März 5, 2026

Anhang A 5.37 Dokumentierte Bedienabläufe

Dokumentierte Bedienabläufe sind eine wesentliche Voraussetzung für den sicheren, konsistenten und nachvollziehbaren Betrieb von Informationsverarbeitungssystemen. Fehlende oder unzureichende Dokumentation kann zu Bedienfehlern, Sicherheitslücken, Abhängigkeiten von einzelnen Personen und erhöhten Ausfallrisiken führen. Dieses Control stellt sicher, dass relevante Betriebs- und Bedienabläufe dokumentiert, verfügbar, aktuell und verständlich sind.

Zweck des Controls

A 5.37 soll gewährleisten, dass sicherheitsrelevante Bedien- und Betriebsabläufe klar definiert und dokumentiert sind. Ziel ist es, einen zuverlässigen und reproduzierbaren Betrieb von Systemen sicherzustellen, Fehler zu vermeiden, Sicherheitsanforderungen konsequent umzusetzen und den Wissenstransfer innerhalb der Organisation zu unterstützen.

Anforderungen und Maßnahmen

1. Identifikation dokumentationspflichtiger Abläufe

Organisationen müssen festlegen, welche Bedien- und Betriebsabläufe zu dokumentieren sind, insbesondere:

  • Betrieb und Administration von IT-Systemen und Anwendungen
  • Start-, Stopp- und Wiederherstellungsprozesse
  • Backup- und Wiederherstellungsverfahren
  • Sicherheitsrelevante Konfigurations- und Änderungsabläufe
  • Notfall- und Ausnahmeregelungen

Die Auswahl muss risikoorientiert erfolgen.

2. Inhaltliche Anforderungen an die Dokumentation

Dokumentierte Bedienabläufe müssen angemessene Inhalte umfassen, zum Beispiel:

  • Zweck und Geltungsbereich des Ablaufs
  • klare Schritt-für-Schritt-Anleitungen
  • erforderliche Rollen und Verantwortlichkeiten
  • eingesetzte Systeme, Werkzeuge oder Schnittstellen
  • sicherheitsrelevante Hinweise und Kontrollpunkte

Die Dokumentation muss verständlich und eindeutig sein.

3. Berücksichtigung von Informationssicherheitsanforderungen

Bedienabläufe müssen Informationssicherheitsanforderungen integrieren:

  • Vorgaben zu Zugriffskontrollen und Berechtigungen
  • sichere Handhabung von Informationen und Daten
  • Schutz von Authentifizierungsinformationen
  • Vermeidung von Fehlkonfigurationen oder Umgehungen

So wird sichergestellt, dass Sicherheit fester Bestandteil des Betriebs ist.

4. Zugänglichkeit und Verfügbarkeit der Dokumentation

Die Dokumentation muss für berechtigte Personen verfügbar sein:

  • zentrale, kontrollierte Ablage
  • Schutz vor unbefugtem Zugriff oder Veränderung
  • Verfügbarkeit auch in Störungs- oder Notfallsituationen
  • Berücksichtigung von Vertraulichkeit und Klassifizierung

Dies unterstützt einen sicheren und kontinuierlichen Betrieb.

5. Pflege und Aktualisierung der Dokumentation

Dokumentierte Bedienabläufe müssen aktuell gehalten werden:

  • regelmäßige Überprüfung auf Aktualität
  • Anpassung bei Änderungen von Systemen oder Prozessen
  • Versionierung und Nachvollziehbarkeit von Änderungen
  • klare Verantwortlichkeiten für die Pflege

Veraltete Dokumentationen stellen ein Sicherheitsrisiko dar.

6. Integration in Schulung und Einarbeitung

Dokumentierte Abläufe müssen in Qualifizierungsmaßnahmen eingebunden werden:

  • Nutzung bei Schulungen und Einarbeitung
  • Unterstützung bei Vertretungs- oder Rollenwechseln
  • Sicherstellung einheitlicher Vorgehensweisen
  • Reduzierung von Abhängigkeiten von Einzelpersonen

So wird Wissen nachhaltig gesichert.

7. Kontrolle der Einhaltung dokumentierter Abläufe

Die Einhaltung dokumentierter Bedienabläufe muss überprüft werden:

  • Stichproben oder Reviews im laufenden Betrieb
  • Überprüfung im Rahmen interner Audits
  • Bewertung von Abweichungen oder Fehlbedienungen
  • Ableitung von Verbesserungsmaßnahmen

Dies stellt sicher, dass Dokumentationen auch tatsächlich angewendet werden.

8. Dokumentation und kontinuierliche Verbesserung

Der Umgang mit dokumentierten Bedienabläufen muss selbst dokumentiert und verbessert werden:

  • Nachweise über Erstellung, Überprüfung und Änderungen
  • Berücksichtigung von Erfahrungen aus dem Betrieb
  • Integration von Lessons Learned aus Vorfällen
  • Einbindung in Management Reviews

So bleiben Bedienabläufe wirksam und praxisnah.

Zusammenfassung

A 5.37 fordert, dass sicherheitsrelevante Bedien- und Betriebsabläufe dokumentiert, verfügbar und aktuell sind. Durch klare Anleitungen, Integration von Informationssicherheitsanforderungen, geregelte Pflege, Schulung der Mitarbeitenden sowie regelmäßige Überprüfung wird ein sicherer, konsistenter und nachvollziehbarer Betrieb von Informationsverarbeitungssystemen gewährleistet. Das Control trägt wesentlich zur Betriebssicherheit, Wissenssicherung und Wirksamkeit des Informationssicherheitsmanagementsystems bei.