Ein Überblick über Anhang A.17: Informationssicherheit im BCM

In Unternehmen können Schwachstellen auftreten, die zu Störungen und anderen Notfällen führen. Daher ist es wichtig, entsprechende Maßnahmen zu treffen, um solche Vorfälle zu verhindern oder im Falle von unvermeidbaren Situationen eine schnelle Wiederherstellung zu ermöglichen. Personen, Orte und Systeme müssen in die Planung der Reaktion auf unerwartete Vorfälle einbezogen werden. Anhang A.17 der ISO 27001 Maßnahmen (Controls) aus Anhang A berücksichtigt diese Faktoren, um die Informationssicherheit zu gewährleisten – auch bei unerwünschten Ereignissen.

Was ist Anhang A.17?

Anhang A.17 beschreibt die Anforderungen an das betriebliche Kontinuitätsmanagement (Business Continuity Management) eines Unternehmens im Zusammenhang mit der Informationssicherheit. Dadurch wird sichergestellt, dass der Normalbetrieb aller Prozesse, die auf Daten und Systemen basieren, während eines Disaster-Recovery-Vorfalls wieder aufgenommen werden kann. Was genau ist betriebliches Kontinuitätsmanagement, oder kurz, BCM? 

Was ist Business Continuity Management (BCM)?

Business Continuity Management oder Planning ist der Prozess, bei dem reale oder potenzielle Bedrohungen und Notfallmaßnahmen identifiziert werden, um bei Unterbrechungen des Geschäftsbetriebs die Ausfallzeiten zu minimieren. Darin inbegriffen sind Aspekte der Informationssicherheit eines Unternehmens, also Verfahren, die eine schnelle Wiederherstellung von Systemen und Daten sicherstellen. Zunächst möchten wir Sie auf die Bedeutung eines betrieblichen Kontinuitätsmanagements hinweisen und auf die Anwendung in Ihrem Unternehmen eingehen.

 

 

Warum ist Business Continuity Management für Ihr Unternehmen wichtig?

Mit einer effektiven Business Continuity-Planung kann Ihr Unternehmen im Falle unvermeidbarer oder unerwarteter Unterbrechungen des Geschäftsbetriebs sicherstellen, dass der volle Funktionsumfang schnellstmöglich wiederhergestellt wird und die Auswirkungen solcher Störungen minimiert werden. Diese Planung erfordert eine Risikobewertung und -analyse, und es müssen Maßnahmen ergriffen werden, um die Integrität, Verfügbarkeit und Vertraulichkeit von Daten in Übereinstimmung mit allen relevanten Vorschriften, Gesetzen und Richtlinien sicherzustellen.

Alles was Sie sonst noch über das Business Continuity Management wissen sollten, erfahren Sie hier.

Was sind die Controls in Anhang A.17?

Anhang A.17 umfasst vier Controls in zwei Teilgruppen. Deren Ziel ist es, die Kontinuität der Informationssicherheit sicherzustellen, zu planen und zu implementieren. Die Controls im Detail:

A.17.1 Kontinuität der Informationssicherheit

Gemäß A.17.1 sollen Richtlinien, die die Kontinuität der Informationssicherheit gewährleisten, als Teil der BCM-Prozesse des Unternehmens betrachtet und darin integriert werden.

A.17.1.1 Planung der Kontinuität der Informationssicherheit

Bei Störungen und anderen Vorfällen müssen Unternehmen ihre Anforderungen an die Kontinuität der Informationssicherheit während und nach dem Ereignis festlegen.

Ein effektiv verwaltetes ISMS verfügt möglicherweise bereits über Kontrollmechanismen, sodass ein auf A.17 basierender Katastrophenmanagementplan nicht dringend notwendig ist. Dennoch muss ein detaillierter Plan dokumentiert werden, der die Kontinuität der Informationssicherheit sicherstellt und von denselben Informationssicherheitsanforderungen ausgeht – unter normalen oder widrigen Bedingungen. Alternativ kann eine Risikoanalyse durchgeführt werden, um neue Anforderungen an die Informationssicherheit zu identifizieren, die für die Störung oder den Vorfall relevant sind.

A.17.1.2 Implementierung der Kontinuität der Informationssicherheit

Sobald die Informationssicherheitsanforderungen ermittelt wurden, muss das Unternehmen Richtlinien und Controls implementieren, um die Erfüllung dieser Anforderungen zu ermöglichen. Alle wesentlichen Punkte (verantwortliche Parteien, Aktivitäten usw.) müssen klar definiert werden – zusammen mit einem geeigneten Eskalationsverfahren und Kontaktstellen, um eine schnelle Lösung zu gewährleisten und den Normalbetrieb wiederherzustellen.

A.17.1.3 Verifizierung, Überprüfung und Bewertung der Kontinuität der Informationssicherheit

Von Zeit zu Zeit müssen die Angemessenheit und die Wirksamkeit der bestehenden Kontrollmaßnahmen bewertet werden. Es sind Tests erforderlich, um die Maßnahmen an organisatorische Änderungen und risikobasierte Anforderungen anzupassen. Die Ergebnisse der Tests müssen zur späteren Überprüfung durch Auditoren protokolliert werden.

A.17.2 Redundanzen

Ziel von A.17.2 ist es, die Verfügbarkeit von Datenverarbeitungseinrichtungen zu gewährleisten.

A.17.2.1 Verfügbarkeit von Datenverarbeitungseinrichtungen

Redundanz bezieht sich auf die Verfügbarkeit eines „Backups“ (in der Regel in einem anderen Format), das den Fortbestand von Daten im Falle eines Ausfalls sicherstellt. In der Regel handelt es sich bei redundanten Systemen um doppelt vorhandene Hardware. Die Systeme müssen regelmäßig getestet werden, um sicherzustellen, dass sie in Notfallsituationen zuverlässig funktionieren. Ihr Sicherheitsniveau muss dem der Hauptsysteme entsprechen.

Regelmäßige Tests redundanter Komponenten müssen zu Audit-Zwecken dokumentiert werden.

Fazit

Die Liste der Controls in Anhang A stellt sicher, dass im Falle einer ordnungsgemäßen Implementierung ein Business-Continuity-Plan nicht mehr zwingend notwendig ist. Obwohl ein ISO 27001-konformes ISMS mit effektiven Maßnahmen ein ideales Mittel für die Risikoprävention ist, kann es sein, dass ein Unternehmen den Notfallplan in A.17 benötigt.

Für weitere Fragen rund um die Umsetzung von Anhang A.17, aber auch allen anderen Controls der ISO 27001, stehen wir Ihnen jederzeit zur Verfügung.

 
ISO 27001 Roadmap

Roadmap zur ISO 27001 Zertifizierung

Mit unserem kostenlosen Leitfaden behalten Sie den Überblick auf dem Weg zur Zertifizierung Ihres ISMS nach ISO 27001. 

Über den Autor

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren