ISO 27002 - Kapitel 5.30 IKT-Bereitschaft für die Geschäftskontinuität
Im Rahmen des Kapitels 5.30 behandelt die ISO 27002 die IKT-Bereitschaft für die Geschäftskontinuität von Organisationen. IKT wird als Abkürzung für Informations- und Kommunikationstechnologien verwendet. Geschäftskontinuität ist die Fähigkeit einer Organisation, ihre geschäftlichen Aktivitäten aufrechtzuerhalten und die Informationssicherheit auch unter widrigen Umständen zu gewährleisten. Dies beinhaltet den Umgang mit verschiedenen Bedrohungen, die den normalen Betrieb beeinträchtigen könnten, wie beispielsweise Naturkatastrophen, technische Ausfälle, Cyberangriffe oder menschliches Versagen.
Im Rahmen der IKT-Kontinuität bzw. Bereitschaft geht es also um Maßnahmen und Prozesse, die sicherstellen, dass Informationen auch in unvorhergesehenen Situationen oder bei Störungen der IT-Infrastruktur geschützt bleiben. Im Folgenden werden einige Maßnahmen vorgestellt, die zu einer gelungenen Planung, Umsetzung, Aufrechterhaltung und Kontrolle der IKT-Anforderungen beitragen.
Technische und organisatorische Maßnahmen bei der IKT-Bereitschaft
Festlegung von Zuständigkeiten und Verantwortlichkeiten
Es ist wichtig, klare Zuständigkeiten und Verantwortlichkeiten für die IKT-Bereitschaft festzulegen. Dies umfasst die Benennung eines Business Continuity Managers oder eines ähnlichen Verantwortlichen, der die Gesamtverantwortung für die IKT-Bereitschaft trägt und eng mit anderen relevanten Abteilungen zusammenarbeitet.
Entwicklung eines Business Continuity Plans (BCP)
Ein BCP ist ein umfassendes Dokument, das die Maßnahmen und Verfahren beschreibt, die bei einer Störung oder Krise ergriffen werden müssen, um die Geschäftskontinuität aufrechtzuerhalten. Der BCP sollte spezifische Anforderungen für die IKT-Bereitschaft und IKT-Kontinuitätsstrategien enthalten, einschließlich Backup- und Wiederherstellungsverfahren, Kommunikationspläne und Testverfahren.
Regelmäßige Risikobewertung und -analyse
Eine kontinuierliche Überwachung und Bewertung der Risiken im Zusammenhang mit der IKT-Bereitschaft sind unerlässlich. Organisationen sollten also regelmäßig Risikobewertungen durchführen, um potenzielle Schwachstellen zu identifizieren und angemessene Maßnahmen zur Risikominderung zu ergreifen. Dies umfasst auch die Identifizierung von Bedrohungen und die Bewertung ihrer Auswirkungen auf die Geschäftskontinuität. Die Ergebnisse sollten vom Management getragen werden.
Geschäftsauswirkungsanalyse (BIA)
Nachdem etwaige Risiken identifiziert wurden, sollte eine Auswirkungsanalyse stattfinden. Welche Vorkommnisse können welche Auswirkungen auf bestimmte Geschäftsbereiche oder die Organisation insgesamt haben? Bei der Bewertung sollten sich Organisationen Auswirkungstypen und -kriterien bedienen und anhand von Ausmaß und Dauer eine Priorisierung von Aktivitäten vornehmen. Diesen sollen Wiederherstellungszeitziele zugeordnet und entsprechende Ressourcen zu Umsetzung bestimmt werden.
Angemessene Organisationsstruktur
Organisationen haben sicherzustellen, dass sie den Anforderungen und Maßnahmen ihrer eigenen ITK-Kontinuitätspläne gerecht werden können. Dafür ist es erforderlich, eine hinreichende Organisationsstruktur zu implementieren.
Schulungen und Sensibilisierung
Mitarbeiter spielen eine entscheidende Rolle bei der Umsetzung der IKT-Bereitschaft für die Geschäftskontinuität. Organisationen sollten Schulungen und Sensibilisierungsmaßnahmen durchführen, um das Bewusstsein für die Bedeutung der IKT-Bereitschaft zu schärfen und sicherzustellen, dass Mitarbeiter die relevanten Verfahren und Richtlinien verstehen und befolgen.
Testen und Überprüfen
Die Effektivität der IKT-Bereitschaft kann nur durch regelmäßige Tests und Überprüfungen sichergestellt werden. Organisationen sollten Testverfahren entwickeln und durchführen, um die Wirksamkeit ihrer Maßnahmen zu bewerten und mögliche Schwachstellen zu identifizieren. Die Ergebnisse sollten analysiert und in den Business Continuity Plan einbezogen werden, um kontinuierliche Verbesserungen zu ermöglichen.
Geschäftskontinuität in der ISO 27002
Die Planung der Geschäftskontinuität ist von entscheidender Bedeutung, um die relevanten Prozesse auch in Zeiten von Störungen oder Krisen aufrechterhalten zu können. Die Informationstechnologie und Kommunikationstechnologie (IKT) spielt dabei eine zentrale Rolle, da sie die Grundlage für viele Geschäftsprozesse bildet. Die Umsetzung der IKT-Bereitschaft für die Geschäftskontinuität erfordert somit eine umfassende Herangehensweise. Die oben vorgestellten Maßnahmen können dazu beitragen, die IKT-Bereitschaft zu verbessern und die Auswirkungen von Störungen oder Krisen auf Geschäftsprozesse zu minimieren. Weitere Informationen zur IKT-Bereitschaft sind der ISO 27002 sowie der ISO/IEC 27031 zu entnehmen.