Ein Überblick über Anhang A.17: Informationssicherheit im BCM

In Unternehmen können Schwachstellen auftreten, die zu Störungen und anderen Notfällen führen. Daher ist es wichtig, entsprechende Maßnahmen zu treffen, um solche Vorfälle zu verhindern oder im Falle von unvermeidbaren Situationen eine schnelle Wiederherstellung zu ermöglichen. Personen, Orte und Systeme müssen in die Planung der Reaktion auf unerwartete Vorfälle einbezogen werden. Anhang A.17 der ISO 27001 Maßnahmen (Controls) aus Anhang A berücksichtigt diese Faktoren, um die Informationssicherheit zu gewährleisten – auch bei unerwünschten Ereignissen.

Was ist Anhang A.17?

Anhang A.17 beschreibt die Anforderungen an das betriebliche Kontinuitätsmanagement (Business Continuity Management) eines Unternehmens im Zusammenhang mit der Informationssicherheit. Dadurch wird sichergestellt, dass der Normalbetrieb aller Prozesse, die auf Daten und Systemen basieren, während eines Disaster-Recovery-Vorfalls wieder aufgenommen werden kann. Was genau ist betriebliches Kontinuitätsmanagement, oder kurz, BCM? 

Was ist Business Continuity Management (BCM)?

Business Continuity Management oder Business Continuity Planning ist der Prozess, bei dem reale oder potenzielle Bedrohungen und Notfallmaßnahmen identifiziert werden, um bei Unterbrechungen des Geschäftsbetriebs die Ausfallzeiten zu minimieren. Darin inbegriffen sind Aspekte der Informationssicherheit eines Unternehmens, also Verfahren, die eine schnelle Wiederherstellung von Systemen und Daten sicherstellen. Zunächst möchten wir Sie auf die Bedeutung eines betrieblichen Kontinuitätsmanagements hinweisen und auf die Anwendung in Ihrem Unternehmen eingehen.

 

 

Warum ist Business Continuity Management für Ihr Unternehmen wichtig?

Mit einer effektiven Business Continuity-Planung kann Ihr Unternehmen im Falle unvermeidbarer oder unerwarteter Unterbrechungen des Geschäftsbetriebs sicherstellen, dass der volle Funktionsumfang schnellstmöglich wiederhergestellt wird und die Auswirkungen solcher Störungen minimiert werden. Diese Planung erfordert eine Risikobewertung und -analyse, und es müssen Maßnahmen ergriffen werden, um die Integrität, Verfügbarkeit und Vertraulichkeit von Daten in Übereinstimmung mit allen relevanten Vorschriften, Gesetzen und Richtlinien sicherzustellen. Ein durchdachtest Business Continuity Management ist zudem ein wichtiger Bestandteil beim Aufbau eines ISMS und der Zertifizierung nach ISO 27001.

Alles was Sie sonst noch über das Business Continuity Management wissen sollten, erfahren Sie hier.

Was sind die Controls in Anhang A.17?

Anhang A.17 umfasst vier Controls in zwei Teilgruppen. Deren Ziel ist es, die Kontinuität der Informationssicherheit sicherzustellen, zu planen und zu implementieren. Die Controls im Detail:

A.17.1 Kontinuität der Informationssicherheit

Gemäß A.17.1 sollen Richtlinien, die die Kontinuität der Informationssicherheit gewährleisten, als Teil der BCM-Prozesse des Unternehmens betrachtet und darin integriert werden.

A.17.1.1 Planung der Kontinuität der Informationssicherheit

Bei Störungen und anderen Vorfällen müssen Unternehmen ihre Anforderungen an die Kontinuität der Informationssicherheit während und nach dem Ereignis festlegen.

Ein effektiv verwaltetes ISMS verfügt möglicherweise bereits über Kontrollmechanismen, sodass ein auf A.17 basierender Katastrophenmanagementplan nicht dringend notwendig ist. Dennoch muss ein detaillierter Plan dokumentiert werden, der die Kontinuität der Informationssicherheit sicherstellt und von denselben Informationssicherheitsanforderungen ausgeht – unter normalen oder widrigen Bedingungen. Alternativ kann eine Risikoanalyse durchgeführt werden, um neue Anforderungen an die Informationssicherheit zu identifizieren, die für die Störung oder den Vorfall relevant sind.

A.17.1.2 Implementierung der Kontinuität der Informationssicherheit

Sobald die Informationssicherheitsanforderungen ermittelt wurden, muss das Unternehmen Richtlinien und Controls implementieren, um die Erfüllung dieser Anforderungen zu ermöglichen. Alle wesentlichen Punkte (verantwortliche Parteien, Aktivitäten usw.) müssen klar definiert werden – zusammen mit einem geeigneten Eskalationsverfahren und Kontaktstellen, um eine schnelle Lösung zu gewährleisten und den Normalbetrieb wiederherzustellen.

A.17.1.3 Verifizierung, Überprüfung und Bewertung der Kontinuität der Informationssicherheit

Von Zeit zu Zeit müssen die Angemessenheit und die Wirksamkeit der bestehenden Kontrollmaßnahmen bewertet werden. Es sind Tests erforderlich, um die Maßnahmen an organisatorische Änderungen und risikobasierte Anforderungen anzupassen. Die Ergebnisse der Tests müssen zur späteren Überprüfung durch Auditoren protokolliert werden.

A.17.2 Redundanzen

Ziel von A.17.2 ist es, die Verfügbarkeit von Datenverarbeitungseinrichtungen zu gewährleisten.

A.17.2.1 Verfügbarkeit von Datenverarbeitungseinrichtungen

Redundanz bezieht sich auf die Verfügbarkeit eines „Backups“ (in der Regel in einem anderen Format), das den Fortbestand von Daten im Falle eines Ausfalls sicherstellt. In der Regel handelt es sich bei redundanten Systemen um doppelt vorhandene Hardware. Die Systeme müssen regelmäßig getestet werden, um sicherzustellen, dass sie in Notfallsituationen zuverlässig funktionieren. Ihr Sicherheitsniveau muss dem der Hauptsysteme entsprechen.

Regelmäßige Tests redundanter Komponenten müssen zu Audit-Zwecken dokumentiert werden.

Fazit

Die Liste der Controls in Anhang A stellt sicher, dass im Falle einer ordnungsgemäßen Implementierung ein Business-Continuity-Plan nicht mehr zwingend notwendig ist. Obwohl ein ISO 27001-konformes ISMS mit effektiven Maßnahmen ein ideales Mittel für die Risikoprävention ist, kann es sein, dass ein Unternehmen den Notfallplan in A.17 benötigt.

Für weitere Fragen rund um die Umsetzung von Anhang A.17, aber auch allen anderen Controls der ISO 27001, stehen wir Ihnen jederzeit zur Verfügung.

 
ISO 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Jetzt kostenlos herunterladen

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren