Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht → Audit Begleitung as a Service GAP-Analyse Implementierung
ISMS
Übersicht → Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht → Externer KI-Beauftragter EU AI Act ISO 42001 Thema Schatten-KI
BCMS
Übersicht → Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht → Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht → Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht → Insights KI-Security Briefing
Über uns
Übersicht → Presse
+49 40-298 4553-0 [email protected]
CISIS12 Beratung: ISMS in 12 Schritten für den Mittelstand | SECURAM

ISMS · CISIS12

CISIS12 Beratung: ISMS in 12 Schritten

CISIS12 ist der schnellste Einstieg in ein strukturiertes Informationssicherheitsmanagementsystem. In 12 definierten Schritten bauen KMU und Kommunen ein zertifizierungsfähiges ISMS auf, das den Migrationspfad zu ISO 27001 von Beginn an mitdenkt.

Erstgespräch vereinbaren Leistungsumfang ↓
CISIS12 12 Schritte

Ausgangslage

Warum CISIS12 für KMU und Kommunen relevant ist

Informationssicherheit beginnt mit dem ersten strukturierten Schritt. CISIS12 macht diesen Einstieg planbar.

CISIS12 steht für Compliance-Informations-Sicherheits-Management-System in 12 Schritten. Das Modell wurde vom IT-Sicherheitscluster e.V. in Regensburg entwickelt und wird von der SWI GmbH vermarktet. Es richtet sich gezielt an Organisationen mit weniger als 250 Beschäftigten und an Kommunen, die bisher kein formales ISMS betreiben. Während ISO 27001 einen risikobasierten Ansatz verfolgt, bei dem Organisationen ihre spezifischen Risiken identifizieren und daraus Controls ableiten, gibt CISIS12 eine feste Reihenfolge von 12 präskriptiven Schritten mit einem definierten Bausteinkatalog vor. Diese Struktur reduziert die methodische Eigenleistung erheblich und macht den Projektfortschritt planbar.

Mit der NIS-2-Richtlinie hat die EU den Kreis der betroffenen Unternehmen auf mehr als 30.000 Organisationen in Deutschland erweitert. Wer den geforderten „Stand der Technik" nachweisen muss, braucht ein Managementsystem. CISIS12 ist dafür der schnellste Einstiegspunkt, weil der Weg von der Leitlinie bis zur Zertifizierung kürzer und weniger ressourcenintensiv ist als bei ISO 27001. Organisationen, die mit CISIS12 beginnen, können später auf ISO 27001 migrieren und sparen dabei erfahrungsgemäß 30 bis 40 Prozent des Aufwands, weil Dokumentation, Rollen und Prozesse wiederverwendbar sind.

In unseren Projekten begleiten wir Organisationen von der Initialisierung über die Zertifizierungsvorbereitung bis zum laufenden Betrieb. Wer das ISMS nach der Zertifizierung nicht intern besetzen will, kann den Betrieb als ISBaaS an SECURAM auslagern. Dabei planen wir den Migrationspfad zu ISO 27001 bereits in der CISIS12-Phase mit ein, sodass keine Dokumentation doppelt erstellt werden muss.

Leistungsumfang

CISIS12: Von der Initialisierung bis zur Zertifizierung

Acht aufeinander abgestimmte Leistungsbausteine, die alle 12 Schritte des CISIS12-Modells abdecken.

01

Initialisierung: Leitlinie, Rollen, Geltungsbereich

Erstellung der Informationssicherheitsleitlinie, Definition der Rollen (ISB, IS-Team) und Festlegung des Geltungsbereichs. Entspricht den CISIS12-Schritten 1 bis 3.

02

IT-Dokumentation und Strukturanalyse

Erfassung der IT-Landschaft, Netzwerkpläne, Anwendungen und Schnittstellen. Systematische Strukturanalyse als Grundlage für die Risikoidentifikation. Entspricht den CISIS12-Schritten 4 und 5.

03

Compliance-Analyse und Risikoidentifikation

Abgleich mit regulatorischen Anforderungen (NIS-2, DSGVO, branchenspezifische Vorgaben) und Identifikation der organisationsspezifischen Risiken. Entspricht den CISIS12-Schritten 6 und 7.

04

Maßnahmenableitung aus Bausteinkatalog

Auswahl und Zuordnung der Maßnahmen aus dem CISIS12-Bausteinkatalog auf Basis der identifizierten Risiken und Compliance-Anforderungen. Entspricht den CISIS12-Schritten 8 und 9.

05

Maßnahmenumsetzung und Schulung

Operative Umsetzung der abgeleiteten Maßnahmen, Integration in bestehende Prozesse und Schulung der Mitarbeitenden. Entspricht dem CISIS12-Schritt 10.

