VDA ISA 6.0.2

TISAX® Kapitel 5.2.8
Inwieweit ist eine Kontinuitätsplanung für IT-Dienste vorhanden?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Kontinuitäts- (einschließlich Kontingenz)-Planung für IT-Dienste ist Teil eines Gesamtprogramms zum Erreichen der Kontinuität des Betriebs für die Mission der Organisation und geschäftskritische Funktionen. In Kontinuitätsplänen behandelte Maßnahmen schließen die geregelte Leistungsverringerung des Systems (en: system degradation), einen System-Shutdown, den Rückgriff auf einen manuellen Modus, alternative Informationsströme und den Betrieb in Betriebsarten ein, die für das Auftreten eines Sicherheitsvorfalls vorbehalten sind.

Anforderungen

Muss
Kritische IT-Dienste werden identifiziert, und die geschäftlichen Auswirkungen werden betrachtet.
Muss
Anforderungen und Verantwortlichkeiten für die Kontinuität und Wiederherstellung dieser IT-Dienste sind den maßgeblichen Beteiligten bekannt und werden erfüllt.
Sollte
Kritische IT-Systeme werden identifiziert
Sollte
die maßgeblichen Systeme sind nach dem entsprechenden Schutzbedarf klassifiziert
Sollte
angemessene und geeignete Sicherheitsmaßnahmen werden umgesetzt
Sollte
Die Kontinuitätsplanung schließt mindestens die folgenden Szenarien ein, welche kritische IT-Systeme betreffen:
Sollte
(Distributed) Denial-of-Service-Angriffe
Sollte
Erfolgreiche Ransomware-Angriffe und andere Sabotageaktivitäten
Sollte
Systemausfall
Sollte
Naturkatastrophe
Sollte
Bei der Kontinuitätsplanung werden die folgenden Fälle berücksichtigt:
Sollte
Alternative Kommunikationsstrategien, falls primäre Kommunikationsmittel nicht verfügbar sind
Sollte
Alternative Speicherungsstrategien, falls primäre Mittel zur Speicherung nicht verfügbar sind
Sollte
Alternative Energieversorgung und alternatives Netzwerk
Sollte
Die Kontinuitätsplanung wird regelmäßig überprüft und aktualisiert
Schutzbedarf hoch
Kontinuitätsplanung schließt vordefinierte Zeitrahmen (Zeitvorgabe für die Wiederherstellung, en: Recovery Time Objective) für die Wiederaufnahme des Betriebs in Übereinstimmung mit den Anforderungen ein. (A)
Schutzbedarf hoch
Es sind angemessene SLAs (Dienstleistungsgüte-Verreinbarungen, en: Service Level Agreements) mit externen Dienstleistern ensprechend der Kontinuitätsplanung vorhanden. (A)
Schutzbedarf hoch
Kontinuitätspläne schließen die Abstimmung der vertraglich vereinbarten Kommunikation mit Geschäftspartnern ein (A)
Schutzbedarf hoch
Die Kontinuitätsplanung wird regelmäßig einschließlich einer vollständigen Wiederherstellung und Rückversetztung des Systems in einen bekannten Zustand und der Übereinstimmung mit festgelegten Zeitvorgaben geprüft. (A)
Schutzbedarf hoch
Eine Sicherungs
Schutzbedarf hoch
und Wiederherstellungsstrategie für kritische IT-Dienste und Informationen ist definiert und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
Schutzbedarf hoch
Backups sind vor unbefugter Änderung oder Löschung durch Schadsoftware geschützt. (I, A)
Schutzbedarf hoch
Backups sind vor unbefugtem Zugriff durch Schadsoftware oder deren Betreiber geschützt (C, I)
Bei Sehr Hoch
Die Kontinuitätsplanung wird mit den Kontinuitätsplänen der maßgeblichen organisationsfremden Dienstleister abgestimmt. (A)
Bei Sehr Hoch
Die Fortführung des zentralen Auftrags und der wesentlichen Geschäftsfunktionen ist mit geringstmöglichem oder ohne Verlust der Betriebskontinuität möglich. Der Plan zur Fortführung des zentralen Auftrags und der wesentlichen Geschäftsfunktionen berücksichtigt die folgenden Aspekte:
Bei Sehr Hoch
Alternative betriebliche Strategien und notwendige separate Standby-Systeme, um den Betrieb im möglichen Umfang aufrechtzuerhalten und/oder wiederaufzunehmen, falls kritische IT-Dienste nicht verfügbar werden. (A)
Bei Sehr Hoch
Alternative Speicher
Bei Sehr Hoch
und Backup-Orte, die gleichwertige Steuerungen wie der primäre Ort bieten. (C, I, A)
Bei Sehr Hoch
Die Kontinuitätsplanung wird regelmäßig geprüft. Prüfungen und alle gewonnenen Erkenntnisse werden dokumentiert. (I, A)

