3
IT Revision durch Kunden oder ext. Fa. in dessen Auftrag
Hallo!
Hat jemand mit sowas Erfahrung.
Hintergrund:
Unsere Firma (eine Hand voll Entwickler, ein Projektmanager, ein Admin und der Inhaber) entwickelt Webapplikationen in erster Linie für Liegenschaftsverwaltung (FM). Unsere Kunden sind zumeist große Immobilien-Inhaber wie Bankhäuser und Versicherungen.
Die Webapplikation hosten wir bei uns im Haus in einem eigenen kleinen Rechenzentrum.
Kunden wie oben genannte zeigen immer wieder Interesse an unserer IT Infrastruktur bzw. an deren Sicherheit, welches wir nach Möglichkeit mit theoretischen Mitteln befriedigen.
Einem unserer großen Kunden reicht das nun nicht und hat bei unserer Geschäftsführung für nächste Woche eine IT Revision durch deren eigene Leute durchgesetzt.
Die Frage, die ich mir nun stelle: Was muss oder sollte ich denen zeigen?
Klar ist mir, dass sie Dokus erhalten möchten:
Netzwerk-Doku
Sicherheits-Doku (Firewall, Virenscanner, Zugriffsrechte)
Sicherungs- und Wiederherstellungs-Doku
Nicht preisgeben möchte ich Konfigurations-Dateien oder Konfigurations-GUIs von Webservern, Firewalls , etc.
Aber was ist mit IP-Adressen intern wie extern, Servernamen o.ä. Ja, externe IPs können sie auch selbst rausfinden, aber interne? Servernamen sind Teil der Doku. Sollen die rausgenommen werden. Die zugehörigen IPs würde ja das DNS verraten, wenn man erst im internen Netz ist.
Sollen die auch den Serverraum betreten dürfen oder gar Zugang zum Netzwerk erhalten?
Ein Revisionsprotokoll oder ein Schriftstück, das den Ablauf und was genau angesehen werden soll erkennen lässt, wir noch nachgefordert.
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen soll und was nicht?
Grüße
Hat jemand mit sowas Erfahrung.
Hintergrund:
Unsere Firma (eine Hand voll Entwickler, ein Projektmanager, ein Admin und der Inhaber) entwickelt Webapplikationen in erster Linie für Liegenschaftsverwaltung (FM). Unsere Kunden sind zumeist große Immobilien-Inhaber wie Bankhäuser und Versicherungen.
Die Webapplikation hosten wir bei uns im Haus in einem eigenen kleinen Rechenzentrum.
Kunden wie oben genannte zeigen immer wieder Interesse an unserer IT Infrastruktur bzw. an deren Sicherheit, welches wir nach Möglichkeit mit theoretischen Mitteln befriedigen.
Einem unserer großen Kunden reicht das nun nicht und hat bei unserer Geschäftsführung für nächste Woche eine IT Revision durch deren eigene Leute durchgesetzt.
Die Frage, die ich mir nun stelle: Was muss oder sollte ich denen zeigen?
Klar ist mir, dass sie Dokus erhalten möchten:
Netzwerk-Doku
Sicherheits-Doku (Firewall, Virenscanner, Zugriffsrechte)
Sicherungs- und Wiederherstellungs-Doku
Nicht preisgeben möchte ich Konfigurations-Dateien oder Konfigurations-GUIs von Webservern, Firewalls , etc.
Aber was ist mit IP-Adressen intern wie extern, Servernamen o.ä. Ja, externe IPs können sie auch selbst rausfinden, aber interne? Servernamen sind Teil der Doku. Sollen die rausgenommen werden. Die zugehörigen IPs würde ja das DNS verraten, wenn man erst im internen Netz ist.
Sollen die auch den Serverraum betreten dürfen oder gar Zugang zum Netzwerk erhalten?
Ein Revisionsprotokoll oder ein Schriftstück, das den Ablauf und was genau angesehen werden soll erkennen lässt, wir noch nachgefordert.
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen soll und was nicht?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227293
Url: https://administrator.de/contentid/227293
Ausgedruckt am: 23.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Zitat von @viragomann:
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen
soll und was nicht?
Hat schon jemand eine solche Prüfung erlebt und kann mir Tipps geben, auf was ich achten muss und was ich den Leuten zeigen
soll und was nicht?
Ich selber habe so etwas noch nicht erlebt, aber ich würde einfach vorher bei denen anfragen, was sie sehen wollen und das Vereinbarte schriftlich fixieren. Dann kannst Du Dich vorbereiten und auch ggf. Einspruch erheben und bergründen, warum sie das nicht sehen dürfen. Du kannst Sie ja im Gegenzug ja auch mal fragen ob Sie Dir ihres zeigen, wenn Du ihnen Deins zeigst.
Ansonsten soltle man imerm wissen, wie wichtig ein Kunde ist, um beurteilen zu können, wie groß die Kröten sein dürfen, die man für ihn schlucken muß.
lks
Edit: Typo & Style.
Hi!
von Audits bei Produktionsfirmen - kenne ich nur, dass du denen möglichst viiiel Papier verlegen musst. Dann schauen sie bissl was an und gut ists.
Wenn du nur ein paar Zetteln hast und sonst alles eher wackelig daher kommt, bzw du das dann erst zusammensuchst oder auswendig weißt.. macht das einen schlechten Eindruck.
(Wobei, da das Unternehmen das Audit angefragt hat, haben die vll auch Interesse daran und du solltest nicht nur paar tausend Seiten Logs ausdrucken
sg Dirm
von Audits bei Produktionsfirmen - kenne ich nur, dass du denen möglichst viiiel Papier verlegen musst. Dann schauen sie bissl was an und gut ists.
Wenn du nur ein paar Zetteln hast und sonst alles eher wackelig daher kommt, bzw du das dann erst zusammensuchst oder auswendig weißt.. macht das einen schlechten Eindruck.
(Wobei, da das Unternehmen das Audit angefragt hat, haben die vll auch Interesse daran und du solltest nicht nur paar tausend Seiten Logs ausdrucken
sg Dirm
Danke für eure Einschätzung.
Ein Revisionsprotokoll haben wir bereits vorgestern noch angefragt. Bislang kam keine Antwort.
Mal sehen, was das wird. Ich werde nach Möglichkeit alle Unterlagen bereit halten. Aber da stehen auch Dinge drinnen, die ich einer Fremdfirma nicht zeigen will.
Grüße
Ein Revisionsprotokoll haben wir bereits vorgestern noch angefragt. Bislang kam keine Antwort.
Mal sehen, was das wird. Ich werde nach Möglichkeit alle Unterlagen bereit halten. Aber da stehen auch Dinge drinnen, die ich einer Fremdfirma nicht zeigen will.
Grüße
