Änderungen an Informationsverarbeitungssystemen, Anwendungen, Konfigurationen oder Prozessen können erhebliche Auswirkungen auf die Informationssicherheit haben. Unkontrollierte oder unzureichend geprüfte Änderungen sind eine häufige Ursache für Sicherheitslücken, Systemausfälle oder Betriebsstörungen. Dieses Control stellt sicher, dass Änderungen systematisch geplant, bewertet, genehmigt und kontrolliert umgesetzt werden.
Zweck des Controls
A 8.32 soll gewährleisten, dass Änderungen an informationsverarbeitenden Einrichtungen kontrolliert und nachvollziehbar erfolgen. Ziel ist es, Sicherheitsrisiken durch Änderungen zu minimieren, die Stabilität des Betriebs zu gewährleisten und unbeabsichtigte Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu vermeiden.
Anforderungen und Maßnahmen
1. Festlegung eines Änderungsmanagement-Prozesses
Organisationen müssen einen formalen Prozess zur Änderungssteuerung definieren, insbesondere:
Arten von Änderungen (z. B. normal, dringend, Notfall)
Rollen und Verantwortlichkeiten
Genehmigungs- und Freigabeschritte
Dokumentationsanforderungen
Der Prozess muss dokumentiert und verbindlich sein.
2. Identifikation und Beschreibung von Änderungen
Änderungen müssen eindeutig beschrieben werden:
Zweck und Umfang der Änderung
betroffene Systeme, Anwendungen oder Prozesse
geplante Umsetzung und Zeitrahmen
verantwortliche Personen
Dies schafft Transparenz und Nachvollziehbarkeit.
3. Bewertung der Auswirkungen auf die Informationssicherheit
Vor der Umsetzung müssen Änderungen bewertet werden:
Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit
Risiken für bestehende Sicherheitsmaßnahmen
Abhängigkeiten zu anderen Systemen oder Prozessen
Notwendigkeit zusätzlicher Schutzmaßnahmen
Die Bewertung muss dokumentiert sein.
4. Genehmigung und Freigabe von Änderungen
Änderungen dürfen nur nach formaler Genehmigung umgesetzt werden:
Freigabe durch zuständige Stellen
Berücksichtigung der Sicherheitsbewertung
Ablehnung oder Anpassung bei unvertretbaren Risiken
dokumentierte Entscheidungsfindung
So wird Kontrolle sichergestellt.
5. Planung und kontrollierte Umsetzung
Die Umsetzung von Änderungen muss geplant erfolgen:
definierte Umsetzungs- und Rollback-Pläne
Durchführung durch berechtigte Personen
Umsetzung in geeigneten Zeitfenstern
Minimierung von Betriebsunterbrechungen
Dies reduziert operative Risiken.
6. Tests und Überprüfung nach Änderungen
Nach der Umsetzung müssen Änderungen überprüft werden:
Funktions- und Sicherheitstests
Überprüfung der Systemstabilität
Kontrolle der Einhaltung von Sicherheitsanforderungen
Freigabe für den regulären Betrieb
Tests stellen die Wirksamkeit sicher.
7. Umgang mit Notfall- und dringenden Änderungen
Notfalländerungen müssen gesondert geregelt sein:
klare Definition von Notfallszenarien
beschleunigte Genehmigungsprozesse
vollständige nachträgliche Dokumentation
Überprüfung und Bewertung nach Umsetzung
So bleibt Kontrolle auch in Ausnahmesituationen erhalten.
8. Dokumentation und kontinuierliche Verbesserung
Alle Änderungen müssen dokumentiert und ausgewertet werden:
Änderungsprotokolle und Freigaben
Testergebnisse und Bewertungen
Analyse von Problemen oder Vorfällen
Anpassung des Änderungsprozesses
Die Dokumentation unterstützt Audits und Lernprozesse.
Zusammenfassung
A 8.32 fordert, dass Organisationen Änderungen an informationsverarbeitenden Systemen systematisch steuern. Durch formale Änderungsprozesse, Sicherheitsbewertungen, Genehmigungen, kontrollierte Umsetzung sowie Überprüfung und Dokumentation wird sichergestellt, dass Änderungen nicht unbeabsichtigt neue Risiken für die Informationssicherheit erzeugen. Das Control ist ein zentraler Bestandteil stabiler, sicherer und nachvollziehbarer IT- und Betriebsprozesse im Informationssicherheitsmanagementsystem.
