Die Sicherung von Informationen ist eine grundlegende Maßnahme zur Gewährleistung der Verfügbarkeit und Integrität von Informationen. Ohne geeignete Sicherungsmaßnahmen können Informationen durch technische Fehler, menschliche Fehlhandlungen, Schadsoftware oder physische Ereignisse verloren gehen. Dieses Control stellt sicher, dass Informationen regelmäßig gesichert und im Bedarfsfall zuverlässig wiederhergestellt werden können.
Zweck des Controls
A 8.13 soll gewährleisten, dass Informationen und informationsverarbeitende Systeme durch geeignete Sicherungsmaßnahmen geschützt sind. Ziel ist es, Datenverluste zu verhindern, die Wiederherstellbarkeit sicherzustellen und die Auswirkungen von Störungen oder Sicherheitsvorfällen zu minimieren.
Anforderungen und Maßnahmen
1. Festlegung einer Sicherungsstrategie
Organisationen müssen eine Sicherungsstrategie definieren, insbesondere:
Ziele der Informationssicherung
zu sichernde Informationen und Systeme
Sicherungsintervalle und -arten
Aufbewahrungsfristen
Verantwortlichkeiten
Die Strategie muss dokumentiert und bekannt sein.
2. Identifikation und Klassifizierung zu sichernder Informationen
Zu sichernde Informationen müssen identifiziert werden:
Berücksichtigung der Informationsklassifizierung
Priorisierung kritischer Informationen
Abhängigkeiten zwischen Daten und Systemen
Anforderungen aus Geschäftsprozessen
Dies stellt eine risikoorientierte Sicherung sicher.
Die Aufbewahrung von Sicherungen muss geregelt sein:
Festlegung sicherer Speicherorte
Trennung von Produktionssystemen
Berücksichtigung externer oder ausgelagerter Standorte
Einhaltung rechtlicher Anforderungen
So werden Risiken durch Standortausfälle reduziert.
6. Wiederherstellung und Tests
Die Wiederherstellbarkeit muss regelmäßig geprüft werden:
Durchführung von Wiederherstellungstests
Überprüfung der Datenintegrität
Dokumentation der Testergebnisse
Anpassung der Sicherungsstrategie bei Bedarf
Tests sind entscheidend für Wirksamkeit.
7. Umgang mit Änderungen und Ausnahmen
Änderungen an Sicherungsprozessen müssen geregelt sein:
Anpassung bei System- oder Prozessänderungen
dokumentierte Ausnahmen
Bewertung der Auswirkungen auf die Sicherheit
Genehmigung durch zuständige Stellen
So bleibt die Sicherung aktuell.
8. Dokumentation und Integration ins ISMS
Sicherungsmaßnahmen müssen dokumentiert sein:
Sicherungsstrategie und Verfahren
Nachweise über Sicherungen und Tests
Verantwortlichkeiten
Integration in Risiko- und Sicherheitsprozesse
Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.
Zusammenfassung
A 8.13 fordert, dass Organisationen Informationen systematisch sichern, um Datenverluste zu vermeiden und die Wiederherstellbarkeit sicherzustellen. Durch eine klare Sicherungsstrategie, regelmäßige Sicherungen, Schutz der Sicherungskopien, regelmäßige Tests sowie umfassende Dokumentation wird sichergestellt, dass Informationen auch bei Störungen oder Sicherheitsvorfällen verfügbar bleiben. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
