SiKoSH

SiKoSH (Sicherheit für Kommunen in Schleswig-Holstein) ist ein Projekt des KomFIT (Kommunales Forum für Informationstechnik der Kommunalen Landesverbände in Schleswig-Holstein). In Zusammenarbeit mit kommunalen Praktikern aus Schleswig-Holstein und Partnern aus anderen Bundesländern erarbeitet das Projekt zahlreiche Hilfestellungen zum Aufbau eines nachhaltigen Informationssicherheitsmanagementsystems (ISMS) für Kommunalverwaltungen sowie kleine und mittlere Unternehmen. Fachlich wird das Projekt durch das Unabhängige Landeszentrum für Datenschutz, den Landesrechnungshof, Dataport und durch externe Berater unterstützt.

SiKoSH Vorgehensweise

Die SiKoSH-Vorgehensweise ist im SiKoSH-Standard „Vorgehensweise beim Aufbau eines kommunalen ISMS“ beschrieben. Logisch zusammenhängende Teilsicherheitsprozesse werden im SiKoSH-Prozessmodell in einzelnen Phasen zusammengefasst.

Jede SiKoSH-Phase beginnt mit einem so genannten Quickcheck. Die 14 Quickchecks ermöglichen anhand zahlreicher Prüffragen und einer Bewertungsmatrix einen schnellen Überblick über die Sicherheitslage der Organisation.

SiKoSH Vorgehensweise

Für jede Phase gibt es eine Reihe von Dokumenten wie Leitlinien, Konzepte oder Dokumentvorlagen, die für die eigene Organisation angepasst werden können. Für die „Phase 1 (Aufbau- und Ablauforganisation ISMS)“ sind das vor allem eine anpassbare Informationssicherheitsleitlinie und Material zur Bestellung und Regelung des Aufgabenfeldes eines Informationssicherheitsbeauftragten.

Nach der Bearbeitung von „Phase 1“ ist die Umsetzung der obligatorischen organisatorischen Aufgaben abgeschlossen, und es kann mit der Bearbeitung einer weiteren Phase begonnen werden. SiKoSH empfiehlt mit der Mitarbeitersensibilisierung zu beginnen.

Neben Quickchecks, die sich mit Themen der IT-Sicherheit im engeren Sinne wie z. B. mit Hardware oder mit Verfahren beschäftigen, werden auch verwandte Aspekte wie z. B. die Gebäudesicherheit untersucht und bewertet.

Nach der Abarbeitung der dreizehn Quickchecks und der Umsetzung der erforderlichen Maßnahmen stellt der "Quickcheck 14" Prüffragen bereit, die den Erfolg der umgesetzten SiKoSH-Maßnahmen transparent machen und bewerten.

Nach Dokumentation der Maßnahmen des Sicherheitskonzepts mit den bereitgestellten Vorlagen beginnt der Iterationsprozess im Sicherheitszyklus wieder von Neuem und ermöglicht Nachbesserungen, Anpassungen und die gezielte Reaktion auf neue Gefährdungen von Informationssicherheit und Datenschutz.