CISIS12

Zwei Frauen diskutieren an einem Whiteboard in einem modernen Büro mit Backsteinwand und großen Fenstern – Zusammenarbeit im Rahmen von Audit und Zertifizierung

CISIS12 ist ein Informationssicherheits-Managementsystem (ISMS), das speziell für kleine und mittlere Organisationen (KMU) sowie Kommunen und Behörden entwickelt wurde. Eine erfolgreiche Zertifizierung bestätigt, dass eine Organisation geeignete Prozesse und Strukturen etabliert hat, um Informationssicherheit effektiv zu steuern und systematisch zu verbessern.

Mit der Erteilung des CISIS12-Zertifikats wird bestätigt, dass die Organisation nachfolgende Anforderungen erfüllt:

  • Informationssicherheit wird in einem definierten Prozess gelebt,
  • ein funktionierendes Management der Informationssicherheit ist vorhanden und
  • ein definiertes Sicherheitsniveau ist zum Auditzeitpunkt erreicht.

Prüfgrundlagen des Verfahrens sind:

  • CISIS12-Norm
  • CISIS12-Handbuch
  • CISIS12-Katalog
  • Optional Bausteine aus dem erweiterten Katalog und/oder eigene ergänzende Bausteine
  • Auditierungsschema

Ablauf Ihrer CISIS12 Zertifizierung

  • Erstgespräch und Zieldefinition
  • Antragsstellung
  • Dokumentenprüfung
  • Umsetzungsprüfung
  • Auditbericht und Bewertung
  • Zertifikatserteilung

Unsere Kompetenz für Ihr CISIS12-Zertifikat

Audit-Planung im Team – Fachgespräch über ISO-Zertifizierung, Informationssicherheit und Managementsysteme am Flipchart
Strukturiert & praxisnah

Unsere Auditplanung folgt einem klaren, etablierten Ablauf, abgestimmt auf die 12 Schritte von CISIS12. So gewährleisten wir eine effiziente, nachvollziehbare und reibungslose Zertifizierung.

Erfahrene Auditoren mit Weitblick

Unsere Auditoren verfügen über langjährige Erfahrung mit CISIS12 und weiteren
Sicherheitsstandards. Dieses breite Wissen sichert eine fundierte und praxisnahe Bewertung Ihres ISMS.

Effiziente Abläufe, geringer Aufwand

Unsere Prüfprozesse sind so gestaltet, dass sie für Sie als zertifizierungsreife Organisation
möglichst schlank und effektiv ablaufen ohne Abstriche bei Gründlichkeit und Qualität.

Mehrwert durch Qualität

Wir prüfen neutral und unabhängig mit dem Ziel, ein hohes Maß an Sicherheit und
Nachvollziehbarkeit zu bestätigen - über die reine Zertifikatserteilung hinaus. Wo es sinnvoll
ist, zeigen wir Ihnen mögliche Optimierungspotenziale auf.

Zertifikate mit Marktwert

Unsere CISIS12-Zertifikate stehen für Qualität, Glaubwürdigkeit und Anerkennung. Sie
erfüllen die Anforderungen an eine seriöse, externe Prüfung und genießen breite Akzeptanz
bei Kunden, Partnern und öffentlichen Stellen.

Noch offene Fragen?

Nicht fündig geworden? Kontaktieren Sie uns gerne über unser Kontaktformular oder per Mail an: kundenbetreuung@koocom.de
wir beantworten Ihre Fragen individuell.

