Hippo 11 Geschrieben 17. Januar 2013 Melden Geschrieben 17. Januar 2013 Hallo, hat jemand Erfahrung mit der ISO 27001 IT-Grundschutz Zertifizierung? Vielleicht kann mir jemand sagen, wieviel Aufwand so eine Zertifizierung mit sich bring und ob diese Zertifizierung eher ein Segen oder ein Fluch ist? Zitieren
nawas 32 Geschrieben 18. Januar 2013 Melden Geschrieben 18. Januar 2013 So ne Frage nebenbei, willst du dich da reinlernen?? http://blog.iso27001standard.com/de/2011/03/26/lernen-uber-iso-27001-und-bs-25999-2/ oder soll deine Firma überprüft/zertifieziert werden?? http://www.silicon.de/39177172/mit-brief-und-siegel-zertifizierte-sicherheit/ Zitieren
Hippo 11 Geschrieben 18. Januar 2013 Autor Melden Geschrieben 18. Januar 2013 Hallo, es geht darum, dass (ein Mitrabeiter) unsere IT-Abteilung sich überlegt hat, uns zu Zertifizieren. Wir sind ein mittelständisches Untertnehmen mit ca 100 Mitrbeiter. Ich persönlich sehe diese Zertifizierung als unnötig an. Zitieren
NilsK 2.982 Geschrieben 18. Januar 2013 Melden Geschrieben 18. Januar 2013 Moin, die Frage ist doch, welche Anforderung oder welches Ziel dahinter steht. ISO 27001 ist von der Position her einzuordnen wie ISO 9001: Man weist damit nach, dass man bestimmte Prozesse im Haus etabliert hat. Das geschieht auf der Basis von sehr viel Papier, sehr vielen Workshops und (meist) recht wenig Technik. Der Preis dürfte eher fünf- als vierstellig sein. Genau wie ISO 9001 nur aussagt, dass man Qualitätsmanagement betreibt - aber keine Aussage über die tatsächliche Qualität der Produkte zulässt -, sagt ISO 27001 aus, dass man IT-Security-Management betreibt - sagt aber ebenso nichts über die IT-Sicherheit als solche aus. Wenn man so ein Zertifikat aufgrund bestimmter Anforderungen braucht, stellt sich die Frage nach dem "Lohnen" deutlich anders, als wenn es keine solche Anforderung gibt. Schöne Grüße, Nils Zitieren
Pitti259 15 Geschrieben 4. Februar 2013 Melden Geschrieben 4. Februar 2013 Hallo allerseits, als BSI lizenzierter Auditor bin ich vielleicht etwas voreingenommen, werde aber versuchen möglichst objektiv zu raten. Wenn die Idee zur Zertifizierung aus der IT kommt, ist das Ganze schon mal zum scheitern verurteilt. Speziell die ISO 27001, aber auch der darunter liegende IT-Grundschutz betreffen alle Abteilungen des Unternehmens. Wenn die GL nicht die Zertifizierung als Ziel für sich entdeckt hat, wird es nicht funkionieren. Eine ISO 9001 oder 14001 als Grundlage wäre auch gut, dann kann man viele der einzuführenden Prozesse schon mal beim QM abladen. Neben den Prozessen sind die Grundschutzkataloge des BSI das Thema an sich. Darin sind die technischen und organisatorischen Regelungen für die Herstellunge eines grundsätzlichen Sicherheitslevels geregelt. Die technischen Maßnahmen sind meist schnell und effizient umsetzbar. Bei den organisatorischen Geschichten muss viel Papier und noch mehr Diskussion mit Fachabteilungen aufgebaut werden. Das macht man nicht mal nebenbei. Wenn ihr ernsthaft die Zertifizierung angehen wollt, setzt ein Projekt über zwei Jahre auf. Nehmt euch einen entsprechenden Berater, der selbst schon Zertifizierungsaudits durchgeführt hat. Nur so Einer weiß, was wirklich gebraucht wird. Zu den Kosten: Die internen Kosten und die Kosten für die Umsetzung von Maßnahmen sind natürlich ausgesprochen individuell. Keine Schätzung möglich. Der