06

Internes Audit

Durchführung des internen Audits als unabhängige Prüfinstanz. Bewertung der Wirksamkeit der umgesetzten Maßnahmen und Identifikation von Korrekturmaßnahmen. Entspricht dem CISIS12-Schritt 11.

07

Zertifizierungsvorbereitung

Vorbereitung auf das Zertifizierungsaudit durch die ICO AG: Dokumentenprüfung, Nachbesserung offener Punkte und Simulation der Auditsituation. Entspricht dem CISIS12-Schritt 12.

08

Migrationsvorbereitung ISO 27001

Analyse der Überschneidungen zwischen CISIS12 und ISO 27001, Identifikation der zusätzlichen Anforderungen und Erstellung eines Migrationsplans für den späteren Aufstieg auf ISO 27001.

Ablauf

Von der Initialisierung zur Zertifizierung in 6 Phasen

Initialisierung: Leitlinie, Rollen, Scope

Woche 1–3

Erstellung der Informationssicherheitsleitlinie, Benennung des ISB und des IS-Teams, Festlegung des Geltungsbereichs. Aufbau der Projektorganisation und Abstimmung der Meilensteine mit der Geschäftsleitung.

Ergebnis: Leitlinie, Rollenbesetzung, Scope-Dokument, Projektplan

IT-Dokumentation und Strukturanalyse

Woche 3–6

Erfassung der IT-Infrastruktur, Anwendungen, Netzwerke und Schnittstellen. Erstellung der Strukturanalyse als Grundlage für die nachfolgende Risikoidentifikation und Compliance-Analyse.

Ergebnis: IT-Dokumentation, Netzwerkplan, Strukturanalyse-Bericht

Compliance-Analyse und Risikoidentifikation

Woche 6–10

Abgleich der Organisationsstruktur mit regulatorischen Anforderungen. Identifikation und Bewertung der Risiken auf Basis der Strukturanalyse. Priorisierung der Handlungsfelder.

Ergebnis: Compliance-Report, Risikoregister, priorisierte Handlungsfelder

Maßnahmenableitung und Umsetzung

Woche 10–18

Auswahl der Maßnahmen aus dem CISIS12-Bausteinkatalog, operative Umsetzung und Integration in bestehende Prozesse. Schulung der Mitarbeitenden und Aufbau des Awareness-Programms.

Ergebnis: Umgesetzte Maßnahmen, Schulungsnachweise, aktualisierte Dokumentation

Internes Audit und Zertifizierungsvorbereitung

Woche 18–22

Durchführung des internen Audits als unabhängige Prüfinstanz. Identifikation und Behebung verbleibender Schwachstellen. Vorbereitung der Dokumentation und Simulation der Auditsituation für die ICO-AG-Zertifizierung.

Ergebnis: Interner Auditbericht, Korrekturmaßnahmen, Zertifizierungsreife

Laufender Betrieb und ISBaaS-Übergang

Woche 22+

Übergang in den Regelbetrieb nach der Zertifizierung. Planung der jährlichen Überwachungsaudits, fortlaufende Risikoaktualisierung und bei Bedarf Übernahme der ISB-Rolle durch SECURAM im ISBaaS-Modell. Vorbereitung des Migrationspfads zu ISO 27001.

Ergebnis: Betriebskonzept, ISBaaS-Vereinbarung, Migrationsfahrplan ISO 27001

Zeitangaben beziehen sich auf eine Organisation mit weniger als 250 Beschäftigten ohne bestehendes ISMS. Bei vorhandenen Teilstrukturen verkürzen sich die Phasen entsprechend.

Erfahrung und Qualifikation

Worauf SECURAM aufbaut

SECURAM Consulting wurde in Hamburg gegründet und berät seit mehr als 20 Jahren mittelständische Unternehmen in der DACH-Region. Die Kombination aus ISMS, BCMS, KI-Governance und Risikomanagement unter einem Dach unterscheidet SECURAM von spezialisierten Einzelnorm-Beratungen, weil Überschneidungen zwischen Standards systematisch genutzt werden.

30+
Implementierte Managementsysteme
50+
Durchgeführte interne Audits
15+
Betreute Organisationen (aaS)
20+
Jahre Beratungserfahrung

Skalierung

Vom Einstieg zum internationalen Standard

CISIS12 ist der erste Schritt. Wer strukturiert aufbaut, spart bei der Migration zu ISO 27001 erfahrungsgemäß 30 bis 40 Prozent des Aufwands.

CISIS12 ist der schnellste Einstieg in ein strukturiertes ISMS. Wer später auf ISO 27001 migriert, spart erfahrungsgemäß 30 bis 40 Prozent des Aufwands, weil Dokumentation und Prozesse wiederverwendbar sind.

