Mändü 0 Geschrieben 26. Juli 2013 Melden Teilen Geschrieben 26. Juli 2013 Hallo, ich habe die Aufgabe bekommen, mich über die oben genannten Normen bzw. Standards schlau zu machen und eines davon an Hand eines Notfallhandbuchs einzuführen. Nun mein Problem. Sie hören sich alle viel versprechend an und ich habe leider bis jetzt keine Aussage darüber gefunden, welches davon das Beste ist? Das Unternehmen für das ich Arbeite hat 500 Mitarbeiter und wir sind ein Automobil-Zulieferer. Also kein großer Konzern oder ein kleiner Betrieb. Hat irgendwer von euch Ahnung oder schon Erfahrungen mit den drei gemacht oder auch nur mit einem, welches sich vom Aufwand in Maßen hält und auch für Mittelständige Unternehmen geeignet ist? Selbst wenn Ihr nur Vor- oder Nachteile oder beides habt, bitte schreibt. Vielen Dank, mändü Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Juli 2013 Melden Teilen Geschrieben 27. Juli 2013 (bearbeitet) Hallo, Du hast eine Aufgabe erhalten und weichst ins Web aus, suchst hier nach einer Lösung oder dem Rat dazu? Es ist ja gerade deine Aufgabe, dich "schlau" zu machen, zu beurteilen; eine Analyse und eine Synthese durchführen, Du sollst dein Hirnschmalz einsetzen, Du sollst die Aufgabe lösen, nicht anderswo abkupfern! Bei einer Prüfung geht das auch nicht. Also, lies mal schön, beschäftige dich mit dem Inhalt, DENKE! Gewöhne dich ans selbstständige Denken, auch das ist dein Auftrag, wohl auch Sinn der Sache. Mit so etwas kann man sich profilieren. Ob kleiner oder großer Betrieb, ob das so wichtig ist? Ein Automobilzulieferer mit 500 Mitarbeitern, ist das nicht der typische Mittelständler? Aufwand in Maßen? Wieso? Es geht doch wohl nach Notwendigkeit und Zweckmäßigkeit, nicht nach Bequemlichkeit. Also los, frisch auf Geselle, ans Werk! Viel Erfolg, viel Freude bei einer solch schönen Aufgabe. Nachtrag einer Nachfrage: Was aber ist dein Status? Überfordert dich diese Aufgabe eventuell? Sind daran schon andere gescheitert oder hatten, haben keine Lust dazu und haben es an dich abgeschoben? Von wem und wie hast Du diese Aufgabe erhalten, vom Leiter der Einheit oder (d)einem Ausbilder, wurde die Aufgabe schriftlich formuliert, ausführlich erläutert, wurde sie von dir auch wirklich verstanden? Wurde gefragt, ob Du die Aufgabe verstanden, wurde sich davon überzeugt, ob Du die Aufgabe verstanden? Oder geschah das irgendwie nebenbei und nebulös, mit einer Nachfrage, die Antwort bereits enthielt oder - ein Nein - nicht zugelassen wurde? Bist Du von Kenntnis der Methoden fähig, so etwas anzugehen? Verstehst Du den Inhalt der Dokumente? bearbeitet 27. Juli 2013 von lefg Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 30. Juli 2013 Melden Teilen Geschrieben 30. Juli 2013 Hallo Mändü, grundsätzlichster Unterschied zwischen dem Baustein Notfallmanagement und den beiden anderen Ansätzen ist, dass für den B 1.3 die IT im Vordergrund steht. Bei der 100-4 und der ISO steht das Business Continuity als Ganzes, also über die IT hinaus im Fokus. D.h. Du musst erst mal den grundsätzlichen Ansatz Deiner Geschäftsleitung herausbekommen, dann kannst Du weiter analysieren. Wollt ihr Zertifizieren? Wenn ja nach was? Der B 1.3 hilft Dir ohne die anderen GS-Bausteine relativ wenig, weil viele Vorsorgemaßnahmen in den andern Bausteinen gelistet werden. Für eine Zertifizierung nach ISO 27001 braucht ihr übrigens keine 100-4 oder ISO 22301 umsetzen. Aber ihr braucht ein IT-Notfallmanagement. Also, was will Deine GL? Ciao Pitti (ISO 27001-Auditor) Zitieren Link zu diesem Kommentar
