Mändü

Hallo, vielen Dank für deine Ausführliche Antwort. Da aber das Notfall-Team auch Ahnung von IT haben sollte, wird wohl die ISO 27001 bei uns nicht umsetzbar und zertifizierbar sein. Also kann ich die zum erarbeiten schon mal vergessen. :wink2: Ja genau, bzw. für Prozesse die mit EDI in Berührung kommen. Das werde ich machen, vielen Dank für den Tipp. Okay, dann wird es wohl nur eine Notfallvorsorge nach unseren Ansprüchen geben ohne jeglichen Auditor. Werde es auf jeden Fall beim nächsten Meeting ansprechen. Wobei.. Nach ISO 27001:2008 können wir nicht zertifiziert werden wegen "Personenmangel", warum aber nicht nach ISO 22301? Nochmal danke

Hallo vielen Dank für die Antworten. Eine Zertifizierung soll in den nächsten Jahren angestrebt werden - ja. Nach was - das ist meine Aufgabe. Die GL hat nichts dazu gesagt, dementsprechend fehlen mir auch die ISO-Normen zum durchlesen bzw. durcharbeiten. Meine Aufgabe also grob gesagt: "Finde Normen, mit denen du ein Notfallbewältigungskonzept erstellen kannst, wegen die gegen einander ab und entscheide dich für eine. Erstelle daraufhin das Notfallvorsorgekonzept für bis jetzt erst ein Mal den Prozess EDI und sei bis Ende Okt. fertig." Ich hatte mich etwas die BSI 100-4 gehangen und die auch soweit durch gegangen. Sie scheint, wie schon Kazeerulaz geschrieben hat, sehr Detailiert. Aber ich persönlich würde sagen, damit ist alles abgedeckt. Es wird zwar aufwändig und zeitintensiv, aber danach hat man doch, vor allem wenn man ein Leie ist, sein Notfallkonzept. Oder sehe ich das falsch? Was ich leider noch nicht so richtig herausgefunden habe ist, ob man nach 100-4 zertifiziert werden kann. Nach dem was ich gelesen habe, würde ich glatt sagen - nein. Auch wenn es auf BS 25999, also der Vorgänger von ISO 22301 / 22313 ist, muss es ja ein Grund haben, warum es nur eine Empfehlung ist? Also schließe ich daraus, dass ich genauso gut gleich nach ISO 22301 arbeiten kann? Und das nächste das dafür sprach, es gibt eine Zertifizierung nach ISO 27001 auf Basis Grundschutz, heißt also der Grundschutz kann nicht alleine auditiert werden? Das alles Zusammenhängt habe ich soweit verstanden, der BSI 100-4 muss komplett genommen werden, wobei ich denke, dass ich auch bei der Zertifizierung von ISO 27001 nicht die anderen der Reihe weg lassen kann (27005, 27002,..), genau wie bei ISO 22301 die 22313 relevant ist. @Pitti: Ein IT-Notfallmanagement könnte doch theoretisch aus einer Person bestehen, oder? Oder ist es etwas besonderes zu beachten, außer das diese Person dann vermutlich für die Sicherheit der IT und die Auditierungen verantwortlich ist? @kazeerulaz: ja, ich hatte mich falsch ausgedrückt. Erst die Normen analysieren, dann ein Handbuch erstellen. Ich hätte noch eine Verständnisfrage: Was genau ist der Unterschied zwischen ISMS und BKM/BCMS? Alle beide haben das Ziel, das Unternehmen vor Unterbrechungen zu beschützten. Und alle beide schneiden die Themen Risikomanagement und IT-Management und eben sich gegenseitig. BKM kommt aus dem Finanzsektor, aber sonst? - Hintergrund der Frage: Ich suche nach Unterschieden zwischen ISO 27001 und ISO 22301, außer den Aufbau.

Hallo, ich habe die Aufgabe bekommen, mich über die oben genannten Normen bzw. Standards schlau zu machen und eines davon an Hand eines Notfallhandbuchs einzuführen. Nun mein Problem. Sie hören sich alle viel versprechend an und ich habe leider bis jetzt keine Aussage darüber gefunden, welches davon das Beste ist? Das Unternehmen für das ich Arbeite hat 500 Mitarbeiter und wir sind ein Automobil-Zulieferer. Also kein großer Konzern oder ein kleiner Betrieb. Hat irgendwer von euch Ahnung oder schon Erfahrungen mit den drei gemacht oder auch nur mit einem, welches sich vom Aufwand in Maßen hält und auch für Mittelständige Unternehmen geeignet ist? Selbst wenn Ihr nur Vor- oder Nachteile oder beides habt, bitte schreibt. Vielen Dank, mändü