ISO 27001 Fragen
Hi zusammen,
Wir haben es vor, uns mit ISO27001 zertifizieren. Hat jemand Erfahrung damit, was es für die technische Umsetzung angeht?
Wir sind ein Unternehmen mit 80-100 Mitarbeitern, haben Cloud und Lokale Serverlandschaft und wir entwickeln für Medizinbranche. Was denkt ihr, wie lange so eine Zertifizierung dauern könnte?
Die erste technische Aufgabe bezüglich der ISO Zertifizierung wäre eine Rechteverwaltungssystem (Zugang und Zugriff).
Eine Beschreibung ist hier -> https://27001.blog/iso-27001-zugangssteuerung
Ich würde gerne mit Tenfod die Aufgabe lösen.
Kennt ihr eventuell andere Tools für Rechteverwaltung, oder Erfahrung mit Tenfold?
LG Attila
Wir haben es vor, uns mit ISO27001 zertifizieren. Hat jemand Erfahrung damit, was es für die technische Umsetzung angeht?
Wir sind ein Unternehmen mit 80-100 Mitarbeitern, haben Cloud und Lokale Serverlandschaft und wir entwickeln für Medizinbranche. Was denkt ihr, wie lange so eine Zertifizierung dauern könnte?
Die erste technische Aufgabe bezüglich der ISO Zertifizierung wäre eine Rechteverwaltungssystem (Zugang und Zugriff).
Eine Beschreibung ist hier -> https://27001.blog/iso-27001-zugangssteuerung
Ich würde gerne mit Tenfod die Aufgabe lösen.
Kennt ihr eventuell andere Tools für Rechteverwaltung, oder Erfahrung mit Tenfold?
LG Attila
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2472342846
Url: https://administrator.de/contentid/2472342846
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Hi
Rechteverwaltung ist nur ein kleines Thema der ISO27001, schaue dir die SoA an, die dort enthaltenenen Controlls werden abgefragt, dass sind alles Punkte aus Anhang:A der ISO27001.
Wenn Ihr noch keine andere Zertifizierung wie z.B. die ISO9001 habt, musst du auch Kapitel 4-8 beachten und passende Dokumente, Verfahrensanweisung, Prozessbeschreibungen usw. vorhalten.
Hier findest du eine Übersicht der wichtigsten Dokumente die man haben sollte:
https://koenig-consult-gmbh.de/musterdokumente-2
https://advisera.com/27001academy/de/knowledgebase/liste-obligatorisch-e ...
Advisera bietet auch Pakete mit Vorlagen die recht hilfreich sind, kosten aber auch ein paar €€€, haben uns aber geholfen das Grundsystem der Dokumente zur ISO27001 zu erstellen.
Gruß
@clSchak
Edit:
Ergänzent zu dem Kommentar von @ukulele-7: Was viel Zeit frisst: BCM und Risikomanagement und mit 20 Consulting-Tagen kann man hinkommen, wenn man vieles selbst macht, die angesetzten 120 Tage sind realistisch, wenn man da selbst viel Zeit investiert, vor allem wenn man keine anderen zertifizierten Normen hat.
Edit 2:
Die größte Herausforderung ist das Changemanagement der Abläufe / Prozesse im Unternehmen, ebenso das man die Mitarbeiter von dem Mehrwert überzeugt.
Rechteverwaltung ist nur ein kleines Thema der ISO27001, schaue dir die SoA an, die dort enthaltenenen Controlls werden abgefragt, dass sind alles Punkte aus Anhang:A der ISO27001.
Wenn Ihr noch keine andere Zertifizierung wie z.B. die ISO9001 habt, musst du auch Kapitel 4-8 beachten und passende Dokumente, Verfahrensanweisung, Prozessbeschreibungen usw. vorhalten.
Hier findest du eine Übersicht der wichtigsten Dokumente die man haben sollte:
https://koenig-consult-gmbh.de/musterdokumente-2
https://advisera.com/27001academy/de/knowledgebase/liste-obligatorisch-e ...
Advisera bietet auch Pakete mit Vorlagen die recht hilfreich sind, kosten aber auch ein paar €€€, haben uns aber geholfen das Grundsystem der Dokumente zur ISO27001 zu erstellen.
Gruß
@clSchak
Edit:
Ergänzent zu dem Kommentar von @ukulele-7: Was viel Zeit frisst: BCM und Risikomanagement und mit 20 Consulting-Tagen kann man hinkommen, wenn man vieles selbst macht, die angesetzten 120 Tage sind realistisch, wenn man da selbst viel Zeit investiert, vor allem wenn man keine anderen zertifizierten Normen hat.
