Jump to content

Das MCSEboard.de hatte am 19.07.18 Netzwerk-Probleme, die inzwischen behoben wurden. Wir bitten um Verständnis.

VMHost112

ISO 27001 im Unternehmen ohne fremde Hilfe durchsetzen

Empfohlene Beiträge

Guten Morgen,

 

passt nicht ganz rein in dieses Forum, aber theoretisch müssten Leute da sein, die zu dem Thema etwas wissen.
Folgendes "Problem".


Ich arbeite derzeit in der IT eines mittelständischen Server Hosters. Ich habe 14 Jahre Berufserfahrung, darunter die letzten 5 Jahre als Gruppenleiter.

 

Die Geschäftsleitung wünscht sich eine Zertifizierung des Unternehmens nach ISO 27001 (ob native oder nach IT Grundschutz ist noch nicht klar) da angedacht ist zukünftig auch Server für staatliche Stellen zu hosten. Da hierzu die ISO 27001 und ein betriebsinterner ITSB btw. CISO benötigt wird, ist nun angedacht, mich zu diversen Seminaren zum TÜV zu schicken.


Insgesamt sind dies drei Kurse:  Ein Einführungskurs 2 Tage, ein 5 Tage Kurs zum CISO und ein Aufbaukurs zum Lead Auditor TÜV / Security Aditor TÜV mit ebenfalls 5 Tagen.

 

CISO / ITSB im Unternehmen, gut, das leuchtet mir ein.
Doch wie realistisch ist es, die ISO Zertifizierung des Unternehmens dann als Lead Auditor selbst durchzuführen.
Hat das jemand bereits einmal erfolgreich gemacht und kann berichten?

Ich bin mir nicht sicher, ob das von vornherein nicht zum Scheitern verurteilt ist, wenn man sich hierzu nicht externe Hilfe holt.

Was meint Ihr?


Gruß

Stoffl

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Egal was du für Prüfungen hast, ein Unternehmen darf sich nicht selber zertifizieren.

 

Sind gerade dabei, weil mein Hauptarbeitgeber unter die KRITIS fällt, und die 27001 ist die Basis dazu. :-)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

korrekt. Der Sinn einer Zertifizierung ist, dass eine anerkannte und unabhängige Stelle den Umsetzungsstand der ISO 27001 bzw. des BSI-200 bestätigt. Selbst wenn du Auditor wärest, könnte dein Unternehmen keine Zertifizierung durchführen, auch nicht für Dritte. Denn dazu gehört eine Akkreditierung des Unternemens, die sich nur dann lohnt, wenn man da einen geschäftlichen Schwerpunkt hat.

 

Als Auditor könntst du von so einem Unternehmen mit einem Audit beaftragt werden, das dann die Grundlage einer Zertifizierung bildet. Aber natürlich nicht für das eigene Unternehmen.

 

Kurz gesagt, seid ihr noch etwas auf dem Holzweg. Eine Einführungsschulung ist sicher sinnvoll, der Rest nicht. Sucht euch einen Dienstleister, der euch begleitet. Schon deshalb, weil ein Externer erfahrungsgemäß bei sowas mehr Handlungsfreiheit hat als ein Interner.

 

Was den zugrundeliegenden Standard angeht: Nehmt BSI-200. Der ist zur ISO 27001 kompatibel, aber viel praxisnäher (und damit in aller Regel "günstiger"). Eine Zertifizierung auf der Basis wäre automatisch eine ISO-27001-Zertifizierung.

 

Gruß, Nils

 

bearbeitet von NilsK
Korrekturem

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo miteinander,

 

Ich habe mich da vielleicht etwas unglücklich ausgedrückt.

Dass wir uns nicht selbst zertifizieren bzw. auditieren können, das ist uns durchaus klar und natürlich auch verständlich.
 

Meine Frage bezog sich eigentlich nicht darauf, wer am Ende auditiert und die ISO 27001 für das Unternehmen ausstellt / bescheinigt,

sondern ob es realisitisch ist, dass man die Vorbereitungen und die Maßnahmen im Unternehmen, alleine planen und umsetzen kann, damit diese dann von unabhängiger Stelle auditiert und zertifiziert werden kann. Also die Risikobewertung, Soll-Ist-Vergleiche, Maßnahmen und Umsetzung selbst plant und durchführt,

so dass am Ende eben nur noch von einem Dienstleister auditiert werden muss.

