Redundanz von informationsverarbeitenden Einrichtungen
Was fordert dieses Control?
Die Redundanz von informationsverarbeitenden Einrichtungen, wie in Control A.8.14 von ISO 27001:2022 beschrieben, bedeutet, dass du sicherstellen musst, dass alle kritischen Systeme und Daten durch Backup-Lösungen oder alternative Systeme abgesichert sind. Dies betrifft in erster Linie Server, Datenbanken und Netzwerkinfrastrukturen. Ziel ist es, sicherzustellen, dass der Betrieb auch bei Hardware-Ausfällen oder anderen Störungen aufrechterhalten werden kann. Kopexa unterstützt dich dabei, diese Redundanzen zu verfolgen und zu implementieren, indem es dir ermöglicht, Maßnahmen mit Deadlines und Verantwortlichen zu tracken und automatisch gegen verschiedene Frameworks zu mappen.
Cross-Standard Mapping
Eine Maßnahme — mehrere Standards gleichzeitig erfüllt
Warum ist das wichtig?
Ohne Redundanzen riskierst du, dass kritische Geschäftsprozesse ins Stocken geraten oder sogar ganz ausfallen, was zu erheblichen finanziellen Verlusten und Reputationsschäden führen kann. Im schlimmsten Fall drohen regulatorische Folgen, wie Bußgelder oder der Verlust von Zertifizierungen. Diese Kontrolle erfüllt nicht nur die Anforderungen von ISO 27001, sondern deckt gleichzeitig die Vorgaben von NIS2 Art. 21(2)(c) und BSI IT-Grundschutz INF.2 ab, was dir hilft, mehrere Compliance-Anforderungen mit einer Maßnahme abzudecken.
Was der Auditor sehen will
- 1
Dokumentierte Redundanzrichtlinie
Der Auditor möchte eine Richtlinie sehen, die deine Redundanzmaßnahmen beschreibt und versioniert ist.
- 2
Nachweise von Funktionsfähigkeit der Backups
Du solltest Belege dafür liefern, dass deine Backup-Systeme regelmäßig getestet und funktionsfähig sind.
- 3
Protokolle von Stresstests
Zeige Protokolle, die dokumentieren, dass Stresstests zur Überprüfung der Systemstabilität durchgeführt wurden.
- 4
Dokumentation der Verantwortlichkeiten
Klare Zuweisung von Verantwortlichkeiten für die Wartung und Überprüfung der Redundanzmaßnahmen muss vorliegen.
Praxis-Tipps zur Umsetzung
Starte mit einem Policy-Template
Nutze ein Standard-Template für Redundanzrichtlinien, um sicherzustellen, dass alle relevanten Punkte abgedeckt sind. Tools wie Confluence helfen bei der Dokumentation.
Nutze Automatisierungstools
Setze auf Automatisierungstools wie Veeam oder Acronis für deine Backuplösungen, um regelmäßige und zuverlässige Datensicherungen zu gewährleisten.
Integriere regelmäßige Tests
Plane regelmäßige Tests deiner Redundanzmaßnahmen ein. Tools wie Jenkins können automatisierte Testläufe unterstützen.
Verantwortlichkeiten klar definieren
Nutze ein RACI-Matrix in Jira, um Verantwortlichkeiten innerhalb des Teams klar zuzuweisen und nachzuverfolgen.
Häufige Fehler
Fehlende regelmäßige Tests
Viele Organisationen erstellen Backups, testen diese jedoch nicht regelmäßig, was im Ernstfall zu bösen Überraschungen führen kann.
Unklare Verantwortlichkeiten
Ohne klare Zuordnung von Verantwortlichkeiten bleibt oft unklar, wer für die Wartung der Redundanzmaßnahmen zuständig ist. Eine RACI-Matrix kann helfen.
Keine Dokumentation von Stresstests
Ohne dokumentierte Stresstests fehlt der Nachweis für die Funktionsfähigkeit bei möglichen Audit-Anfragen.
Häufig gestellte Fragen
A.8.14 bezieht sich auf die Redundanz von informationsverarbeitenden Einrichtungen und verlangt sichere Backup- und Wiederherstellungssysteme.
Nutze Tools zur Automatisierung von Backups und regelmäßigen Tests, und halte alle Schritte in einem Dokumentationssystem wie Confluence fest.
Ein Auditor wird Richtlinien, Testprotokolle und Verantwortlichkeitsdokumentation für die Redundanzmaßnahmen sehen wollen.
Kopexa bietet dir die Möglichkeit, Maßnahmen zu tracken, Verantwortlichkeiten zuzuweisen und Redundanzen cross-standard zu mappen.
Neben ISO 27001 deckt A.8.14 auch Anforderungen aus NIS2 Art. 21(2)(c) und BSI IT-Grundschutz INF.2 ab.
Control A.8.14 effizient umsetzen
Nutze die Vorteile des Cross-Framework-Mappings von Kopexa und decke mehrere Compliance-Anforderungen mit einer Maßnahme ab.