Zielgruppe: KMU (50–500 Mitarbeitende), Kommunen, kirchliche Träger, gemeinnützige Organisationen
- Status: zertifizierungsfähig durch akkreditierte Stellen
- Verbreitung: primär Deutschland, Schwerpunkt Bayern und süddeutscher Raum
Die zwölf Schritte
CISIS12 strukturiert den ISMS-Aufbau in drei Phasen mit zusammen zwölf Schritten:
Phase 1 — Initialisierung (Schritte 1–4)
- Leitlinien zur Informationssicherheit erstellen — politische Grundlage durch die Leitung
- Mitarbeiter sensibilisieren — Awareness-Programm aufsetzen
- Informationssicherheits-Team aufbauen — Rollen und Verantwortlichkeiten klären
- Vorgehensweise dokumentieren — Sicherheitskonzept und Dokumentationsstruktur festlegen
Phase 2 — Aufbau und Implementation (Schritte 5–9)
- Kritische Anwendungen identifizieren — welche IT-Anwendungen tragen die wichtigsten Geschäftsprozesse?
- IT-Strukturen analysieren — Bestandsaufnahme von Systemen, Netzen, Datenflüssen
- Sicherheitsmaßnahmen modellieren — Auswahl der erforderlichen Maßnahmen je Anwendung und Komponente
- IST-Soll-Vergleich — Gap-Analyse zwischen aktuellem Stand und benötigten Maßnahmen
- Umsetzung planen — priorisierter Maßnahmenkatalog mit Verantwortlichkeiten und Terminen
Phase 3 — Aufrechterhaltung (Schritte 10–12)
- Maßnahmen umsetzen — strukturierte Implementation
- Internes Audit — Wirksamkeitsprüfung der Maßnahmen
- Revision und Verbesserung — Plan-Do-Check-Act-Zyklus etablieren
Was CISIS12 von anderen ISMS-Methoden unterscheidet
| Dimension | CISIS12 | DIN SPEC 27076 | ISO 27001 | BSI IT-Grundschutz |
|---|---|---|---|---|
| Zielgruppe | KMU 50–500 MA + Kommunen | Kleinst- und Kleinunternehmen ≤ 50 MA | mittel bis groß | groß + öffentliche Verwaltung DE |
| Methodik | 12 Schritte, prozessgeführt | 27 Anforderungen, beratungsbasiert | risikobasiert, kontroll-orientiert | baustein-orientiert |
| Detailgrad | mittel | gering | hoch (flexibel) | sehr hoch |
| Zertifizierbar | ja | nein | ja | ja (via ISO 27001) |
| Verbreitung | DE (v. a. Bayern) | DE | international | DE |
| Aufwand für Erstaufbau | 4–8 Monate | 1 Tag | 9–18 Monate | 12–24 Monate |
Praktischer Ablauf eines CISIS12-Projekts
Ein typisches CISIS12-Einführungsprojekt in einem mittelständischen Unternehmen oder einer Kommune dauert vier bis acht Monate und folgt diesem Muster:
- Vorbereitung und Auftaktworkshop mit der Leitung — Leitlinie, Scope, Verantwortlichkeiten klären
- Strukturanalyse und kritische-Anwendungs-Workshops — gemeinsam mit Fachabteilungen
- Maßnahmen-Modellierung — typischerweise mit einem internen oder externen Berater
- Umsetzungs-Sprints über 2–4 Monate — Quick-Wins zuerst, dann strukturelle Verbesserungen
- Internes Audit — durch unabhängige Person oder externen Auditor
- Korrekturmaßnahmen und Vorbereitung auf das Zertifizierungs-Audit
- Stage-1- und Stage-2-Audit durch akkreditierte Zertifizierungsstelle
Wann CISIS12 die richtige Wahl ist
- Kommunen und kommunale Eigenbetriebe — CISIS12 ist in diesem Umfeld weit verbreitet, Förderprogramme existieren teils landesseitig
- Mittelständische Unternehmen mit DE-Fokus, die ein zertifizierbares ISMS brauchen, für die ISO 27001 aber zu aufwendig wirkt
- Kirchliche Träger und gemeinnützige Organisationen mit eingeschränkten Personal- und Budgetressourcen
- Unternehmen mit klarer Roadmap zu ISO 27001, die mit CISIS12 als Vorstufe starten
Bedeutung im NIS2- und Compliance-Kontext
CISIS12 ist nicht direkt NIS2-zertifiziert, deckt aber die meisten NIS2-Mindestmaßnahmen substanziell ab. Für ein NIS2-pflichtiges Unternehmen, das nicht den Volleinstieg in ISO 27001 wählen will, kann CISIS12 als Compliance-Backbone dienen — vor allem, wenn das Unternehmen schon nach CISIS12 zertifiziert ist.