Umsetzung

Kontinuitätsplanung für IT-Dienste nach TISAX

Die Sicherstellung der Kontinuität kritischer IT-Dienste erfordert eine strukturierte Vorgehensweise, die mit einer gründlichen Identifikation und Klassifikation dieser Dienste beginnt. Unternehmen sollten zuerst eine Liste der IT-Dienste erstellen, die für die Aufrechterhaltung der wesentlichen Geschäftsprozesse unerlässlich sind. Diese Dienste müssen anschließend hinsichtlich ihrer geschäftlichen Auswirkungen bei einem Ausfall analysiert werden.

Nachdem die kritischen IT-Dienste identifiziert sind, ist es erforderlich, sie nach ihrem Schutzbedarf zu klassifizieren und entsprechende Sicherheitsmaßnahmen zu implementieren. Dabei sollten Szenarien wie Denial-of-Service-Angriffe, Ransomware-Angriffe, Systemausfälle und Naturkatastrophen berücksichtigt werden. Die Planung muss alternative Strategien für Kommunikation, Speicherung sowie Energieversorgung und Netzwerk umfassen und sollte auch die Einführung robuster Backup-Prozesse beinhalten, um Daten vor unbefugter Änderung oder Löschung zu schützen.

Zuständigkeiten für die Wiederherstellung und fortlaufende Verfügbarkeit müssen klar definiert und kommuniziert werden, damit alle Beteiligten ihre Rollen und Verantwortlichkeiten kennen. Essentiell ist auch die Festlegung von Recovery Time Objectives (RTOs), um die maximale tolerierbare Dauer eines IT-Dienstausfalls zu bestimmen, sowie die Einrichtung von Service Level Agreements (SLAs) mit externen Dienstleistungsanbietern, die diese Anforderungen unterstützen.

Die Effektivität der Kontinuitätspläne sollte regelmäßig durch Tests und Übungen überprüft werden, die eine vollständige Wiederherstellung der IT-Systeme in einem vordefinierten, bekannten Zustand einschließen. Diese Prüfungen müssen dokumentiert werden, um Einblicke in mögliche Verbesserungsbereiche zu gewähren. Bei einem sehr hohen Schutzbedarf ist es zudem notwendig, die Kontinuitätspläne mit den Plänen organisationsfremder Dienstleister zu koordinieren.

Für den Fall, dass kritische IT-Dienste nicht verfügbar sind, sollen Unternehmen über alternative betriebliche Strategien und Standby-Systeme verfügen, die es ermöglichen, den Betrieb aufrechtzuerhalten oder rasch wieder aufzunehmen. Auf diese Weise kann sichergestellt werden, dass der zentrale Auftrag und wesentliche Geschäftsfunktionen mit minimalem oder gar keinem Verlust der Betriebskontinuität fortgeführt werden können.

  • Implementierung eines strukturierten Bewertungsprozesses für IT-Dienste
  • Einführung von robusten Sicherheits- und Backup-Lösungen
  • Klare Definition und Kommunikation von Wiederherstellungsverantwortlichkeiten
  • Regelmäßige Überprüfung und Testung der Kontinuitätsplanung
  • Abstimmung mit externen Dienstleistern und Dokumentation aller Maßnahmen

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde