attila1
Goto Top

ISO 27001 Fragen

Hi zusammen,

Wir haben es vor, uns mit ISO27001 zertifizieren. Hat jemand Erfahrung damit, was es für die technische Umsetzung angeht?
Wir sind ein Unternehmen mit 80-100 Mitarbeitern, haben Cloud und Lokale Serverlandschaft und wir entwickeln für Medizinbranche. Was denkt ihr, wie lange so eine Zertifizierung dauern könnte?

Die erste technische Aufgabe bezüglich der ISO Zertifizierung wäre eine Rechteverwaltungssystem (Zugang und Zugriff).
Eine Beschreibung ist hier -> https://27001.blog/iso-27001-zugangssteuerung
Ich würde gerne mit Tenfod die Aufgabe lösen.

Kennt ihr eventuell andere Tools für Rechteverwaltung, oder Erfahrung mit Tenfold?

LG Attila

Content-ID: 2472342846

Url: https://administrator.de/contentid/2472342846

Printed on: December 6, 2024 at 18:12 o'clock

ukulele-7
ukulele-7 Apr 11, 2022 updated at 10:00:11 (UTC)
Goto Top
Wir haben uns da mal beraten lassen. Zur Diskussion standen meine ich 20 Consulting Tage a 8h (verteilt auf ein Jahr, begleitend) und intern 100 bis 120 Tage a 8h für die Arbeit. Wir haben es dann nicht gemacht weil völliger Overkill für uns.
clSchak
clSchak Apr 11, 2022 updated at 10:09:33 (UTC)
Goto Top
Hi

Rechteverwaltung ist nur ein kleines Thema der ISO27001, schaue dir die SoA an, die dort enthaltenenen Controlls werden abgefragt, dass sind alles Punkte aus Anhang:A der ISO27001.

Wenn Ihr noch keine andere Zertifizierung wie z.B. die ISO9001 habt, musst du auch Kapitel 4-8 beachten und passende Dokumente, Verfahrensanweisung, Prozessbeschreibungen usw. vorhalten.

Hier findest du eine Übersicht der wichtigsten Dokumente die man haben sollte:
https://koenig-consult-gmbh.de/musterdokumente-2
https://advisera.com/27001academy/de/knowledgebase/liste-obligatorisch-e ...

Advisera bietet auch Pakete mit Vorlagen die recht hilfreich sind, kosten aber auch ein paar €€€, haben uns aber geholfen das Grundsystem der Dokumente zur ISO27001 zu erstellen.

Gruß
@clSchak

Edit:
Ergänzent zu dem Kommentar von @ukulele-7: Was viel Zeit frisst: BCM und Risikomanagement und mit 20 Consulting-Tagen kann man hinkommen, wenn man vieles selbst macht, die angesetzten 120 Tage sind realistisch, wenn man da selbst viel Zeit investiert, vor allem wenn man keine anderen zertifizierten Normen hat.

Edit 2:
Die größte Herausforderung ist das Changemanagement der Abläufe / Prozesse im Unternehmen, ebenso das man die Mitarbeiter von dem Mehrwert überzeugt.
ukulele-7
ukulele-7 Apr 11, 2022 at 11:23:45 (UTC)
Goto Top
Ergänzend muss ich sagen das wir schon ISO 9001 haben. ISO 9001 bezieht sich aber auf unser Kerngeschäft, ISO 27001 wäre nur für die IT gewesen mit deren wir unser Kerngeschäft abwickeln aber mit der wir keine eigenen Dienstleistungen erbringen.
CC3P0O0
CC3P0O0 Apr 11, 2022 at 13:15:42 (UTC)
Goto Top
Die Umsetzung der ISO 27001 ist für mich ein Grund das Unternehmen zu verlassen, außer ihr stellt dafür extra Personal bereit. Ein Kunde hat die Anforderung gestellt und wir haben gut 1 -2 Jahre gebraucht um das Siegel zu erhalten.
Ich arbeitete in einer Firma für Softwareentwicklung (ca. 150 Mitarbeiter) und wir waren 4 vollwertige ITler + Azubis.
clSchak
clSchak Apr 11, 2022 at 14:49:29 (UTC)
Goto Top
Das Unternehmen zu verlassen weil es eine Zertifizierung anstrebt? Naja, ist jedem selbst überlassen.

Wenn man ein ISO27001 Projekt der IT-Abteilung vor die Füße wirft, sollte man es sich ohnehin noch mal überlegen die Norm einzuführen, die IT hat sicherlich viele Berührungspunkte ist aber nicht ausschließlich dafür verantwortlich (Dokumentenlenkung, BCM, Risikomanagement, Lieferantenauswahl, Personal usw usw. sind alles keine IT Themen). Und schon mal gar nicht Hauptverantwortlich für die Einführung, dafür sollten schon dedizierte Personen verantwortlich sein, die nicht in der IT arbeiten (aber gutes IT Verständniss haben face-wink ).

Die größte Herausforderung ist die gesamte Organisation, die muss das mitziehen, egal bei welcher Norm, wenn das nicht passiert, ist das ganze Thema lediglich ein Geldgrab und spätestens bei einem Kunden- oder Lieferantenbezogenes Audit fällt es auf (die lassen sich im Regelfall mehr Zeit wie eine Zertifizierungsstelle und bohren z.T. deutlich tiefer).
clSchak
clSchak Apr 11, 2022 at 15:04:49 (UTC)
Goto Top
Tendenziell würde ich ggf. eher eine BSI Grundschutz Zertifizierung ins Auge fassen, das ist vom Umfang her ähnlich, aber durch einen Vorgabenkatalog den man abarbeiten kann, einfacher umzusetzen - vor allem wenn man noch keinerlei andere Zertifizierungen hat.

Bei Bedarf später eine ISO27001 Zertifizierung nachzuziehen ist dann auch deutlich einfacher.

Hier mal ein einfacher Vergleich BSI Grundschutz & ISO27001:
https://www.activemind.de/magazin/iso-27001-bsi-grundschutz/
C.R.S.
C.R.S. Apr 11, 2022 at 22:17:39 (UTC)
Goto Top
Hi,

ISO 27001 stellt keine konkreten technischen Anforderungen, die ergeben sich vielmehr aus eurem Regelwerk.

Insofern lässt die Frage zwei Interpretationen zu: Die Informationssicherheitsorganisation ist in fremden Händen - dann bist du in einer recht entspannten Situation und solltest auf die Indentifikation konkreter Lücken warten, um entsprechende Maßnahmen abzuleiten.
Oder du sollst als "IT" die ISO 27001 umsetzen und suchst jetzt nach technischen Stellschrauben, Tools etc., um alles mit den Idealbildern, die du zu den Controls im Kopf hast, in Einklang zu bringen - dann bist du in einer schlimmen Situation und auf dem Holzweg, d.h. ihr müsst euch beraten lassen.

Grüße
Richard
ukulele-7
ukulele-7 Apr 12, 2022 at 06:48:10 (UTC)
Goto Top
Die Arbeitszeit die aufgerufen wird entspricht jedenfalls einer halben Stelle wenn man das in einem Jahr durch ziehen will. Wenn also eine Person, die natürlich mit allen internen Vorgängen maximal gut vertraut ist, ein halbes Jahr nur an der Zertifizierung arbeitet dann muss die eigentliche Arbeit von wem anders übernommen werden, und der muss auch eingearbeitet werden.

Der Geschäftsführung muss einfach der interne Kostenblock klar sein, der durch die Zertifizierung entsteht. Das kann man nicht nebenbei machen und da kann man auch eine eigene Stelle mit auslasten.
C.R.S.
C.R.S. Apr 12, 2022 at 09:42:12 (UTC)
Goto Top
Zitat von @ukulele-7:

Die Arbeitszeit die aufgerufen wird entspricht jedenfalls einer halben Stelle wenn man das in einem Jahr durch ziehen will.

Die ist zur Wartung und Kommunikation des ISMS meist dauerhaft erforderlich, denn der Markt weiß um den weiten Rahmen der Norm. Das Zertifikat reduziert daher die Last durch Lieferantenbewertungen nicht nennenswert.
Pitti259
Pitti259 Apr 16, 2022 at 13:37:15 (UTC)
Goto Top
Wer die ISO 27001 und darauf aufbauend das Informationssicherheitsmanagement bei der IT ansiedelt, ist zum Scheitern veruteilt. Das ISMS basiert darauf, dass die Fachverantwortlichen der Geschäftsprozesse ihre Risiken identifizierne und anhand der Normvorgaben ihre Anforderungen an die IT formulieren können und müssen. Für die IT heißt es "nur", die richtigen Maßnahmen zu ergreifen um die Anforderungen der Fachverantwortlichen so umzusetzen, dass die Restrisiken von Seiten der Fachverantwortlichen akzeptiert werden können.

Bei den Aufwänden stimme ich clSchak zu, wobei nach oben natürlich alles offen ist. Stellt sich z.B. heraus, dass die Netzstruktur umgeschmissen werden muss, Aufteilung in VLANs etc., dann ist man schnell bei doppeltem Aufwand. Benötigt man vielleicht bauliche Maßnahmen weil das RZ in der Besenkammer nicht den Normvorgaben entspricht? Die Maschinensteuerung aus den 80ern auf den DOS-Rechnern lässt die notwendigen Sicherheitsmaßnahmen nicht mehr zu? Wie will man diese Aufwände im voraus kalkulieren?
ukulele-7
ukulele-7 Apr 19, 2022 at 07:01:59 (UTC)
Goto Top
Bei den geschätzten Aufwendungen geht es nur um Erstellung Dokumentation etc., also Arbeiten in direktem Zusammenhang mit der Zertifizierung. Nicht um mögliche Veränderungen in den Prozessen oder in der Technik, das kann man nicht so allgemein schätzen, das hat sich auch der Dienstleister, der uns das angeboten hat, überhaupt nicht vorher angeguckt.
Attila1
Attila1 Apr 20, 2022 at 08:05:14 (UTC)
Goto Top
Danke für die viele ausführliche Informationen/Erfahrungen. Hat uns ein bisschen in der Diskussion intern weitergeholfen. Es kling mir wahnsinnig schwer so ein Zertifizierung durchzusetzten.