Weiterführende Links
Häufige Fragen
- Für wen ist CISIS12 entwickelt?
- CISIS12 richtet sich an Organisationen, die ein zertifizierbares ISMS brauchen, aber für ISO 27001 oder BSI IT-Grundschutz zu klein oder zu ressourcenarm sind. Typische Zielgruppen sind kleine und mittlere Unternehmen (50 bis ca. 500 Mitarbeitende), Kommunen und kommunale Eigenbetriebe, kirchliche Träger sowie Vereine und gemeinnützige Organisationen.
- Was sind die zwölf Schritte von CISIS12?
- CISIS12 strukturiert den ISMS-Aufbau in drei Phasen mit zusammen zwölf Schritten. Phase 1 (Initialisierung) — Schritte 1 bis 4 — Leitlinien erstellen, Mitarbeiter sensibilisieren, Informationssicherheits-Team aufbauen, Vorgehensweise dokumentieren. Phase 2 (Aufbau und Implementation) — Schritte 5 bis 9 — kritische Anwendungen identifizieren, IT-Strukturen analysieren, Sicherheitsmaßnahmen modellieren, IST-Soll-Vergleich, Umsetzung planen. Phase 3 (Aufrechterhaltung) — Schritte 10 bis 12 — Maßnahmen umsetzen, internes Audit, Verbesserung.
- Ist CISIS12 zertifizierbar?
- Ja, CISIS12 ist ein zertifizierungsfähiger Standard. Die Zertifizierung erfolgt durch akkreditierte Stellen über ein Stage-1- und Stage-2-Audit-Verfahren — analog zu ISO 27001. Das Zertifikat ist drei Jahre gültig und wird durch jährliche Überwachungsaudits begleitet. Verbreitung und internationale Akzeptanz sind jedoch deutlich geringer als bei ISO 27001.
- Wie unterscheidet sich CISIS12 von ISO 27001?
- CISIS12 ist deutlich schlanker — zwölf strukturierte Schritte statt einer offenen Methodik mit 93 Annex-A-Controls. CISIS12 ist stärker prozessorientiert und führt durch konkrete Aktivitäten, ISO 27001 ist abstrakter und überlässt die Methodik dem Unternehmen. CISIS12 ist primär in Deutschland verbreitet (mit Schwerpunkt Bayern), ISO 27001 ist international anerkannt. Für KMU mit DE-Fokus ist CISIS12 oft der schnellere Weg zu einem zertifizierten ISMS, für international tätige Unternehmen bleibt ISO 27001 die bessere Wahl.
- Was ist der Unterschied zwischen ISIS12 und CISIS12?
- CISIS12 ist die Weiterentwicklung von ISIS12 (Informations-SIcherheitsmanagementsystem in 12 Schritten). Beide stammen aus dem Bayerischen IT-Sicherheitscluster. CISIS12 erweitert das ursprüngliche ISIS12-Modell um Compliance-Aspekte (das 'C' in CISIS12) und passt die Methodik an aktuelle Anforderungen — insbesondere an die ISO 27001:2022 und die DSGVO — an. Das alte ISIS12 wird durch CISIS12 abgelöst.