(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informations- und Kommunikationstechnologien (IKT) sind für die Aufrechterhaltung zentraler Geschäftsprozesse unverzichtbar. Störungen oder Ausfälle von IKT-Systemen können erhebliche Auswirkungen auf die Verfügbarkeit von Informationen, die Durchführung kritischer Prozesse und die Erfüllung vertraglicher oder regulatorischer Anforderungen haben. Dieses Control stellt sicher, dass die IKT-Bereitschaft gezielt geplant, umgesetzt und überwacht wird, um die Business Continuity der Organisation zu unterstützen.

Zweck des Controls

A 5.30 soll gewährleisten, dass IKT-Systeme und -Dienste die Anforderungen der Business Continuity unterstützen. Ziel ist es, sicherzustellen, dass kritische IKT-Komponenten im Notfall verfügbar bleiben oder innerhalb definierter Zeiträume wiederhergestellt werden können und dass Informationssicherheitsanforderungen auch in Krisen- und Ausnahmesituationen eingehalten werden.

Anforderungen und Maßnahmen

1. Identifikation kritischer IKT-Ressourcen

Organisationen müssen die IKT-Ressourcen identifizieren, die für die Business Continuity relevant sind, insbesondere:

• geschäftskritische Anwendungen und Systeme
• zentrale Infrastrukturen (z. B. Netzwerke, Rechenzentren, Cloud-Dienste)
• Kommunikationssysteme
• Schnittstellen zu externen Dienstleistern oder Kunden
• Daten und Informationsbestände mit hohem Verfügbarkeitsbedarf

Diese Ressourcen sind risikoorientiert zu bewerten.

2. Abstimmung mit Business-Continuity-Anforderungen

Die IKT-Bereitschaft muss mit den Anforderungen des Business-Continuity-Managements abgestimmt sein:

• Definition von Wiederanlaufzeiten (RTO)
• Definition von maximal tolerierbaren Datenverlusten (RPO)
• Priorisierung von Systemen und Diensten
• Berücksichtigung geschäftlicher und regulatorischer Anforderungen

So wird sichergestellt, dass IKT-Maßnahmen den Geschäftsanforderungen entsprechen.

3. Planung von IKT-Notfall- und Wiederherstellungsmaßnahmen

Organisationen müssen geeignete Maßnahmen für Notfall und Wiederherstellung planen, zum Beispiel:

• Backup- und Wiederherstellungsverfahren
• Redundanzen und Ausweichlösungen
• Notfallarbeitsplätze oder alternative Betriebsformen
• Verfahren zur Wiederherstellung von Anwendungen und Daten

Die Maßnahmen müssen dokumentiert und regelmäßig überprüft werden.

4. Sicherstellung der Informationssicherheit im Notfall

Auch im Notfall müssen Informationssicherheitsanforderungen eingehalten werden:

• Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen
• kontrollierte Nutzung von Notfall- oder Ausnahmerechten
• sichere Wiederherstellung von Daten und Systemen
• Schutz von Backup- und Notfallsystemen

Notfallmaßnahmen dürfen keine dauerhaften Sicherheitslücken erzeugen.

5. Einbindung von Lieferanten und externen Dienstleistern

Die IKT-Bereitschaft muss Lieferanten und externe Parteien berücksichtigen:

• Abstimmung von Notfall- und Wiederherstellungsanforderungen
• vertragliche Regelungen zu Verfügbarkeit und Wiederanlauf
• Berücksichtigung von Abhängigkeiten in der Lieferkette
• Überprüfung der Notfallfähigkeit externer Dienstleister

So werden Risiken aus externen Abhängigkeiten reduziert.

6. Tests und Übungen der IKT-Bereitschaft

Die Wirksamkeit der IKT-Bereitschaft muss regelmäßig überprüft werden:

• Durchführung von Notfalltests oder Wiederherstellungsübungen
• Überprüfung der Erreichbarkeit von RTO- und RPO-Zielen
• Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen
• Dokumentation von Ergebnissen und Abweichungen

Tests sind essenziell, um Schwachstellen frühzeitig zu erkennen.

7. Schulung und Sensibilisierung

Beteiligte Mitarbeitende müssen auf ihre Aufgaben vorbereitet sein:

• Schulungen zu Notfall- und Wiederherstellungsprozessen
• klare Rollen- und Aufgabenbeschreibungen
• Sensibilisierung für Informationssicherheitsanforderungen im Notfall
• regelmäßige Auffrischungen und Übungen

Dies stellt eine koordinierte Umsetzung sicher.

8. Dokumentation und kontinuierliche Verbesserung

Alle Aspekte der IKT-Bereitschaft müssen dokumentiert werden:

• Notfall- und Wiederherstellungspläne
• Ergebnisse von Tests und Übungen
• identifizierte Schwachstellen und Maßnahmen
• Integration in Management Reviews und Verbesserungsprozesse

So bleibt die IKT-Bereitschaft dauerhaft wirksam und aktuell.

Zusammenfassung

A 5.30 fordert, dass Organisationen ihre IKT-Bereitschaft systematisch planen und umsetzen, um die Business Continuity zu unterstützen. Durch die Identifikation kritischer IKT-Ressourcen, Abstimmung mit Business-Continuity-Anforderungen, Planung von Notfall- und Wiederherstellungsmaßnahmen, regelmäßige Tests sowie kontinuierliche Verbesserung wird sichergestellt, dass IKT-Ausfälle die Geschäftsfortführung nicht unkontrolliert beeinträchtigen. Das Control ist ein zentraler Baustein für Resilienz und Verfügbarkeit im Informationssicherheitsmanagementsystem.