viragomann
Goto Top

IT Revision durch Kunden oder ext. Fa. in dessen Auftrag

Hallo!

Hat jemand mit sowas Erfahrung.

Hintergrund:
Unsere Firma (eine Hand voll Entwickler, ein Projektmanager, ein Admin und der Inhaber) entwickelt Webapplikationen in erster Linie für Liegenschaftsverwaltung (FM). Unsere Kunden sind zumeist große Immobilien-Inhaber wie Bankhäuser und Versicherungen.
Die Webapplikation hosten wir bei uns im Haus in einem eigenen kleinen Rechenzentrum.

Kunden wie oben genannte zeigen immer wieder Interesse an unserer IT Infrastruktur bzw. an deren Sicherheit, welches wir nach Möglichkeit mit theoretischen Mitteln befriedigen.
Einem unserer großen Kunden reicht das nun nicht und hat bei unserer Geschäftsführung für nächste Woche eine IT Revision durch deren eigene Leute durchgesetzt.

Die Frage, die ich mir nun stelle: Was muss oder sollte ich denen zeigen?

Klar ist mir, dass sie Dokus erhalten möchten:
Netzwerk-Doku
Sicherheits-Doku (Firewall, Virenscanner, Zugriffsrechte)
Sicherungs- und Wiederherstellungs-Doku

Nicht preisgeben möchte ich Konfigurations-Dateien oder Konfigurations-GUIs von Webservern, Firewalls , etc.
Aber was ist mit IP-Adressen intern wie extern, Servernamen o.ä. Ja, externe IPs können sie auch selbst rausfinden, aber interne? Servernamen sind Teil der Doku. Sollen die rausgenommen werden. Die zugehörigen IPs würde ja das DNS verraten, wenn man erst im internen Netz ist.
Sollen die auch den Serverraum betreten dürfen oder gar Zugang zum Netzwerk erhalten?

Ein Revisionsprotokoll oder ein Schriftstück, das den Ablauf und was genau angesehen werden soll erkennen lässt, wir noch nachgefordert.

Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen soll und was nicht?

Grüße

Content-ID: 227293

Url: https://administrator.de/forum/it-revision-durch-kunden-oder-ext-fa-in-dessen-auftrag-227293.html

Ausgedruckt am: 26.12.2024 um 17:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 22.01.2014 aktualisiert um 17:23:44 Uhr
Goto Top
Zitat von @viragomann:

Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen
soll und was nicht?

Ich selber habe so etwas noch nicht erlebt, aber ich würde einfach vorher bei denen anfragen, was sie sehen wollen und das Vereinbarte schriftlich fixieren. Dann kannst Du Dich vorbereiten und auch ggf. Einspruch erheben und bergründen, warum sie das nicht sehen dürfen. Du kannst Sie ja im Gegenzug ja auch mal fragen ob Sie Dir ihres zeigen, wenn Du ihnen Deins zeigst. face-smile

Ansonsten soltle man imerm wissen, wie wichtig ein Kunde ist, um beurteilen zu können, wie groß die Kröten sein dürfen, die man für ihn schlucken muß.

lks

Edit: Typo & Style.
Dirmhirn
Dirmhirn 22.01.2014 um 17:49:53 Uhr
Goto Top
Hi!

von Audits bei Produktionsfirmen - kenne ich nur, dass du denen möglichst viiiel Papier verlegen musst. Dann schauen sie bissl was an und gut ists.
Wenn du nur ein paar Zetteln hast und sonst alles eher wackelig daher kommt, bzw du das dann erst zusammensuchst oder auswendig weißt.. macht das einen schlechten Eindruck.

(Wobei, da das Unternehmen das Audit angefragt hat, haben die vll auch Interesse daran und du solltest nicht nur paar tausend Seiten Logs ausdrucken face-wink

sg Dirm
viragomann
viragomann 23.01.2014 um 11:43:13 Uhr
Goto Top
Danke für eure Einschätzung.

Ein Revisionsprotokoll haben wir bereits vorgestern noch angefragt. Bislang kam keine Antwort.
Mal sehen, was das wird. Ich werde nach Möglichkeit alle Unterlagen bereit halten. Aber da stehen auch Dinge drinnen, die ich einer Fremdfirma nicht zeigen will.

Grüße