kazeerulaz 10 Geschrieben 31. Juli 2013 Melden Teilen Geschrieben 31. Juli 2013 (bearbeitet) Der ISO 27002 resp. die Zertifizierung nach 27001 sind sehr generisch. Es beschreibt was ist zu tun, z.B. es soll ein Prozess zur Sicherstellung des Geschäftsbetriebst entwickelt und aufrechterhalten werden, Wesentliche Elemente, Identifikation der Assets, Verstehen der Risken etc. Es wird nicht konkret wie du etwas machen musst sondern nur was du haben musst. Hier geht BSI viel tiefer ins Detail und beschreibt die verschiedenen Phasen die im Notfallmanagement zum Zug kommen. Man kann nicht sagen das eine ist besser als das andere. Du musst dich da selber reinlesen dann merkst du relativ schnell die Unterschiede. BSI ist kostenlos, die ISO Dokumente kosten etwas. Aber wie schon Pitti gesagt hat, du kannst, wenn man es seriös machen will, nicht einfach einen Baustein rausziehn und den machen, weil es Abhängigkeiten zu anderen hat.. Was ich noch nicht ganz verstehe ist dein Satz: ich habe die Aufgabe bekommen, mich über die oben genannten Normen bzw. Standards schlau zu machen und eines davon an Hand eines Notfallhandbuchs einzuführen. Ich nehme an du meinst das umgekehrt. Dass du nicht mit Hilfe eines Notfallhandbuchs einen Standard einführen willst, sondern dass du anhand eines Standards ein Notfallhanbuch erstellen sollst. Oder? bearbeitet 31. Juli 2013 von kazeerulaz Zitieren Link zu diesem Kommentar
Mändü 0 Geschrieben 9. August 2013 Autor Melden Teilen Geschrieben 9. August 2013 (bearbeitet) Hallo vielen Dank für die Antworten. Eine Zertifizierung soll in den nächsten Jahren angestrebt werden - ja. Nach was - das ist meine Aufgabe. Die GL hat nichts dazu gesagt, dementsprechend fehlen mir auch die ISO-Normen zum durchlesen bzw. durcharbeiten. Meine Aufgabe also grob gesagt: "Finde Normen, mit denen du ein Notfallbewältigungskonzept erstellen kannst, wegen die gegen einander ab und entscheide dich für eine. Erstelle daraufhin das Notfallvorsorgekonzept für bis jetzt erst ein Mal den Prozess EDI und sei bis Ende Okt. fertig." Ich hatte mich etwas die BSI 100-4 gehangen und die auch soweit durch gegangen. Sie scheint, wie schon Kazeerulaz geschrieben hat, sehr Detailiert. Aber ich persönlich würde sagen, damit ist alles abgedeckt. Es wird zwar aufwändig und zeitintensiv, aber danach hat man doch, vor allem wenn man ein Leie ist, sein Notfallkonzept. Oder sehe ich das falsch? Was ich leider noch nicht so richtig herausgefunden habe ist, ob man nach 100-4 zertifiziert werden kann. Nach dem was ich gelesen habe, würde ich glatt sagen - nein. Auch wenn es auf BS 25999, also der Vorgänger von ISO 22301 / 22313 ist, muss es ja ein Grund haben, warum es nur eine Empfehlung ist? Also schließe ich daraus, dass ich genauso gut gleich nach ISO 22301 arbeiten kann? Und das nächste das dafür sprach, es gibt eine Zertifizierung nach ISO 27001 auf Basis Grundschutz, heißt also der Grundschutz kann nicht alleine auditiert werden? Das alles Zusammenhängt habe ich soweit verstanden, der BSI 100-4 muss komplett genommen werden, wobei ich denke, dass ich auch bei der Zertifizierung von ISO 27001 nicht die anderen der Reihe weg lassen kann (27005, 27002,..), genau wie bei ISO 22301 die 22313 