Berater sollte nicht mehr als 1100 Euronen pro Tag kosten und durchschnittlich ein bis zwei PT pro Monat vorstellig werden. Die Zertifizierung beim BSI kosten 2500 Euro. Das Audit für die Zertifizierung könnte ihr mit 15000 bis 20000 Euros einplanen. Der unterschied zwischen ISO 27001 native und ISO 27001 auf Basis IT-Grundschutz ist das benötigte Sicherheitslevel. Bei native zertifiziert man ledigliche das System, eine Aussage zum Sicherheitsniveau gibt es nicht. Bei der Grundschutzvariante müssen einige hundert technische und organisatorische Sicherheitsmaßnahmen umgesetzt sein, damit das Zertifikat erteilt wird. Alle Klarheiten beseitigt? Ciao Pitti 2 Zitieren
makana 10 Geschrieben 24. April 2013 Melden Geschrieben 24. April 2013 wir haben des "Spaß" jetzt komplett und erfolgreich hinter uns. mal abgesehen von den Kosten ist das ganze Projekt ein mega Zeitvernichtungsmaschine geworden ( mehr als ein Jahr). Dann kommt dazu dass das ganze Unternehmen die Geschichte im wahrsten sinne des Wortes "leben muss" sonst ist die sache nach einem Jahr zur Re-Zerti geschichte. Ob die Zertifzierung was bringt oder nicht hängt eigentlich davon ab welchen Kundenkreis man angehen möchte . Wir sind ein Hosting Unternehmen --> will man Server von öffentlichen Einrichtungen oder Ämtern hosten, ist das ne wichtige Sache. Will man nur den Exchange von der Baufirma nebenan hosten wird den Cheffe das nicht jucken ob ISO oder nicht weil den Preis wird er dir nie zahlen ^^. Zitieren
Pitti259 15 Geschrieben 14. Mai 2013 Melden Geschrieben 14. Mai 2013 Hey Makana, welche 27001er Zertifizierung habt ihr gemacht? Native oder IT-Grundschutz? Innerhalb eines Jahres umgesetzt ist ausgesprochen gut. Wie groß ist euer Laden? Ciao Pitti Zitieren
Pitti259 15 Geschrieben 27. Mai 2013 Melden Geschrieben 27. Mai 2013 Hey Hippo, rein Interessehalber, was macht ihr jetzt? Ciao Pitti Zitieren
Hippo 11 Geschrieben 28. Mai 2013 Autor Melden Geschrieben 28. Mai 2013 Es ist noch nicht raus, wohin die Reise geht. Der eigentliche Initiator will jetzt erst mal eine ISO 27001 Schulung besuchen und dann sehen wir weiter. Sobald es Neuigkeiten gibt werde ich es posten, dies kann aber noch etwas länger dauern, hoffe ich;-) Zitieren
makana 10 Geschrieben 6. Juni 2013 Melden Geschrieben 6. Juni 2013 Hey Makana, welche 27001er Zertifizierung habt ihr gemacht? Native oder IT-Grundschutz? Innerhalb eines Jahres umgesetzt ist ausgesprochen gut. Wie groß ist euer Laden? Ciao Pitti IT Grundschutz. Ja wir haben 2 Rechenzentren welche aber vorher schon Tier 2 waren. Zitieren
james103 0 Geschrieben 25. Juni 2013 Melden Geschrieben 25. Juni 2013 Hahahahahahah*-*-*-*-*-*-*-*-*-*-*-*- Zitieren
Pitti259 15 Geschrieben 10. August 2013 Melden Geschrieben 10. August 2013 @james103: Was soll uns dies sagen? Zitieren
Dr.Melzer 191 Geschrieben 12. August 2013 Melden Geschrieben 12. August 2013 @james103: Was soll uns dies sagen? Das ist ein Spammer. Er wollte nur die Links in seiner Signatur (die ich gelöscht habe) promoten. Zitieren
kamikatze 84 Geschrieben 12. August 2013 Melden Geschrieben 12. August 2013 (bearbeitet) Das ist ein Spammer. Er wollte nur die Links in seiner Signatur (die ich gelöscht habe) promoten. @Doc: die stehen aber noch drin... ok, jetzt nicht mehr ;) bearbeitet 12. August 2013 von kamikatze Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.