Weitere Standards in der ISMS-Säule
TISAX BSI IT-Grundschutz DORA KRITIS CRA

Laufender Betrieb

ISBaaS — Externer Informationssicherheitsbeauftragter

Nach der CISIS12-Zertifizierung beginnt der laufende Betrieb: Überwachungsaudits, Risikoaktualisierung, Maßnahmenverfolgung und die Weiterentwicklung des ISMS im PDCA-Zyklus. Nicht jede Organisation kann oder will diese Aufgaben dauerhaft intern besetzen.

Mit ISBaaS stellt SECURAM einen externen Informationssicherheitsbeauftragten, der sowohl den laufenden Betrieb des CISIS12-basierten ISMS übernimmt als auch die Migration von CISIS12 zu ISO 27001 steuert. Das Modell eignet sich besonders für Organisationen, die die Zertifizierung erreicht haben und den nächsten Reifegrad ohne zusätzliche Festanstellung anstreben.

  • Wahrnehmung der ISB-Rolle im laufenden Betrieb
  • Planung und Durchführung interner Audits
  • Vorbereitung der jährlichen Überwachungsaudits (ICO AG)
  • Fortlaufende Risikoaktualisierung und Maßnahmenverfolgung
  • Steuerung der Migration von CISIS12 zu ISO 27001

SECURAM Consulting ist Mitglied der BSI-Allianz für Cybersicherheit, bei ISACA, Bitkom, der IHK Kiel und im Netzwerk Hamburg@work.

Häufige Fragen

FAQ — CISIS12

CISIS12 steht für Compliance-Informations-Sicherheits-Management-System in 12 Schritten. Das Modell wurde vom IT-Sicherheitscluster e.V. in Regensburg entwickelt und wird von der SWI GmbH vermarktet. CISIS12 richtet sich gezielt an kleine und mittlere Unternehmen mit weniger als 250 Beschäftigten sowie an Kommunen und öffentliche Einrichtungen, die bisher kein formales ISMS betreiben. Die 12 Schritte sind präskriptiv aufgebaut und geben eine feste Reihenfolge vor, sodass Organisationen ohne ISMS-Erfahrung einen strukturierten Einstieg erhalten.
Die Einführung von CISIS12 dauert in der Regel zwischen 6 und 12 Monaten, abhängig von der Organisationsgröße, den vorhandenen Strukturen und der internen Ressourcenverfügbarkeit. Damit liegt der Zeitaufwand deutlich unter dem einer ISO-27001-Implementierung, die im Mittelstand zwischen 9 und 14 Monaten beansprucht. Der präskriptive Charakter der 12 Schritte sorgt dafür, dass weniger Entscheidungsspielraum besteht und der Projektfortschritt planbar bleibt.
Die Kosten hängen vom Umfang des Geltungsbereichs, der Organisationsgröße und dem bestehenden Reifegrad ab. Pauschalpreise wären unseriös. Grundsätzlich liegt der Beratungsaufwand in Personentagen unter dem einer ISO-27001-Implementierung, weil der Bausteinkatalog von CISIS12 weniger Anpassungsbedarf erzeugt. SECURAM arbeitet auf Tagessatzbasis, sodass der Aufwand transparent bleibt und die Organisation die Steuerung behält.
SECURAM betrachtet CISIS12 nicht als Endpunkt, sondern als Einstieg in ein strukturiertes ISMS mit klarem Migrationspfad zu ISO 27001. Die Beratung berücksichtigt von Beginn an die Anforderungen der ISO 27001, sodass Dokumentation und Prozesse beim späteren Aufstieg wiederverwendbar sind. Zusätzlich deckt SECURAM mit vier Säulen (ISMS, BCMS, AIMS, Risikomanagement) auch angrenzende Anforderungen wie NIS-2, DORA oder ISO 22301 ab.
CISIS12 arbeitet präskriptiv: Die 12 Schritte geben eine feste Reihenfolge und einen definierten Bausteinkatalog vor. ISO 27001 hingegen ist risikobasiert und verlangt, dass Organisationen ihre spezifischen Risiken identifizieren und daraus Controls ableiten. CISIS12 eignet sich für den Einstieg, weil es weniger methodische Eigenleistung erfordert. ISO 27001 bietet mehr Flexibilität und ist international anerkannt. Beide Ansätze verfolgen dasselbe Ziel: den systematischen Schutz von Informationen.
Ja, CISIS12 ist über die ICO AG zertifizierbar. Die Zertifizierung bestätigt, dass eine Organisation die 12 Schritte vollständig durchlaufen und die Anforderungen des Bausteinkatalogs nachweisbar umgesetzt hat. Die Zertifizierung hat eine Gültigkeit von drei Jahren, mit jährlichen Überwachungsaudits. Für Kommunen und öffentliche Einrichtungen ist die CISIS12-Zertifizierung häufig der bevorzugte Nachweis gegenüber Aufsichtsbehörden und Fördermittelgebern.
Ja, die Migration von CISIS12 zu ISO 27001 ist ausdrücklich vorgesehen und wird vom IT-Sicherheitscluster e.V. unterstützt. In unseren Projekten sehen wir, dass Organisationen, die mit CISIS12 begonnen haben, bei der späteren ISO-27001-Implementierung erfahrungsgemäß 30 bis 40 Prozent des Aufwands einsparen. Dokumentation, Rollen, Leitlinien und Teile der Risikoanalyse sind direkt übertragbar. SECURAM plant den Migrationspfad bereits in der CISIS12-Beratung mit ein.
CISIS12 allein reicht nicht aus, um die Anforderungen der NIS-2-Richtlinie vollständig zu erfüllen. NIS-2 fordert ein höheres Reifeniveau, insbesondere bei Meldepflichten (24-Stunden-Frist), Lieferkettenprüfung und Geschäftsleitungshaftung. CISIS12 ist jedoch der schnellste Einstieg in ein strukturiertes ISMS und schafft eine belastbare Grundlage, auf der die NIS-2-spezifischen Anforderungen aufgebaut werden können. Der Weg führt in der Praxis über CISIS12 zu ISO 27001 und dann zur NIS-2-Konformität.
CISIS12 richtet sich an kleine und mittlere Unternehmen mit weniger als 250 Beschäftigten, an Kommunen und an Organisationen, die bisher kein formales Informationssicherheitsmanagementsystem betreiben. Der präskriptive Aufbau mit 12 definierten Schritten und einem festen Bausteinkatalog reduziert die methodische Eigenleistung gegenüber ISO 27001 erheblich. Auch Organisationen, die perspektivisch ISO 27001 anstreben, nutzen CISIS12 als strukturierten Einstiegspunkt.
Die Weiterentwicklung von ISIS12 zu CISIS12 brachte drei wesentliche Änderungen: Erstens wurde der Compliance-Aspekt stärker in den Vordergrund gerückt, was sich im neuen Namen widerspiegelt. Zweitens wurde der Risikomanagement-Prozess überarbeitet und an die Anforderungen moderner Normen angepasst. Drittens wurde die Prozessbetrachtung erweitert, sodass nicht nur technische, sondern auch organisatorische Abläufe systematisch erfasst werden. Die Grundstruktur der 12 Schritte blieb erhalten.

