• Last Published: 2024-11-15|
• Version: 1.0.6

Kontinuität der Informationssicherheit als Teil des BCM

Betroffene Basis-Ziele

• die Vertraulichkeit der Daten (auch unserer Kunden) wahren
• die Verfügbarkeit von Informationen, besonders unserer Softwareprodukte und Dienste, sicherstellen
• die Integrität von Informationen sicherstellen
• die gesetzlichen Vorgaben und Datenschutzgesetze, sowie anderweitige vertragliche Pflichten kennen und einhalten (Compliance)

Konkretes Ziel

Die Kontinuität der Informationssicherheit muss Teil des Business Continuity Management (BCM) der Organisation sein, so dass sichergestellt ist, dass Informationen jederzeit geschützt sind und die Organisation auf negative Ereignisse vorbereitet ist.

##Planung und Implementierung der Kontinuität der Informationssicherheit

Maßnahme

Die Organisation muss Prozesse, Verfahren und Kontrollmaßnahmen festlegen, dokumentieren, implementieren und aufrechterhalten, um das erforderliche Maß an Kontinuität der Informationssicherheit in einer schwierigen Situation sicherstellen zu können.

Es ist die Aufgabe des Informationssicherheitsbeauftragten (ISB) in Zusammenarbeit mit der Unternehmensleitung, Pläne zur Sicherstellung des Geschäftsbetriebs zu entwickeln und auf diesen aufbauend Prozesse zur Sicherstellung des Geschäftsbetriebs zu initiieren und aufrecht zu erhalten. Maßnahmen zur Sicherstellung des Geschäftsbetriebs sollten regelmäßig durch den Informationssicherheitsbeauftragten getestet werden.

Bei der Erstellung von Notfallplänen muss folgendes beachtet werden:

• Die Verantwortlichkeiten bei Prozessen zur Sicherstellung des Geschäftsbetriebs müssen geklärt werden. Sofern mehrere Standorte vorhanden sind, sollte pro Standort mindestens eine Person für die Sicherstellung des Geschäftsbetriebs in Notfall-Situationen verantwortlich sein.
• Es muss festgestellt werden, bei welchen Informationen und Diensten der Verlust akzeptabel bzw. inakzeptabel ist. Dies kann im Rahmen der Risikoanalyse geschehen.
• Prozeduren und Zeitrahmen zur Wiederherstellung kritischer Geschäftsprozesse müssen entwickelt und dokumentiert werden. Dabei müssen ggf. vorhandene Abhängigkeiten (externe Dienstleister o.ä.) beachtet werden.
• Mitarbeiter müssen entsprechend ausgebildet werden.

Die Pläne sollten die folgenden Informationen enthalten:

• die für die Ausführung des Plans verantwortlichen Personen (ggf. mit Stellvertretern).
• die Beschreibung kontinuierlich aktiver Maßnahmen.
• Voraussetzungen zur Aktivierung eines Notfallplans.
• die auszuführenden Tätigkeiten nach Aktivierung eines Notfallplans.
• Maßnahmen und Prozeduren, um Geschäftsprozesse ggf. anderweitig zu betreiben.
• Maßnahmen und Prozeduren, um mittel- oder langfristig wieder zum normalen Geschäftsbetrieb zurückzukehren.
• Angaben, die spezifizieren, wann Teile des Plans (falls möglich) getestet und aktualisiert werden müssen (vgl. den folgenden Gliederungspunkt).
• notwendige Maßnahmen bzgl. der Mitarbeiterausbildung („Awareness“).
• eine Auflistung benötigter Betriebsgegenstände zur Ausführung des Plans.

Zur Sicherstellung der Kontinuität der Informationssicherheit muss der Informationssicherheitsbeauftragte bei allen Notfällen involviert werden.

Die getroffenen Maßnahmen sind so auszurichten, dass eine kürzere Wiederherstellungszeit realisierbar ist.

Umsetzung

Die Entscheidung darüber, in welchen Notfällen Informationssicherheits-Maßnahmen getroffen werden, wird in der Risikoanalyse getroffen.

Gemäß der Risikoanalyse ist das Risiko des Ausfalls der Kundensysteme als Notfall-Szenarien zu berücksichtigen. Der entsprechende Behandlungs-Plan finden sich im Wiki-Abschnitt BCM - Wiederanlaufdokumente für den Notfall (Wiki) wieder.
Eine ausgedruckte Version der Dokumente befindet sich im Besitz der IT-Leitung.

Überprüfung, Überarbeitung und Auswertung der Kontinuität der Informationssicherheit

Maßnahme

Die Organisation muss die festgelegten und implementierten Kontrollmaßnahmen für die Kontinuität der Informationssicherheit in regelmäßigen Abständen überprüfen, um sicherzustellen, dass sie gültig und auch in schwierigen Situationen wirksam sind.

Umsetzung

Für die oben beschriebenen Notfall-Szenarien und entsprechenden BCM-Maßnahmen existieren jährliche Überprüfungs-Pläne. Diese finden sich ebenfalls im Wiki unter Überprüfung der BCM-Maßnahmen

Reviewdatum: 12.11.2024, Johannes Imhof