Es wurde ein Gutachten zur Vergleichbarkeit der CISIS12 Methodik hinsichtlich des IT-Grundschutzstandards in Auftrag gegeben. Leider darf dieses aus Urheberrechtsgründen nicht veröffentlicht werden. Die zusammenfassende Bewertung finden Sie jedoch nachfolgend:
„Unter Berücksichtigung der in Kapitel 4 dieses Dokumentes dargestellten Grundannahmen erscheint
die CISIS12-Methodik als umfassend geeignet ein gegenüber dem IT-Grundschutz vergleichbares
Sicherheitsniveau herzustellen und dieses kontinuierlich aufrecht zu erhalten.
Sowohl die Grundschutzmethodik des BSI als auch das Vorgehen nach CISIS12 fordert ein
ausgeprägtes Managementsystem für Informationssicherheit, um die konkreten
Sicherheitsanforderungen nach der Erstimplementierung kontinuierlich aufrecht zu erhalten und
hinsichtlich deren Wirksamkeit regelmäßig zu bewerten. Das hierzu durch den IT-Grundschutz
definierte Vorgehen gem. BSI-Standard 200-1 findet sich in der CISIS12-Norm als detaillierte
Umsetzungsanforderung wieder und wird durch die Maßnahmen B2 (ISMS-Prozesse) des CISIS12-
Kataloges durch konkrete Anforderungen weiter ausdetailliert.
Die themenspezifischen Bausteine des CISIS12-Kataloges, die konkrete Umsetzungsanforderungen in
komponentenspezifischen Clustern abbilden, sind in einem großen Maß selbstähnlich zu den
Systembausteinen des IT-Grundschutz.
Somit ist in einer überwiegenden Anzahl der identifizierten BSI-Bausteine eine direkte Entsprechung
mit den themenspezifischen CISIS12-Bausteinen möglich. Die dadurch zuordenbaren
Detailmaßnahmen dieser Bausteine erweisen sich ebenfalls als selbstähnlich.
In Einzelfällen erweisen sich komponentenspezifische Bausteine des IT-Grundschutzes als granularer
und können nicht direkt zugeordnet werden. Im Rahmen der inhaltlichen Bewertung von
themenverwandten CISIS12-Bausteinen erweisen sich die darin enthaltenen Detailanforderungen
allerdings ebenfalls als ausreichend geeignet, um die durch den IT-Grundschutz definierten
Sicherheitsvorgaben zu erfüllen.
Um hier ein grundsätzlich identisches Sicherheitsniveau gegenüber den Vorgaben des ITGrundschutzes
sicherzustellen, werden für diese identifizierten CISIS12-Bausteine entsprechende
Empfehlungen formuliert und sind Bestandteil der vorliegenden Analyse.
Zusammenfassend kann der CISIS12-Methodik beschieden werden, dass unter Berücksichtigung
der dargestellten Rahmenbedingungen (vgl. hierzu Kap. 4) und der formulierten Empfehlungen
(vgl. hierzu Kap. 6) bei vollständiger Umsetzung der identifizierten Maßnahmen des CISIS12-
Kataloges von einem vergleichbaren Schutzniveau gegenüber dem IT-Grundschutz ausgegangen
werden kann.“
Ein entsprechender Erweiterungskatalog, der die offenen Bausteine abdeckt, steht ab 01.04.2023 zur Verfügung. In der Software M24S ist er schon verfügbar.