Es muss ja im Unternehmen ein Beauftragter ITSB oder CISO sitzen, der dies dann auch zukünftig sicher stellt.

 

Deswegen die Frage: Die Vorbereitung (!) und die Planung (!) für die Maßnahmen selber machen - realistisch?
Oder auch bereits die Planung schon mit externer Hilfe.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

wie soll man das beantworten, ohne eure Organisation zu kennen? Als allgemeine Aussage dazu vielleicht: Bei den meisten Unternehmen ist so viel Personal vorhanden, dass das übliche Geschäft geleistet werden kann. Für ein größeres Projekt fehlen dann oft Ressourcen, weswegen man sich für sowas extern verstärkt.

 

Ein ISMS-Projekt mit dem Ziel der Zertifizierung hat schnell höhere zweistellige externe Beratertage. Die internen Aufwände, die ein Externer nicht machen kann, kommen noch dazu, die können durchaus noch höher sein. Wenn man dann auch noch selbst den Aufwand leisten muss, das nötige Know-how für eine zertifizierbare ISMS-Implementierung aufzubauen, kann das unwirtschaftlich werden. Betrieb und Weiterentwicklung erfordern natürlich auch Kenntnisse in der Systematik, aber die Grundlagenkenntnisse zum Erstaufbau würdet ihr danach nicht wieder brauchen, wenn ihr kein eigenes Geschäft daraus macht.

 

Gruß, Nils

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Nils,

 

genau so sehe ich das momentan auch. Schulungen und Seminare hin oder her. Es ist ja nicht von der Hand zu weisen, dass ich aktuell ja bereits eine Tätigkeit im Unternehmen habe. Wenn dann natürlich die meiste oder sogar die gesamte verfügbare Zeit in die Vorbereitung zum ISMS und der kommenden Zertifizierung fließt, dann fehlt die Zeit schlicht anderswo. Denn die "normale" Arbeit muss ja auch erledigt sein.

 

Alles in allem ein sehr komplexes Thema.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Stoffl,

 

welchen Standard ihr verwendet, kommt ganz enorm darauf an was ihr damit erreichen wollt. Dienstleistungen für Behörden, dann solltet ihr ISO 27001 auf Basis IT-Grundschutz anwenden. Die native wäre nur die halbe Miete. Der große Vorteil ist, dass das GS-Kompendium (nachfolger der GS-Kataloge) euch genauer aufzeigt was zu tun ist. Den Grundschutz alt (Standards der 100er Reihe) solltest Du nicht mehr anwenden. Wenn ihr jetzt anfangt, könnt ihr in zwei Jahren die Zertifizierung angehen. Bis dahin gibt es den alten Standard nur noch für Altzertifizierte.

 

Die ISO 27001 native lässt euch zwar mehr Freiraum, aber diesen Freiraum müsst ihr dann auch richtig füllen. Nicht ganz einfach.

 

Zur Zertifzierung: Die ISO 27001 auf Basis IT-Grundschutz kann nur das BSI zertifizieren, ihr benötigt allerdings einen Auditor vom freien Markt (z.B. mich). Die ISO 27001 native können diverse DAkkS zertifizierte Unternehmen des freien Marktes durchführen. Du bezahlst diese und bekommst von denen einen Auditor hingesetzt. Je nach Zertifzierer ist die Zertifzierung einfach (gekauft) oder schwierig (weil korrekt durchgeführt).

 

Die Vorbereitung kannst Du sicherlich alleine durchziehen, ich würde Dir aber für ein Coaching durch einen erfahrenen Berater raten. Das ISMS aus dem Hut zu zaubern hat nun mal was mit Magie Erfahrung zu tun.

 

Beantwortet das Deine Fragen?

 

Ciao

Pitti (ISO 27001 auf Basis IT-Grundschutz Auditor und IS-Revisor und Kritis §8 Prüfer und und und [Angebermodus aus])

bearbeitet von Pitti259

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du solltest Dich fragen, ob Du  ausreichend  Kapazitäten hast, um  für Alles und Jedes Konzepte zu schreiben.

Damit ist eine  Person sehr gut ausgelastet. Tatsächlich wollen solche Prüfer zu  95% diese Konzepte lesen um sie mit einer weitern Papierflut zu ergänzen.

 

Wenn dann ein echter Hacker kommt, hat man passende  Wurf-Instrumente (die Aktenordner) ;)

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×