Fertiges ISMS gesucht
Hallo,
ein Kunde versucht sich gerade an seinem ISMS.
Nun hat er mich gefragt, ich entwickele Software als externer für die, ob ich nicht einen Mittelständler kenne dessen ISMS er mal als Orientierung nutzen kann. Er hat zwar eine ISMS-Vorlage, aber es gibt zu viele leere Stellen.
Kennt Jemand eine öffentliche ISMS mit einem Link oder darf eine zur Verfügung stellen?
Danke
ein Kunde versucht sich gerade an seinem ISMS.
Nun hat er mich gefragt, ich entwickele Software als externer für die, ob ich nicht einen Mittelständler kenne dessen ISMS er mal als Orientierung nutzen kann. Er hat zwar eine ISMS-Vorlage, aber es gibt zu viele leere Stellen.
Kennt Jemand eine öffentliche ISMS mit einem Link oder darf eine zur Verfügung stellen?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7189057476
Url: https://administrator.de/contentid/7189057476
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
hier gibt es wohl was fertiges
https://verinice.com/produkte
Sind die "Macher" von Samba
natürlich opensource, aber muss dann wohl selbst kompiliert werden
https://github.com/SerNet/verinice
Hoffe das hilft weiter
Viele Grüße
hier gibt es wohl was fertiges
https://verinice.com/produkte
Sind die "Macher" von Samba
natürlich opensource, aber muss dann wohl selbst kompiliert werden
https://github.com/SerNet/verinice
Hoffe das hilft weiter
Viele Grüße
Hi
es gibt kein fertiges ISMS (ich gehe jetzt mal von der ISO27001 aus, es sei denn es ist was anderes mit ISMS gemeint). Das ISMS wird ja passend auf die eigene Organisation erstellt, angepasst und angewandt, dass kann man nicht einfach irgendwo herunterladen und fertig, das muss schon passend zur eigenen Firma erstellt werden, ansonsten wird das auch nichts mit dem Audit.
Oder meinst du evtl. den Fragenkatalog zum BSI Grundschutz? Den kann man "einfach" abarbeiten und abhaken, wobei selbst die neuste "Fassung" z.T. auf sehr alte Technik verweist & besteht.
Wenn sich dein Kunde dazu Gedanken macht, hat er wahrscheinlich bereits eine ISO9001 & 14001 Zertifizierung, darauf kann man dann aufbauen, ansonmsten wird das schon ein größerer Aufwand, da die Basis-Normkapitel schon einiges an Arbeit erfordern (so lustige Dinge wie Dokumentenlenkung, sind nur ein kleiner Teil)
Vorlagen (und dafür passende Anbieter) gibt es einige, die meisten sind aber noch auf der alten Version 2015/2013 und nicht in der neuen Fassung 2022 vorhanden, da gibt es schon deutliche Änderungen, alleine in den Kapitelüberschriften hat sich einiges getan.
Gruß
@clSchak
es gibt kein fertiges ISMS (ich gehe jetzt mal von der ISO27001 aus, es sei denn es ist was anderes mit ISMS gemeint). Das ISMS wird ja passend auf die eigene Organisation erstellt, angepasst und angewandt, dass kann man nicht einfach irgendwo herunterladen und fertig, das muss schon passend zur eigenen Firma erstellt werden, ansonsten wird das auch nichts mit dem Audit.
Oder meinst du evtl. den Fragenkatalog zum BSI Grundschutz? Den kann man "einfach" abarbeiten und abhaken, wobei selbst die neuste "Fassung" z.T. auf sehr alte Technik verweist & besteht.
Wenn sich dein Kunde dazu Gedanken macht, hat er wahrscheinlich bereits eine ISO9001 & 14001 Zertifizierung, darauf kann man dann aufbauen, ansonmsten wird das schon ein größerer Aufwand, da die Basis-Normkapitel schon einiges an Arbeit erfordern (so lustige Dinge wie Dokumentenlenkung, sind nur ein kleiner Teil)
Vorlagen (und dafür passende Anbieter) gibt es einige, die meisten sind aber noch auf der alten Version 2015/2013 und nicht in der neuen Fassung 2022 vorhanden, da gibt es schon deutliche Änderungen, alleine in den Kapitelüberschriften hat sich einiges getan.
Gruß
@clSchak
Servus,
hier liegt aus meiner Sicht ein falsches Verständnis von ISMS vor.