Edit 2:
Die größte Herausforderung ist das Changemanagement der Abläufe / Prozesse im Unternehmen, ebenso das man die Mitarbeiter von dem Mehrwert überzeugt.
Die Umsetzung der ISO 27001 ist für mich ein Grund das Unternehmen zu verlassen, außer ihr stellt dafür extra Personal bereit. Ein Kunde hat die Anforderung gestellt und wir haben gut 1 -2 Jahre gebraucht um das Siegel zu erhalten.
Ich arbeitete in einer Firma für Softwareentwicklung (ca. 150 Mitarbeiter) und wir waren 4 vollwertige ITler + Azubis.
Ich arbeitete in einer Firma für Softwareentwicklung (ca. 150 Mitarbeiter) und wir waren 4 vollwertige ITler + Azubis.
Das Unternehmen zu verlassen weil es eine Zertifizierung anstrebt? Naja, ist jedem selbst überlassen.
Wenn man ein ISO27001 Projekt der IT-Abteilung vor die Füße wirft, sollte man es sich ohnehin noch mal überlegen die Norm einzuführen, die IT hat sicherlich viele Berührungspunkte ist aber nicht ausschließlich dafür verantwortlich (Dokumentenlenkung, BCM, Risikomanagement, Lieferantenauswahl, Personal usw usw. sind alles keine IT Themen). Und schon mal gar nicht Hauptverantwortlich für die Einführung, dafür sollten schon dedizierte Personen verantwortlich sein, die nicht in der IT arbeiten (aber gutes IT Verständniss haben ).
Die größte Herausforderung ist die gesamte Organisation, die muss das mitziehen, egal bei welcher Norm, wenn das nicht passiert, ist das ganze Thema lediglich ein Geldgrab und spätestens bei einem Kunden- oder Lieferantenbezogenes Audit fällt es auf (die lassen sich im Regelfall mehr Zeit wie eine Zertifizierungsstelle und bohren z.T. deutlich tiefer).
Wenn man ein ISO27001 Projekt der IT-Abteilung vor die Füße wirft, sollte man es sich ohnehin noch mal überlegen die Norm einzuführen, die IT hat sicherlich viele Berührungspunkte ist aber nicht ausschließlich dafür verantwortlich (Dokumentenlenkung, BCM, Risikomanagement, Lieferantenauswahl, Personal usw usw. sind alles keine IT Themen). Und schon mal gar nicht Hauptverantwortlich für die Einführung, dafür sollten schon dedizierte Personen verantwortlich sein, die nicht in der IT arbeiten (aber gutes IT Verständniss haben ).
Die größte Herausforderung ist die gesamte Organisation, die muss das mitziehen, egal bei welcher Norm, wenn das nicht passiert, ist das ganze Thema lediglich ein Geldgrab und spätestens bei einem Kunden- oder Lieferantenbezogenes Audit fällt es auf (die lassen sich im Regelfall mehr Zeit wie eine Zertifizierungsstelle und bohren z.T. deutlich tiefer).
Tendenziell würde ich ggf. eher eine BSI Grundschutz Zertifizierung ins Auge fassen, das ist vom Umfang her ähnlich, aber durch einen Vorgabenkatalog den man abarbeiten kann, einfacher umzusetzen - vor allem wenn man noch keinerlei andere Zertifizierungen hat.
Bei Bedarf später eine ISO27001 Zertifizierung nachzuziehen ist dann auch deutlich einfacher.
Hier mal ein einfacher Vergleich BSI Grundschutz & ISO27001:
https://www.activemind.de/magazin/iso-27001-bsi-grundschutz/
Bei Bedarf später eine ISO27001 Zertifizierung nachzuziehen ist dann auch deutlich einfacher.
Hier mal ein einfacher Vergleich BSI Grundschutz & ISO27001:
https://www.activemind.de/magazin/iso-27001-bsi-grundschutz/
Hi,
ISO 27001 stellt keine konkreten technischen Anforderungen, die ergeben sich vielmehr aus eurem Regelwerk.
Insofern lässt die Frage zwei Interpretationen zu: Die Informationssicherheitsorganisation ist in fremden Händen - dann bist du in einer recht entspannten Situation und solltest auf die Indentifikation konkreter Lücken warten, um entsprechende Maßnahmen abzuleiten.
Oder du sollst als "IT" die ISO 27001 umsetzen und suchst jetzt nach technischen Stellschrauben, Tools etc., um alles mit den Idealbildern, die du zu den Controls im Kopf hast, in Einklang zu bringen - dann bist du in einer schlimmen Situation und auf dem Holzweg, d.h. ihr müsst euch beraten lassen.