0. Projekt Start-up
Definition des Projektumfangs, Festlegung der Verantwortlichkeiten und Start der
strukturierten Einführung des Informationssicherheitsmanagementsystems (ISMS).
1. Leitlinie erstellen
Erarbeitung einer verbindlichen Leitlinie zur Informationssicherheit, die Ziele, Grundsätze
und den Geltungsbereich definiert.
2. Beschäftigte sensibilisieren
Schulung und Bewusstseinsbildung aller Mitarbeitenden für die Bedeutung und Relevanz
von Informationssicherheit im Arbeitsalltag.
3. Informationssicherheitsteam aufbauen
Zusammenstellung eines fachlich geeigneten Teams, das das ISMS konzipiert, umsetzt und
kontinuierlich betreut.
4. IT-Dokumentationsstruktur festlegen
Einführung einer strukturierten und nachvollziehbaren Dokumentation aller
sicherheitsrelevanten IT-Komponenten und -Prozesse.
5. IT-Service-Management-Prozesse
Einbindung und Bewertung bestehender IT-Service-Prozesse im Hinblick auf Sicherheit,
Verfügbarkeit und Zuständigkeiten.
6. Compliance-Prozesse und Anwendungen
Identifikation rechtlicher und regulatorischer Anforderungen und Zuordnung zu den
relevanten IT-Prozessen und -Systemen.
7. IT-Struktur analysieren
Erfassung und Bewertung der bestehenden IT-Infrastruktur zur Ermittlung
sicherheitsrelevanter Schwachstellen.
8. Risikomanagement
Bewertung von Bedrohungen und Schwachstellen, um Risiken zu identifizieren und
geeignete Maßnahmen zu definieren.
9. Soll-Ist-Vergleich
Gegenüberstellung der vorhandenen Sicherheitsmaßnahmen mit den CISIS12-
Anforderungen zur Feststellung von Handlungsbedarf.
10. Umsetzung planen und umsetzen
Erarbeitung eines Maßnahmenplans zur Schließung von Sicherheitslücken und Umsetzung
der priorisierten Maßnahmen.
11. Internes Audit
Überprüfung der Wirksamkeit des ISMS durch eine interne Auditierung – zur Vorbereitung
auf das externe Zertifizierungsaudit.
12. Revision
Dokumentierte Bewertung des gesamten Informationssicherheitsprozesses durch die
oberste Leitung und Ableitung von Optimierungen.
13. Audit

Die Bausteine bilden das Herzstück des CISIS12-Ansatzes. Sie enthalten konkrete
Anforderungen und Maßnahmen zu Themen wie IT-Infrastruktur, Zugriffskontrolle,
Notfallmanagement und vielem mehr.

Für Organisationen mit erhöhtem Schutzbedarf bietet CISIS12 den Extended-Katalog. Dieser
enthält zusätzliche Bausteine und Maßnahmen zur Erfüllung höherer
Sicherheitsanforderungen. Die Extended-Bausteine können bei Bedarf bereits während der
Einführung berücksichtigt oder im Rahmen eines Audits ergänzend herangezogen werden.
So bleibt das CISIS12-Modell flexibel und skalierbar – und passt sich Ihren individuellen
Sicherheitsbedürfnissen an.

Ablauf Ihrer CISIS12 Zertifizierung

Unsere Arbeit basiert auf einem klaren Werteverständnis, das sich

in jedem Schritt unserer Prüfprozesse widerspiegelt:

Teilnehmende heben die Arme bei einem Informationssicherheits-Workshop – Motivation im Auditprozess.

Sie können uns ganz einfach über unsere Webseite, telefonisch oder per E-Mail kontaktieren. Wir geben Ihnen alle wichtigen Erstinformationen und beantworten gerne Ihre Fragen. Wenn Sie direkt ein kostenloses und unverbindliches Angebot wünschen, schauen Sie bitte im nächsten Schritt.

Starten Sie digital – schnell und einfach zum individuellen Angebot!
Mit unserem Auditmanager erfassen Sie bequem alle wichtigen Informationen online. Darauf
basierend erstellen wir ein transparentes, auf Ihren Bedarf zugeschnittenes Angebot.
So geht´s:
1. Registrieren Sie sich im Auditdesk
Nach erfolgreicher Registrierung, erhalten Sie Erstinformationen vorab per E-Mail.
2. Wählen Sie die gewünschte Auditart aus und beantworten Sie die Fragen im
Auditmanager, sie bilden die Grundlage für eine realistische Planung und ein passgenaues
Angebot.
3. Sobald Ihr individuelles Angebot vorliegt, finden Sie es direkt in Ihrem persönlichen
Bereich des Auditmanagers und erhalten hierüber eine Information per E-Mail.
4. Sind Sie zufrieden? Dann bestätigen Sie das Angebot direkt über den Auditmanager.
5. Sobald das Angebot angenommen wurde, nimmt der Auditor Kontakt mit Ihnen auf. Auf Grundlage der Auditkalkulation wird anschließend der konkrete Ablauf des Audits mit Ihnen
abgestimmt. Bei Fragen oder Unterstützung hilft Ihnen unser Team gerne weiter. Kontaktieren Sie uns.

