(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Geräte und Betriebsmittel zur Informationsverarbeitung müssen regelmäßig instand gehalten werden, um einen sicheren und zuverlässigen Betrieb zu gewährleisten. Unsachgemäße oder unkontrollierte Wartungsarbeiten können zu Sicherheitslücken, Datenverlust oder Systemausfällen führen. Dieses Control stellt sicher, dass Instandhaltungsmaßnahmen kontrolliert, sicher und nachvollziehbar durchgeführt werden.

Zweck des Controls

A 7.13 soll gewährleisten, dass Instandhaltungsarbeiten an Geräten und Betriebsmitteln die Informationssicherheit nicht beeinträchtigen. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen während und nach Wartungs- und Instandhaltungsmaßnahmen sicherzustellen.

Anforderungen und Maßnahmen

1. Festlegung von Instandhaltungsanforderungen

Organisationen müssen Anforderungen für die Instandhaltung definieren, insbesondere:

• Art und Umfang der Wartungsarbeiten
• Zuständigkeiten und Verantwortlichkeiten
• zulässige Wartungsintervalle
• Sicherheitsanforderungen während der Arbeiten

Die Anforderungen müssen dokumentiert sein.

2. Durchführung durch berechtigte Personen

Instandhaltungsarbeiten dürfen nur von berechtigten Personen durchgeführt werden:

• interne oder externe Fachkräfte
• formale Freigabe vor Beginn der Arbeiten
• Prüfung von Qualifikation und Zuverlässigkeit
• zeitliche und räumliche Begrenzung der Tätigkeiten

So wird unbefugter Zugriff vermieden.

3. Schutz von Informationen während der Instandhaltung

Während der Instandhaltung müssen Informationen geschützt werden:

• Vermeidung unnötiger Offenlegung
• Schutz vor Manipulation oder Löschung
• Einschränkung von Zugriffsrechten
• Beaufsichtigung externer Personen

Dies minimiert Sicherheitsrisiken.

4. Kontrolle externer Wartungsdienstleister

Externe Dienstleister müssen besonderen Regelungen unterliegen:

• vertragliche Verpflichtung zur Vertraulichkeit
• klare Aufgaben- und Zugriffsregelungen
• Begleitung oder Überwachung, sofern erforderlich
• Dokumentation der Tätigkeiten

So werden Risiken durch Dritte reduziert.

5. Sicherstellung der Systemintegrität nach Instandhaltung

Nach Abschluss der Arbeiten muss die Integrität geprüft werden:

• Funktions- und Sicherheitsprüfungen
• Überprüfung von Konfigurationen
• Wiederherstellung normaler Betriebszustände
• Dokumentation der Ergebnisse

Dies stellt einen sicheren Weiterbetrieb sicher.

6. Umgang mit Ersatzteilen und Wartungswerkzeugen

Ersatzteile und Werkzeuge müssen sicher gehandhabt werden:

• Schutz vor unbefugtem Zugriff
• sichere Lagerung
• Kontrolle der Verwendung
• Entsorgung defekter Teile nach Vorgaben

So werden unbeabsichtigte Risiken vermieden.

7. Dokumentation der Instandhaltungsmaßnahmen

Alle Instandhaltungsarbeiten müssen dokumentiert werden:

• Art und Zeitpunkt der Arbeiten
• beteiligte Personen oder Dienstleister
• durchgeführte Prüfungen
• festgestellte Abweichungen

Die Dokumentation ist wichtig für Nachvollziehbarkeit.

8. Überprüfung und kontinuierliche Verbesserung

Instandhaltungsprozesse müssen regelmäßig überprüft werden:

• Bewertung der Wirksamkeit
• Analyse von Vorfällen im Zusammenhang mit Wartung
• Anpassung von Verfahren bei Bedarf
• Integration von Erkenntnissen in das ISMS

So wird eine nachhaltige Umsetzung sichergestellt.

Zusammenfassung

A 7.13 fordert, dass Organisationen Instandhaltungsmaßnahmen an Geräten und Betriebsmitteln systematisch und sicher durchführen. Durch klare Anforderungen, Einsatz berechtigter Personen, Schutz von Informationen während der Arbeiten, Kontrolle externer Dienstleister sowie umfassende Dokumentation wird sichergestellt, dass Wartungs- und Instandhaltungsmaßnahmen nicht zu Informationssicherheitsrisiken führen. Das Control ist ein wichtiger Bestandteil der physischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.