Grüße
Richard
ISO 27001 stellt keine konkreten technischen Anforderungen, die ergeben sich vielmehr aus eurem Regelwerk.
Insofern lässt die Frage zwei Interpretationen zu: Die Informationssicherheitsorganisation ist in fremden Händen - dann bist du in einer recht entspannten Situation und solltest auf die Indentifikation konkreter Lücken warten, um entsprechende Maßnahmen abzuleiten.
Oder du sollst als "IT" die ISO 27001 umsetzen und suchst jetzt nach technischen Stellschrauben, Tools etc., um alles mit den Idealbildern, die du zu den Controls im Kopf hast, in Einklang zu bringen - dann bist du in einer schlimmen Situation und auf dem Holzweg, d.h. ihr müsst euch beraten lassen.
Grüße
Richard
Die Arbeitszeit die aufgerufen wird entspricht jedenfalls einer halben Stelle wenn man das in einem Jahr durch ziehen will. Wenn also eine Person, die natürlich mit allen internen Vorgängen maximal gut vertraut ist, ein halbes Jahr nur an der Zertifizierung arbeitet dann muss die eigentliche Arbeit von wem anders übernommen werden, und der muss auch eingearbeitet werden.
Der Geschäftsführung muss einfach der interne Kostenblock klar sein, der durch die Zertifizierung entsteht. Das kann man nicht nebenbei machen und da kann man auch eine eigene Stelle mit auslasten.
Der Geschäftsführung muss einfach der interne Kostenblock klar sein, der durch die Zertifizierung entsteht. Das kann man nicht nebenbei machen und da kann man auch eine eigene Stelle mit auslasten.
Zitat von @ukulele-7:
Die Arbeitszeit die aufgerufen wird entspricht jedenfalls einer halben Stelle wenn man das in einem Jahr durch ziehen will.
Die Arbeitszeit die aufgerufen wird entspricht jedenfalls einer halben Stelle wenn man das in einem Jahr durch ziehen will.
Die ist zur Wartung und Kommunikation des ISMS meist dauerhaft erforderlich, denn der Markt weiß um den weiten Rahmen der Norm. Das Zertifikat reduziert daher die Last durch Lieferantenbewertungen nicht nennenswert.
Wer die ISO 27001 und darauf aufbauend das Informationssicherheitsmanagement bei der IT ansiedelt, ist zum Scheitern veruteilt. Das ISMS basiert darauf, dass die Fachverantwortlichen der Geschäftsprozesse ihre Risiken identifizierne und anhand der Normvorgaben ihre Anforderungen an die IT formulieren können und müssen. Für die IT heißt es "nur", die richtigen Maßnahmen zu ergreifen um die Anforderungen der Fachverantwortlichen so umzusetzen, dass die Restrisiken von Seiten der Fachverantwortlichen akzeptiert werden können.
Bei den Aufwänden stimme ich clSchak zu, wobei nach oben natürlich alles offen ist. Stellt sich z.B. heraus, dass die Netzstruktur umgeschmissen werden muss, Aufteilung in VLANs etc., dann ist man schnell bei doppeltem Aufwand. Benötigt man vielleicht bauliche Maßnahmen weil das RZ in der Besenkammer nicht den Normvorgaben entspricht? Die Maschinensteuerung aus den 80ern auf den DOS-Rechnern lässt die notwendigen Sicherheitsmaßnahmen nicht mehr zu? Wie will man diese Aufwände im voraus kalkulieren?
Bei den Aufwänden stimme ich clSchak zu, wobei nach oben natürlich alles offen ist. Stellt sich z.B. heraus, dass die Netzstruktur umgeschmissen werden muss, Aufteilung in VLANs etc., dann ist man schnell bei doppeltem Aufwand. Benötigt man vielleicht bauliche Maßnahmen weil das RZ in der Besenkammer nicht den Normvorgaben entspricht? Die Maschinensteuerung aus den 80ern auf den DOS-Rechnern lässt die notwendigen Sicherheitsmaßnahmen nicht mehr zu? Wie will man diese Aufwände im voraus kalkulieren?
Bei den geschätzten Aufwendungen geht es nur um Erstellung Dokumentation etc., also Arbeiten in direktem Zusammenhang mit der Zertifizierung. Nicht um mögliche Veränderungen in den Prozessen oder in der Technik, das kann man nicht so allgemein schätzen, das hat sich auch der Dienstleister, der uns das angeboten hat, überhaupt nicht vorher angeguckt.