Jump to content

ISO 27001 im Unternehmen ohne fremde Hilfe durchsetzen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen,

 

passt nicht ganz rein in dieses Forum, aber theoretisch müssten Leute da sein, die zu dem Thema etwas wissen.
Folgendes "Problem".


Ich arbeite derzeit in der IT eines mittelständischen Server Hosters. Ich habe 14 Jahre Berufserfahrung, darunter die letzten 5 Jahre als Gruppenleiter.

 

Die Geschäftsleitung wünscht sich eine Zertifizierung des Unternehmens nach ISO 27001 (ob native oder nach IT Grundschutz ist noch nicht klar) da angedacht ist zukünftig auch Server für staatliche Stellen zu hosten. Da hierzu die ISO 27001 und ein betriebsinterner ITSB btw. CISO benötigt wird, ist nun angedacht, mich zu diversen Seminaren zum TÜV zu schicken.


Insgesamt sind dies drei Kurse:  Ein Einführungskurs 2 Tage, ein 5 Tage Kurs zum CISO und ein Aufbaukurs zum Lead Auditor TÜV / Security Aditor TÜV mit ebenfalls 5 Tagen.

 

CISO / ITSB im Unternehmen, gut, das leuchtet mir ein.
Doch wie realistisch ist es, die ISO Zertifizierung des Unternehmens dann als Lead Auditor selbst durchzuführen.
Hat das jemand bereits einmal erfolgreich gemacht und kann berichten?

Ich bin mir nicht sicher, ob das von vornherein nicht zum Scheitern verurteilt ist, wenn man sich hierzu nicht externe Hilfe holt.

Was meint Ihr?


Gruß

Stoffl

Link zu diesem Kommentar

Moin,

 

korrekt. Der Sinn einer Zertifizierung ist, dass eine anerkannte und unabhängige Stelle den Umsetzungsstand der ISO 27001 bzw. des BSI-200 bestätigt. Selbst wenn du Auditor wärest, könnte dein Unternehmen keine Zertifizierung durchführen, auch nicht für Dritte. Denn dazu gehört eine Akkreditierung des Unternemens, die sich nur dann lohnt, wenn man da einen geschäftlichen Schwerpunkt hat.

 

Als Auditor könntst du von so einem Unternehmen mit einem Audit beaftragt werden, das dann die Grundlage einer Zertifizierung bildet. Aber natürlich nicht für das eigene Unternehmen.

 

Kurz gesagt, seid ihr noch etwas auf dem Holzweg. Eine Einführungsschulung ist sicher sinnvoll, der Rest nicht. Sucht euch einen Dienstleister, der euch begleitet. Schon deshalb, weil ein Externer erfahrungsgemäß bei sowas mehr Handlungsfreiheit hat als ein Interner.

 

Was den zugrundeliegenden Standard angeht: Nehmt BSI-200. Der ist zur ISO 27001 kompatibel, aber viel praxisnäher (und damit in aller Regel "günstiger"). Eine Zertifizierung auf der Basis wäre automatisch eine ISO-27001-Zertifizierung.

 

Gruß, Nils

 

bearbeitet von NilsK
Korrekturem
Link zu diesem Kommentar

Hallo miteinander,

 

Ich habe mich da vielleicht etwas unglücklich ausgedrückt.

Dass wir uns nicht selbst zertifizieren bzw. auditieren können, das ist uns durchaus klar und natürlich auch verständlich.
 

Meine Frage bezog sich eigentlich nicht darauf, wer am Ende auditiert und die ISO 27001 für das Unternehmen ausstellt / bescheinigt,

sondern ob es realisitisch ist, dass man die Vorbereitungen und die Maßnahmen im Unternehmen, alleine planen und umsetzen kann, damit diese dann von unabhängiger Stelle auditiert und zertifiziert werden kann. Also die Risikobewertung, Soll-Ist-Vergleiche, Maßnahmen und Umsetzung selbst plant und durchführt,

so dass am Ende eben nur noch von einem Dienstleister auditiert werden muss.

Es muss ja im Unternehmen ein Beauftragter ITSB oder CISO sitzen, der dies dann auch zukünftig sicher stellt.

