6
Einführung eines ISMS nach ISO 27001 bzw. BSI-Grundschutz
Hallo,
hat jemand Erfahrungen mit o. g. Thema gemacht?
Wenn ja, wie läuft das genau ab? Habe keinerlei Erfahrungen damit gemacht, deshalb frage ich mal hier...
Welches (Freeware-)Tool setzt man dafür ein?
hat jemand Erfahrungen mit o. g. Thema gemacht?
Wenn ja, wie läuft das genau ab? Habe keinerlei Erfahrungen damit gemacht, deshalb frage ich mal hier...
Welches (Freeware-)Tool setzt man dafür ein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 333766
Url: https://administrator.de/contentid/333766
Printed on: April 18, 2024 at 23:04 o'clock
6 Comments
Latest comment
Wenn Du gem. § 8 IT-Sicherheitsgesetz ein ISMS einführen mußt, hast Du mehrere Möglichkeiten:
- ISIS 12
- ISO 27001
- BSI-Grundschutz
Allen dreien ist gemeinsam, daß Du sie nicht alleine ausführen kannst, Du brauchst einen Consultant einer Firma, die sich für die 3 vorgenannten Verfahren zertifiziert hat. Diese Leute kosten richtig fett Kohle (120,- EUR netto/Std. und höher ist normal).
Die Pflicht zur Einführung eines ISMS ist allerdings nicht zwingend an eines der vorgenannten Verfahren gebunden, man kann das auch selber machen.
Wenn Du schon jetzt ein perfektes und aktuell gepflegtes IT-Betriebshandbuch und Notfallhandbuch Dein eigen nennst, das Du selber irgendwann mal erstellt hast, stehen die Chancen gut, daß Du das alleine hinkriegst.
Jedoch:
Es kann sein, daß der Gesetzgeber irgendwann auf die Idee kommt, daß Du Dein ISMS zertifizieren lassen mußt (z. B. von DQS), dann hast Du keine Wahl, dann muß es eines der o. g. Verfahren sein, Dein selbstkonstruiertes /-zusammengeschriebenes ISMS kannst Du nicht zertifizieren lassen.
Ich hatte da wenig bis gar nichts zur Hand und mache nun deswegen, für teuer Geld, ISIS 12.
Software:
Wer ISIS 12 macht (oder machen läßt
), so wie ich, muß dazu zwingend eine unterstützende Software miteinsetzen, die den ganzen Krempel mitdokumentiert, das Ding nennt sich einfach "ISIS12-Softwaretool" und muß käuflich erworben werden, kostet mehrere hundert Euro.
Ansonsten schadet es nicht, wenn man Docusnap, Lansweeper o. ä. zur Hand hat.
Und noch als allgemeiner Hinweis, der niemandem Angst machen oder die Laune verderben soll (es aber wahrscheinlich trotzdem tut): Wer sowas noch nie gemacht hat (auch kein IT-BHB und/oder IT-NHB), sondern nahezu bei Adam & Eva anfangen muß, für den wird das ein steiniger Weg. Die wollen da Sachen wissen und detailliertetest dokumentiert haben, von denen ich noch nie gehört hatte.
Und hier gibt's viel zu Lesen dazu (ist jetzt für unser Bundesland, gibt's in anderen Bundesländern aber bestimmt genauso):
https://www.it-sicherheit-bayern.de/
Viele Grüße
von
departure69
- ISIS 12
- ISO 27001
- BSI-Grundschutz
Allen dreien ist gemeinsam, daß Du sie nicht alleine ausführen kannst, Du brauchst einen Consultant einer Firma, die sich für die 3 vorgenannten Verfahren zertifiziert hat. Diese Leute kosten richtig fett Kohle (120,- EUR netto/Std. und höher ist normal).
Die Pflicht zur Einführung eines ISMS ist allerdings nicht zwingend an eines der vorgenannten Verfahren gebunden, man kann das auch selber machen.
Wenn Du schon jetzt ein perfektes und aktuell gepflegtes IT-Betriebshandbuch und Notfallhandbuch Dein eigen nennst, das Du selber irgendwann mal erstellt hast, stehen die Chancen gut, daß Du das alleine hinkriegst.
Jedoch:
Es kann sein, daß der Gesetzgeber irgendwann auf die Idee kommt, daß Du Dein ISMS zertifizieren lassen mußt (z. B. von DQS), dann hast Du keine Wahl, dann muß es eines der o. g. Verfahren sein, Dein selbstkonstruiertes /-zusammengeschriebenes ISMS kannst Du nicht zertifizieren lassen.
Ich hatte da wenig bis gar nichts zur Hand und mache nun deswegen, für teuer Geld, ISIS 12.
Software:
Wer ISIS 12 macht (oder machen läßt
), so wie ich, muß dazu zwingend eine unterstützende Software miteinsetzen, die den ganzen Krempel mitdokumentiert, das Ding nennt sich einfach "ISIS12-Softwaretool" und muß käuflich erworben werden, kostet mehrere hundert Euro.Ansonsten schadet es nicht, wenn man Docusnap, Lansweeper o. ä. zur Hand hat.
