edvman27
Goto Top

Fertiges ISMS gesucht

Hallo,

ein Kunde versucht sich gerade an seinem ISMS.
Nun hat er mich gefragt, ich entwickele Software als externer für die, ob ich nicht einen Mittelständler kenne dessen ISMS er mal als Orientierung nutzen kann. Er hat zwar eine ISMS-Vorlage, aber es gibt zu viele leere Stellen.

Kennt Jemand eine öffentliche ISMS mit einem Link oder darf eine zur Verfügung stellen?

Danke

Content-ID: 7189057476

Url: https://administrator.de/forum/fertiges-isms-gesucht-7189057476.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

dodo30
Lösung dodo30 17.05.2023 um 15:39:50 Uhr
Goto Top
Hallo,

hier gibt es wohl was fertiges

https://verinice.com/produkte

Sind die "Macher" von Samba
natürlich opensource, aber muss dann wohl selbst kompiliert werden

https://github.com/SerNet/verinice

Hoffe das hilft weiter

Viele Grüße
clSchak
Lösung clSchak 17.05.2023 um 16:52:58 Uhr
Goto Top
Hi

es gibt kein fertiges ISMS (ich gehe jetzt mal von der ISO27001 aus, es sei denn es ist was anderes mit ISMS gemeint). Das ISMS wird ja passend auf die eigene Organisation erstellt, angepasst und angewandt, dass kann man nicht einfach irgendwo herunterladen und fertig, das muss schon passend zur eigenen Firma erstellt werden, ansonsten wird das auch nichts mit dem Audit.

Oder meinst du evtl. den Fragenkatalog zum BSI Grundschutz? Den kann man "einfach" abarbeiten und abhaken, wobei selbst die neuste "Fassung" z.T. auf sehr alte Technik verweist & besteht.

Wenn sich dein Kunde dazu Gedanken macht, hat er wahrscheinlich bereits eine ISO9001 & 14001 Zertifizierung, darauf kann man dann aufbauen, ansonmsten wird das schon ein größerer Aufwand, da die Basis-Normkapitel schon einiges an Arbeit erfordern (so lustige Dinge wie Dokumentenlenkung, sind nur ein kleiner Teil)

Vorlagen (und dafür passende Anbieter) gibt es einige, die meisten sind aber noch auf der alten Version 2015/2013 und nicht in der neuen Fassung 2022 vorhanden, da gibt es schon deutliche Änderungen, alleine in den Kapitelüberschriften hat sich einiges getan.

Gruß
@clSchak
Cloudrakete
Lösung Cloudrakete 18.05.2023 um 11:39:17 Uhr
Goto Top
Servus,

hier liegt aus meiner Sicht ein falsches Verständnis von ISMS vor.
ISMS ist ein Management System (Steckt im Namen) und ist prinzipiell erst mal nur als eine "Sammlung" von Prozessen und Regeln zu verstehen.

Die wirkliche Arbeit hinter einer ISMS Einführung liegt in der Definition der Prozesse / Verfahren, also klassische Paperwork, wenn man so will.
Diese Prozesse sind natürlich stark abhängig vom Geschäftsmodell und den bestehenden Arbeitsweisen des jeweiligen Unternehmen. Somit ergibt sich, dass die ISMS-Software selbst nicht "ISMS macht", sondern nur die zuvor definierten Prozesse etc. digital verpackt.

Es gibt also keine fertige "ISMS Software" die man einfach kaufen kann, und dann sagen kann "Ich mach jetzt mal ISMS"
Eine Reihe von Freelancern verkaufen dir theoretisch auch fertige Dokumententemplates für so ziemlich jede ISO-Zertifizierung, aus eigener Erfahrung kann ich dir sagen: Sehr teuer & Du musst trotzdem noch Mordsarbeit reinstecken, vorallem bei ISO27001.

Ich würde deinem Kunden empfehlen, einen Berater für die Einführung von ISMS sich ins Boot zu holen. Du könntest dann mit dessen Output die passende Software entwicklen und auch dein Geld dabei verdienen face-smile
FacilityManager
Lösung FacilityManager 18.05.2023 um 12:17:52 Uhr
Goto Top
Hallo,

wie bereits gesagt ist ein ISMS ein Management Framework, keine Software. Ich bin selbst Informationssicherheitsbeauftragter und entwickle das ISMS für meinen Arbeitgeber.

Zur Verfügung stellen kann ich das ISMS natürlich nicht, aber ich kann gerne dir gerne per PM ein paar Tipps und Hinweise geben.

Es ist fatal, sich einfach so an ein ISMS zu setzen und blind darauf los zu arbeiten, da es ggf. später regulatorisch relevant werden kann.

Dein Kunde sollte sich zuerst darüber informieren, was er da eigentlich vor sich hat. Daran scheitern schon viele kleine Firmen.

Erster Tipp: Man muss nicht alle Controls aus der Norm abdecken, sondern kann -begründet und dokumentiert- Punkte ausschließen. Das Ganze findet im SoA statt, Statement of Applicability oder auch Anwendbarkeitserklärung.