(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Versorgungseinrichtungen wie Strom-, Klima-, Wasser- oder Kommunikationsinfrastrukturen sind essenziell für den sicheren und stabilen Betrieb von Informationsverarbeitungssystemen. Störungen oder Ausfälle dieser Einrichtungen können zu Systemunterbrechungen, Datenverlust oder Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass Versorgungseinrichtungen angemessen geschützt, überwacht und auf Ausfälle vorbereitet sind, um die Informationssicherheit zu gewährleisten.

Zweck des Controls

A 7.11 soll gewährleisten, dass Versorgungseinrichtungen, die für den Betrieb informationsverarbeitender Systeme erforderlich sind, zuverlässig, geschützt und verfügbar sind. Ziel ist es, Risiken durch Ausfälle oder Beeinträchtigungen von Versorgungseinrichtungen zu minimieren und die Verfügbarkeit sowie Integrität von Informationen und Systemen sicherzustellen.

Anforderungen und Maßnahmen

1. Identifikation kritischer Versorgungseinrichtungen

Organisationen müssen die für die Informationsverarbeitung relevanten Versorgungseinrichtungen identifizieren, insbesondere:

• Stromversorgung
• Klima- und Lüftungssysteme
• Wasser- und Abwasserversorgung
• Telekommunikations- und Netzwerkanschlüsse
• sonstige unterstützende Infrastrukturen

Die Identifikation muss risikoorientiert erfolgen.

2. Schutz vor Ausfällen und Störungen

Geeignete Maßnahmen müssen umgesetzt werden, um Versorgungseinrichtungen zu schützen:

• Redundanzen oder Ausweichlösungen
• Schutz vor Überlastung oder Manipulation
• physische Sicherung kritischer Komponenten
• Trennung sensibler Systeme von allgemeinen Versorgungsnetzen

So werden Auswirkungen von Störungen reduziert.

3. Absicherung der Stromversorgung

Die Stromversorgung muss besonders abgesichert werden:

• unterbrechungsfreie Stromversorgung (USV)
• Notstromaggregate oder alternative Energiequellen
• Überspannungs- und Blitzschutz
• kontrollierte Abschalt- und Wiederanlaufverfahren

Dies unterstützt einen stabilen Betrieb.

4. Sicherstellung geeigneter Umgebungsbedingungen

Versorgungseinrichtungen müssen geeignete Betriebsbedingungen sicherstellen:

• stabile Temperatur- und Luftfeuchtigkeitswerte
• ausreichende Kühlung für IT-Systeme
• Überwachung klimatischer Parameter
• Alarmierung bei Abweichungen

So wird die Funktionsfähigkeit von Systemen gewährleistet.

5. Überwachung und Alarmierung

Versorgungseinrichtungen müssen überwacht werden:

• kontinuierliche Überwachung kritischer Parameter
• automatische Alarmierung bei Störungen
• klare Reaktions- und Eskalationsprozesse
• Protokollierung von Ereignissen

Dies ermöglicht eine schnelle Reaktion.

6. Wartung und regelmäßige Prüfung

Versorgungseinrichtungen müssen regelmäßig gewartet werden:

• planmäßige Wartungsintervalle
• Funktionsprüfungen von USV- und Notstromsystemen
• Dokumentation der Wartungsmaßnahmen
• zeitnahe Behebung erkannter Mängel

Regelmäßige Wartung erhöht die Zuverlässigkeit.

7. Integration in Notfall- und Wiederherstellungsplanung

Versorgungseinrichtungen müssen in Notfallkonzepte integriert sein:

• Berücksichtigung in Business-Continuity- und Notfallplänen
• Definition von Wiederherstellungszeiten
• Abstimmung mit externen Versorgern
• regelmäßige Tests und Übungen

So werden Ausfallzeiten minimiert.

8. Dokumentation und Integration ins ISMS

Maßnahmen zu Versorgungseinrichtungen müssen dokumentiert sein:

• Beschreibung der Versorgungseinrichtungen
• identifizierte Risiken und Schutzmaßnahmen
• Verantwortlichkeiten und Wartungspläne
• Integration in Risiko- und Sicherheitsprozesse

Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.

Zusammenfassung

A 7.11 fordert, dass Organisationen Versorgungseinrichtungen, die für den Betrieb von Informationsverarbeitungssystemen erforderlich sind, systematisch identifizieren, schützen und überwachen. Durch Redundanzen, Überwachung, regelmäßige Wartung sowie Integration in Notfall- und Wiederherstellungsplanung wird sichergestellt, dass Ausfälle von Versorgungseinrichtungen nicht zu unkontrollierten Informationssicherheitsrisiken führen. Das Control ist ein zentraler Bestandteil der physischen Sicherheitsmaßnahmen und der betrieblichen Resilienz im Informationssicherheitsmanagementsystem.