Bereit für den Einstieg ins ISMS?

In einem 45-minütigen Erstgespräch klären wir Ihren Reifegrad, den Scope und die nächsten Schritte.

Erstgespräch vereinbaren →

Nächster Schritt

Ihr Einstieg in CISIS12

GAP-Analyse

CISIS12 GAP-Analyse

Wo steht Ihre Organisation heute? Die GAP-Analyse liefert innerhalb weniger Wochen einen belastbaren Überblick über den Handlungsbedarf und den geschätzten Aufwand für die CISIS12-Einführung.

GAP-Analyse anfragen →
Internes Audit

Internes Audit nach CISIS12

SECURAM prüft Ihr ISMS als unabhängige Prüfinstanz vor dem Zertifizierungsaudit der ICO AG. Schwachstellen werden erkannt und behoben, bevor der externe Auditor kommt.

Audit anfragen →
Implementierung

CISIS12 implementieren

Von der Initialisierung über den Bausteinkatalog bis zur Zertifizierungsvorbereitung: SECURAM begleitet alle 12 Schritte und plant den Migrationspfad zu ISO 27001 mit ein.

Implementierung anfragen →

Kontakt

Wir freuen uns auf Ihre Nachricht.

Ich habe die Datenschutzhinweise gelesen und bin einverstanden, dass meine Angaben zur Beantwortung meiner Anfrage verarbeitet und per E-Mail an SECURAM Consulting übermittelt werden. *

Ihre Ansprechpartnerin

Nadine Eibel – SECURAM Consulting

Nadine Eibel

Gründerin & Geschäftsführerin
SECURAM Consulting GmbH

Über 20 Jahre Erfahrung in IT-Security und Informationssicherheit. Zertifiziert als CISM, Lead Auditorin ISO 27001 und ITIL Expert.

Kontaktdaten

Colonnaden 5
20354 Hamburg
040 298 4553-0
contact@securam-consulting.com

Direkter Kontakt

Lieber direkt sprechen?
Buchen Sie ein kostenloses Erstgespräch.

Termin buchen