ISMS ist ein Management System (Steckt im Namen) und ist prinzipiell erst mal nur als eine "Sammlung" von Prozessen und Regeln zu verstehen.
Die wirkliche Arbeit hinter einer ISMS Einführung liegt in der Definition der Prozesse / Verfahren, also klassische Paperwork, wenn man so will.
Diese Prozesse sind natürlich stark abhängig vom Geschäftsmodell und den bestehenden Arbeitsweisen des jeweiligen Unternehmen. Somit ergibt sich, dass die ISMS-Software selbst nicht "ISMS macht", sondern nur die zuvor definierten Prozesse etc. digital verpackt.
Es gibt also keine fertige "ISMS Software" die man einfach kaufen kann, und dann sagen kann "Ich mach jetzt mal ISMS"
Eine Reihe von Freelancern verkaufen dir theoretisch auch fertige Dokumententemplates für so ziemlich jede ISO-Zertifizierung, aus eigener Erfahrung kann ich dir sagen: Sehr teuer & Du musst trotzdem noch Mordsarbeit reinstecken, vorallem bei ISO27001.
Ich würde deinem Kunden empfehlen, einen Berater für die Einführung von ISMS sich ins Boot zu holen. Du könntest dann mit dessen Output die passende Software entwicklen und auch dein Geld dabei verdienen
hier liegt aus meiner Sicht ein falsches Verständnis von ISMS vor.
ISMS ist ein Management System (Steckt im Namen) und ist prinzipiell erst mal nur als eine "Sammlung" von Prozessen und Regeln zu verstehen.
Die wirkliche Arbeit hinter einer ISMS Einführung liegt in der Definition der Prozesse / Verfahren, also klassische Paperwork, wenn man so will.
Diese Prozesse sind natürlich stark abhängig vom Geschäftsmodell und den bestehenden Arbeitsweisen des jeweiligen Unternehmen. Somit ergibt sich, dass die ISMS-Software selbst nicht "ISMS macht", sondern nur die zuvor definierten Prozesse etc. digital verpackt.
Es gibt also keine fertige "ISMS Software" die man einfach kaufen kann, und dann sagen kann "Ich mach jetzt mal ISMS"
Eine Reihe von Freelancern verkaufen dir theoretisch auch fertige Dokumententemplates für so ziemlich jede ISO-Zertifizierung, aus eigener Erfahrung kann ich dir sagen: Sehr teuer & Du musst trotzdem noch Mordsarbeit reinstecken, vorallem bei ISO27001.
Ich würde deinem Kunden empfehlen, einen Berater für die Einführung von ISMS sich ins Boot zu holen. Du könntest dann mit dessen Output die passende Software entwicklen und auch dein Geld dabei verdienen
Hallo,
wie bereits gesagt ist ein ISMS ein Management Framework, keine Software. Ich bin selbst Informationssicherheitsbeauftragter und entwickle das ISMS für meinen Arbeitgeber.
Zur Verfügung stellen kann ich das ISMS natürlich nicht, aber ich kann gerne dir gerne per PM ein paar Tipps und Hinweise geben.
Es ist fatal, sich einfach so an ein ISMS zu setzen und blind darauf los zu arbeiten, da es ggf. später regulatorisch relevant werden kann.
Dein Kunde sollte sich zuerst darüber informieren, was er da eigentlich vor sich hat. Daran scheitern schon viele kleine Firmen.
Erster Tipp: Man muss nicht alle Controls aus der Norm abdecken, sondern kann -begründet und dokumentiert- Punkte ausschließen. Das Ganze findet im SoA statt, Statement of Applicability oder auch Anwendbarkeitserklärung.
wie bereits gesagt ist ein ISMS ein Management Framework, keine Software. Ich bin selbst Informationssicherheitsbeauftragter und entwickle das ISMS für meinen Arbeitgeber.
Zur Verfügung stellen kann ich das ISMS natürlich nicht, aber ich kann gerne dir gerne per PM ein paar Tipps und Hinweise geben.
Es ist fatal, sich einfach so an ein ISMS zu setzen und blind darauf los zu arbeiten, da es ggf. später regulatorisch relevant werden kann.
Dein Kunde sollte sich zuerst darüber informieren, was er da eigentlich vor sich hat. Daran scheitern schon viele kleine Firmen.
Erster Tipp: Man muss nicht alle Controls aus der Norm abdecken, sondern kann -begründet und dokumentiert- Punkte ausschließen. Das Ganze findet im SoA statt, Statement of Applicability oder auch Anwendbarkeitserklärung.