Das CISIS12-Audit besteht aus zwei Schritten:

  • Dokumentenprüfung: Wir prüfen alle erforderlichen Unterlagen auf Vollständigkeit,
    Nachvollziehbarkeit und Übereinstimmung mit den Anforderungen von CISIS12.
  • Umsetzungsprüfung: Vor Ort oder digital beurteilen wir, ob und wie die dokumentierten Maßnahmen in Ihrer Organisation umgesetzt wurden.

Nach dem Audit erstellt das Auditteam einen Bericht mit allen Feststellungen und Bewertungen. Kleinere Abweichungen können im Nachgang behoben werden und führen nicht automatisch zu einem Nichtbestehen des Audits.

Im Rahmen der Dokumenten- oder Umsetzungsprüfung kann es zu Abweichungen kommen. Diese zeigen auf, wo Ihr Informationssicherheitsmanagementsystem noch nicht vollständig der CISIS12-Norm entspricht. Es wird zwischen Empfehlungen, Nebenabweichungen und
Hauptabweichungen unterschieden:

  • Empfehlungen weisen auf Verbesserungspotenziale hin, gefährden jedoch nicht die Zertifizierung. Sie sind freiwillig umzusetzen, sollten aber spätestens beim nächsten Audit
    berücksichtigt werden.
  • Nebenabweichungen zeigen konkrete Mängel auf, die zwar keine unmittelbare Zertifizierungsverweigerung nach sich ziehen, aber innerhalb einer Frist behoben werden müssen. Ein Maßnahmenplan wird gemeinsam erstellt und im Nachaudit überprüft.
  • Hauptabweichungen sind gravierende Mängel, bei denen das Managementsystem nicht wirksam funktioniert. Eine Zertifikatserteilung oder -fortführung ist in diesem Fall nicht
    möglich. Erst nach erfolgreicher Behebung kann ein neuer Zertifizierungsprozessgestartet werden. Alle Feststellungen werden nachvollziehbar dokumentiert und im Auditbericht aufgeführt. Ziel ist es stets, Ihr ISMS nachhaltig zu stärken.

Die endgültige Entscheidung über die Zertifikatserteilung trifft die Zertifizierungsstelle auf
Basis des Auditberichts. Sobald die Anforderungen erfüllt sind, wird das Zertifikat ausgestellt.

  • Alle zwölf Schritte des CISIS12-Modells müssen durchlaufen sein.
  • Die Referenzdokumente (z. B. Sicherheitskonzept, Netzplan, Schulungskonzepte, Risikoplanung) müssen vollständig vorliegen und aktuell sein.
  • Ihre Organisation muss die aktuell gültige Version der CISIS12-Grundlagen (Norm, Handbuch, Katalog) anwenden.

Überwachungsaudit
Nach erfolgreicher Erstzertifizierung erfolgt jährlich ein Überwachungsaudit. Ziel ist es, sicherzustellen, dass Informationssicherheit weiterhin aktiv umgesetzt und weiterentwickelt
wird. Nur bei Einhaltung aller Anforderungen bleibt das Zertifikat gültig.

  • Bsp. Erst-Zertifizierung 01.06.2026
  • Überwachungsaudit frühestens 01.03.2027 bis spätestens 01.06.2027

Re-Zertifizierung
Alle drei Jahre steht die Re-Zertifizierung an. Sie folgt im Ablauf dem Erstzertifizierungsaudit, berücksichtigt jedoch zusätzlich die bisherigen Auditergebnisse und
Entwicklungen im Geltungsbereich. So wird geprüft, ob das Informationssicherheitsniveau weiterhin den Anforderungen von CISIS12 entspricht.

  • Bsp. Erst-Zertifizierung 01.06.2026