 

Deswegen die Frage: Die Vorbereitung (!) und die Planung (!) für die Maßnahmen selber machen - realistisch?
Oder auch bereits die Planung schon mit externer Hilfe.

Link zu diesem Kommentar

Moin,

 

wie soll man das beantworten, ohne eure Organisation zu kennen? Als allgemeine Aussage dazu vielleicht: Bei den meisten Unternehmen ist so viel Personal vorhanden, dass das übliche Geschäft geleistet werden kann. Für ein größeres Projekt fehlen dann oft Ressourcen, weswegen man sich für sowas extern verstärkt.

 

Ein ISMS-Projekt mit dem Ziel der Zertifizierung hat schnell höhere zweistellige externe Beratertage. Die internen Aufwände, die ein Externer nicht machen kann, kommen noch dazu, die können durchaus noch höher sein. Wenn man dann auch noch selbst den Aufwand leisten muss, das nötige Know-how für eine zertifizierbare ISMS-Implementierung aufzubauen, kann das unwirtschaftlich werden. Betrieb und Weiterentwicklung erfordern natürlich auch Kenntnisse in der Systematik, aber die Grundlagenkenntnisse zum Erstaufbau würdet ihr danach nicht wieder brauchen, wenn ihr kein eigenes Geschäft daraus macht.

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

 

genau so sehe ich das momentan auch. Schulungen und Seminare hin oder her. Es ist ja nicht von der Hand zu weisen, dass ich aktuell ja bereits eine Tätigkeit im Unternehmen habe. Wenn dann natürlich die meiste oder sogar die gesamte verfügbare Zeit in die Vorbereitung zum ISMS und der kommenden Zertifizierung fließt, dann fehlt die Zeit schlicht anderswo. Denn die "normale" Arbeit muss ja auch erledigt sein.

 

Alles in allem ein sehr komplexes Thema.

Link zu diesem Kommentar

Hallo Stoffl,

 

welchen Standard ihr verwendet, kommt ganz enorm darauf an was ihr damit erreichen wollt. Dienstleistungen für Behörden, dann solltet ihr ISO 27001 auf Basis IT-Grundschutz anwenden. Die native wäre nur die halbe Miete. Der große Vorteil ist, dass das GS-Kompendium (nachfolger der GS-Kataloge) euch genauer aufzeigt was zu tun ist. Den Grundschutz alt (Standards der 100er Reihe) solltest Du nicht mehr anwenden. Wenn ihr jetzt anfangt, könnt ihr in zwei Jahren die Zertifizierung angehen. Bis dahin gibt es den alten Standard nur noch für Altzertifizierte.

 

Die ISO 27001 native lässt euch zwar mehr Freiraum, aber diesen Freiraum müsst ihr dann auch richtig füllen. Nicht ganz einfach.

 

Zur Zertifzierung: Die ISO 27001 auf Basis IT-Grundschutz kann nur das BSI zertifizieren, ihr benötigt allerdings einen Auditor vom freien Markt (z.B. mich). Die ISO 27001 native können diverse DAkkS zertifizierte Unternehmen des freien Marktes durchführen. Du bezahlst diese und bekommst von denen einen Auditor hingesetzt. Je nach Zertifzierer ist die Zertifzierung einfach (gekauft) oder schwierig (weil korrekt durchgeführt).

 

Die Vorbereitung kannst Du sicherlich alleine durchziehen, ich würde Dir aber für ein Coaching durch einen erfahrenen Berater raten. Das ISMS aus dem Hut zu zaubern hat nun mal was mit Magie Erfahrung zu tun.

 

Beantwortet das Deine Fragen?

 

Ciao

Pitti (ISO 27001 auf Basis IT-Grundschutz Auditor und IS-Revisor und Kritis §8 Prüfer und und und [Angebermodus aus])

bearbeitet von Pitti259
Link zu diesem Kommentar

Du solltest Dich fragen, ob Du  ausreichend  Kapazitäten hast, um  für Alles und Jedes Konzepte zu schreiben.

Damit ist eine  Person sehr gut ausgelastet. Tatsächlich wollen solche Prüfer zu  95% diese Konzepte lesen um sie mit einer weitern Papierflut zu ergänzen.

 

Wenn dann ein echter Hacker kommt, hat man passende  Wurf-Instrumente (die Aktenordner) ;)

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...