Und noch als allgemeiner Hinweis, der niemandem Angst machen oder die Laune verderben soll (es aber wahrscheinlich trotzdem tut): Wer sowas noch nie gemacht hat (auch kein IT-BHB und/oder IT-NHB), sondern nahezu bei Adam & Eva anfangen muß, für den wird das ein steiniger Weg. Die wollen da Sachen wissen und detailliertetest dokumentiert haben, von denen ich noch nie gehört hatte.
Und hier gibt's viel zu Lesen dazu (ist jetzt für unser Bundesland, gibt's in anderen Bundesländern aber bestimmt genauso):
https://www.it-sicherheit-bayern.de/
Viele Grüße
von
departure69
Hallo Philip,
nutzt ihr verinice, in welchem Umfeld?
vG
LS
nutzt ihr verinice, in welchem Umfeld?
vG
LS
Sers,
Evaluiere es aktuell wieder. Wie schon einmal vor zwei Jahren.
Ich kann an dieser Stelle gar nicht genug betonen, dass du 100% Rückendeckung und Umsetzungswillen deiner GL für das Unterfangen 27000 brauchst. Gerade beim Thema Risikobewertung wirst du höchstwahrscheinlich deutlichen Gegenwind spüren.
Produktiver Einsatz in meinem Fall also noch nicht. Zumindest passt diesmal der Rückenwind: die Kunden verlangen es.
Zielumfeld ist die ISO 27000 und die VDA ISA, was beides von verinice abgedeckt wird.
Wenn deine Umgebung an sich schon recht solide ist, dann kannst du dich mit Handbuch und BSI Grundschutzkatalog recht gut führen lassen.
Wenn du weitere Schienen wie ISO 9001, 14001, 50001 oder etwa VDA TS16949 in verinice integrieren willst wird es schwer. Ist halt doch auf die 27000 und zugehörige Programme ausgelegt. Dafür ist es dann aber auch bezahlbar.
kleiner Beitrag auf TheRegister.co.uk zur Umsetzung von 27001
Evaluiere es aktuell wieder. Wie schon einmal vor zwei Jahren.
Ich kann an dieser Stelle gar nicht genug betonen, dass du 100% Rückendeckung und Umsetzungswillen deiner GL für das Unterfangen 27000 brauchst. Gerade beim Thema Risikobewertung wirst du höchstwahrscheinlich deutlichen Gegenwind spüren.
Produktiver Einsatz in meinem Fall also noch nicht. Zumindest passt diesmal der Rückenwind: die Kunden verlangen es.
Zielumfeld ist die ISO 27000 und die VDA ISA, was beides von verinice abgedeckt wird.
Wenn deine Umgebung an sich schon recht solide ist, dann kannst du dich mit Handbuch und BSI Grundschutzkatalog recht gut führen lassen.
Wenn du weitere Schienen wie ISO 9001, 14001, 50001 oder etwa VDA TS16949 in verinice integrieren willst wird es schwer. Ist halt doch auf die 27000 und zugehörige Programme ausgelegt. Dafür ist es dann aber auch bezahlbar.
kleiner Beitrag auf TheRegister.co.uk zur Umsetzung von 27001
hallo Philip,
danke für die Info. Meine (und des Kunden) Anforderung ist IT-Sicherheitskonzept nach BSI 100.
Viel Erfolg bei der ISO 27001 ...
und schönes WE
LS
danke für die Info. Meine (und des Kunden) Anforderung ist IT-Sicherheitskonzept nach BSI 100.
Viel Erfolg bei der ISO 27001 ...
und schönes WE
LS
Zitat von @laster:
danke für die Info. Meine (und des Kunden) Anforderung ist IT-Sicherheitskonzept nach BSI 100.
danke für die Info. Meine (und des Kunden) Anforderung ist IT-Sicherheitskonzept nach BSI 100.
Na dann passt das doch zusammen.
Auszug derer Webseite:
verinice eignet sich:
zur Implementierung von BSI IT-Grundschutz
für den Betrieb eines ISMS nach ISO 27001
zur Risikoanalyse nach ISO 27005
für ein Information Security Assessment (ISA) nach VDA-Vorgaben
allgemein für die Arbeit mit den folgenden Standards:
ISO 27001, ISO 27002, ISO 27005, ISO 20718, ISO 27019, ISO 27004,
BSI 100-1 bis -4, PCI DSS, COBIT, BDSG, EU DSGVO, SSAE 16, BCBS 239,
ISAE 3402, MaRisk-E, SREP, VDA ISA, IDW PS 330, IDW PH 9.330.1
zur Implementierung von BSI IT-Grundschutz
für den Betrieb eines ISMS nach ISO 27001
zur Risikoanalyse nach ISO 27005
für ein Information Security Assessment (ISA) nach VDA-Vorgaben
allgemein für die Arbeit mit den folgenden Standards:
ISO 27001, ISO 27002, ISO 27005, ISO 20718, ISO 27019, ISO 27004,
BSI 100-1 bis -4, PCI DSS, COBIT, BDSG, EU DSGVO, SSAE 16, BCBS 239,
ISAE 3402, MaRisk-E, SREP, VDA ISA, IDW PS 330, IDW PH 9.330.1
