Hallo
vielen Dank für die Antworten.
Eine Zertifizierung soll in den nächsten Jahren angestrebt werden - ja.
Nach was - das ist meine Aufgabe. Die GL hat nichts dazu gesagt, dementsprechend fehlen mir auch die ISO-Normen zum durchlesen bzw. durcharbeiten.
Meine Aufgabe also grob gesagt: "Finde Normen, mit denen du ein Notfallbewältigungskonzept erstellen kannst, wegen die gegen einander ab und entscheide dich für eine. Erstelle daraufhin das Notfallvorsorgekonzept für bis jetzt erst ein Mal den Prozess EDI und sei bis Ende Okt. fertig."
Ich hatte mich etwas die BSI 100-4 gehangen und die auch soweit durch gegangen. Sie scheint, wie schon Kazeerulaz geschrieben hat, sehr Detailiert. Aber ich persönlich würde sagen, damit ist alles abgedeckt. Es wird zwar aufwändig und zeitintensiv, aber danach hat man doch, vor allem wenn man ein Leie ist, sein Notfallkonzept. Oder sehe ich das falsch?
Was ich leider noch nicht so richtig herausgefunden habe ist, ob man nach 100-4 zertifiziert werden kann. Nach dem was ich gelesen habe, würde ich glatt sagen - nein. Auch wenn es auf BS 25999, also der Vorgänger von ISO 22301 / 22313 ist, muss es ja ein Grund haben, warum es nur eine Empfehlung ist? Also schließe ich daraus, dass ich genauso gut gleich nach ISO 22301 arbeiten kann?
Und das nächste das dafür sprach, es gibt eine Zertifizierung nach ISO 27001 auf Basis Grundschutz, heißt also der Grundschutz kann nicht alleine auditiert werden?
Das alles Zusammenhängt habe ich soweit verstanden, der BSI 100-4 muss komplett genommen werden, wobei ich denke, dass ich auch bei der Zertifizierung von ISO 27001 nicht die anderen der Reihe weg lassen kann (27005, 27002,..), genau wie bei ISO 22301 die 22313 relevant ist.
@Pitti: Ein IT-Notfallmanagement könnte doch theoretisch aus einer Person bestehen, oder? Oder ist es etwas besonderes zu beachten, außer das diese Person dann vermutlich für die Sicherheit der IT und die Auditierungen verantwortlich ist?
@kazeerulaz: ja, ich hatte mich falsch ausgedrückt. Erst die Normen analysieren, dann ein Handbuch erstellen.
Ich hätte noch eine Verständnisfrage: Was genau ist der Unterschied zwischen ISMS und BKM/BCMS? Alle beide haben das Ziel, das Unternehmen vor Unterbrechungen zu beschützten. Und alle beide schneiden die Themen Risikomanagement und IT-Management und eben sich gegenseitig. BKM kommt aus dem Finanzsektor, aber sonst? - Hintergrund der Frage: Ich suche nach Unterschieden zwischen ISO 27001 und ISO 22301, außer den Aufbau.