relevant ist. @Pitti: Ein IT-Notfallmanagement könnte doch theoretisch aus einer Person bestehen, oder? Oder ist es etwas besonderes zu beachten, außer das diese Person dann vermutlich für die Sicherheit der IT und die Auditierungen verantwortlich ist? @kazeerulaz: ja, ich hatte mich falsch ausgedrückt. Erst die Normen analysieren, dann ein Handbuch erstellen. Ich hätte noch eine Verständnisfrage: Was genau ist der Unterschied zwischen ISMS und BKM/BCMS? Alle beide haben das Ziel, das Unternehmen vor Unterbrechungen zu beschützten. Und alle beide schneiden die Themen Risikomanagement und IT-Management und eben sich gegenseitig. BKM kommt aus dem Finanzsektor, aber sonst? - Hintergrund der Frage: Ich suche nach Unterschieden zwischen ISO 27001 und ISO 22301, außer den Aufbau. bearbeitet 9. August 2013 von Mändü Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 10. August 2013 Melden Teilen Geschrieben 10. August 2013 Jetzt geht's ans eingemachte. Die BSI 100-4 kann nicht zertifiziert werden. Aber, wenn diese vollständig umgesetzt wurde, kann nach ISO-22301 zertifiziert werden. Die Norm ist damit praktisch vollständig umgesetzt. Das Informationssicherheitsmanagement ISMS umfasst neben der Verfügbarkeit auch noch Vertraulichkeit, Integrität, Authentizität usw. Das Busines Continuity Management BCM setzt praktisch nur auf die Verfügbarkeit. Dafür geht es an dieser Stelle aber viel weiter. So interessiert mich im ISMS ein pleite gehender Hauptlieferant für wichtige Teile nicht die Bohne. Im BCM schon. Im ISMS interessiere ich mich nicht für die sicher gestellte Liquidität des Unternehmens. Im BCM schon. Für die Zertifizierung nach ISO 27001 native oder auch auf Basis IT-Grundschutz zählt nur die IT-Notfallvorsorge. Nicht das Business Continuity Management. Ein IT-Notfallmanagement basierend auf einer Person würde ich als Auditor nicht akzeptieren. Das Notfallvorsorgemanagement wäre mit einer Person denkbar. Aber das Notfall-Team? Eine Person als Notfallmanager, Notfall-Response-Team, Notfallkoordinator. Denken, Lenken und arbeiten gleichzeitig. Koordinieren, alarmieren, Notfallmaßnahmen umsetzen, alles gleichzeitig? Vergiss es! Wenn ich es richtig aus Deiner Mail gelesen habe, wollt ihr ein IT-Notfallmanagement für ausgewählte Geschäftsprozesse. Nimm Dir den Baustein 1.3 aus den GS-Katalogen und bastel Dir eine kleine, technische BIA drüber. Ohne Dich jetzt demotivieren zu wollen, von einer Zertifizierung, egal nach welcher Norm, seit ihr Lichtjahre entfernt. Rede das möglichst schnell Deiner GL aus. Ciao Pitti Zitieren Link zu diesem Kommentar
Mändü 0 Geschrieben 19. August 2013 Autor Melden Teilen Geschrieben 19. August 2013 Hallo, vielen Dank für deine Ausführliche Antwort. Da aber das Notfall-Team auch Ahnung von IT haben sollte, wird wohl die ISO 27001 bei uns nicht umsetzbar und zertifizierbar sein. Also kann ich die zum erarbeiten schon mal vergessen. :wink2: Ja genau, bzw. für Prozesse die mit EDI in Berührung kommen. Das werde ich machen, vielen Dank für den Tipp. Okay, dann wird es wohl nur eine Notfallvorsorge nach unseren Ansprüchen geben ohne jeglichen Auditor. Werde es auf jeden Fall beim nächsten Meeting ansprechen. Wobei.. Nach ISO 27001:2008 können wir nicht zertifiziert werden wegen "Personenmangel", warum aber nicht nach ISO 22301? Nochmal danke Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.