IT Revision durch Kunden oder ext. Fa. in dessen Auftrag
Hallo!
Hat jemand mit sowas Erfahrung.
Hintergrund:
Unsere Firma (eine Hand voll Entwickler, ein Projektmanager, ein Admin und der Inhaber) entwickelt Webapplikationen in erster Linie für Liegenschaftsverwaltung (FM). Unsere Kunden sind zumeist große Immobilien-Inhaber wie Bankhäuser und Versicherungen.
Die Webapplikation hosten wir bei uns im Haus in einem eigenen kleinen Rechenzentrum.
Kunden wie oben genannte zeigen immer wieder Interesse an unserer IT Infrastruktur bzw. an deren Sicherheit, welches wir nach Möglichkeit mit theoretischen Mitteln befriedigen.
Einem unserer großen Kunden reicht das nun nicht und hat bei unserer Geschäftsführung für nächste Woche eine IT Revision durch deren eigene Leute durchgesetzt.
Die Frage, die ich mir nun stelle: Was muss oder sollte ich denen zeigen?
Klar ist mir, dass sie Dokus erhalten möchten:
Netzwerk-Doku
Sicherheits-Doku (Firewall, Virenscanner, Zugriffsrechte)
Sicherungs- und Wiederherstellungs-Doku
Nicht preisgeben möchte ich Konfigurations-Dateien oder Konfigurations-GUIs von Webservern, Firewalls , etc.
Aber was ist mit IP-Adressen intern wie extern, Servernamen o.ä. Ja, externe IPs können sie auch selbst rausfinden, aber interne? Servernamen sind Teil der Doku. Sollen die rausgenommen werden. Die zugehörigen IPs würde ja das DNS verraten, wenn man erst im internen Netz ist.
Sollen die auch den Serverraum betreten dürfen oder gar Zugang zum Netzwerk erhalten?
Ein Revisionsprotokoll oder ein Schriftstück, das den Ablauf und was genau angesehen werden soll erkennen lässt, wir noch nachgefordert.
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen soll und was nicht?
Grüße
Hat jemand mit sowas Erfahrung.
Hintergrund:
Unsere Firma (eine Hand voll Entwickler, ein Projektmanager, ein Admin und der Inhaber) entwickelt Webapplikationen in erster Linie für Liegenschaftsverwaltung (FM). Unsere Kunden sind zumeist große Immobilien-Inhaber wie Bankhäuser und Versicherungen.
Die Webapplikation hosten wir bei uns im Haus in einem eigenen kleinen Rechenzentrum.
Kunden wie oben genannte zeigen immer wieder Interesse an unserer IT Infrastruktur bzw. an deren Sicherheit, welches wir nach Möglichkeit mit theoretischen Mitteln befriedigen.
Einem unserer großen Kunden reicht das nun nicht und hat bei unserer Geschäftsführung für nächste Woche eine IT Revision durch deren eigene Leute durchgesetzt.
Die Frage, die ich mir nun stelle: Was muss oder sollte ich denen zeigen?
Klar ist mir, dass sie Dokus erhalten möchten:
Netzwerk-Doku
Sicherheits-Doku (Firewall, Virenscanner, Zugriffsrechte)
Sicherungs- und Wiederherstellungs-Doku
Nicht preisgeben möchte ich Konfigurations-Dateien oder Konfigurations-GUIs von Webservern, Firewalls , etc.
Aber was ist mit IP-Adressen intern wie extern, Servernamen o.ä. Ja, externe IPs können sie auch selbst rausfinden, aber interne? Servernamen sind Teil der Doku. Sollen die rausgenommen werden. Die zugehörigen IPs würde ja das DNS verraten, wenn man erst im internen Netz ist.
Sollen die auch den Serverraum betreten dürfen oder gar Zugang zum Netzwerk erhalten?
Ein Revisionsprotokoll oder ein Schriftstück, das den Ablauf und was genau angesehen werden soll erkennen lässt, wir noch nachgefordert.
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen soll und was nicht?
Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 227293
Url: https://administrator.de/contentid/227293
Printed on: December 4, 2024 at 03:12 o'clock
3 Comments
Latest comment
Zitat von @viragomann:
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen
soll und was nicht?
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen
soll und was nicht?
Ich selber habe so etwas noch nicht erlebt, aber ich würde einfach vorher bei denen anfragen, was sie sehen wollen und das Vereinbarte schriftlich fixieren. Dann kannst Du Dich vorbereiten und auch ggf. Einspruch erheben und bergründen, warum sie das nicht sehen dürfen. Du kannst Sie ja im Gegenzug ja auch mal fragen ob Sie Dir ihres zeigen, wenn Du ihnen Deins zeigst.
Ansonsten soltle man imerm wissen, wie wichtig ein Kunde ist, um beurteilen zu können, wie groß die Kröten sein dürfen, die man für ihn schlucken muß.
lks
Edit: Typo & Style.
Hi!
von Audits bei Produktionsfirmen - kenne ich nur, dass du denen möglichst viiiel Papier verlegen musst. Dann schauen sie bissl was an und gut ists.
Wenn du nur ein paar Zetteln hast und sonst alles eher wackelig daher kommt, bzw du das dann erst zusammensuchst oder auswendig weißt.. macht das einen schlechten Eindruck.
(Wobei, da das Unternehmen das Audit angefragt hat, haben die vll auch Interesse daran und du solltest nicht nur paar tausend Seiten Logs ausdrucken
sg Dirm
von Audits bei Produktionsfirmen - kenne ich nur, dass du denen möglichst viiiel Papier verlegen musst. Dann schauen sie bissl was an und gut ists.
Wenn du nur ein paar Zetteln hast und sonst alles eher wackelig daher kommt, bzw du das dann erst zusammensuchst oder auswendig weißt.. macht das einen schlechten Eindruck.
(Wobei, da das Unternehmen das Audit angefragt hat, haben die vll auch Interesse daran und du solltest nicht nur paar tausend Seiten Logs ausdrucken
sg Dirm