Logo der activeMind AG

ISO 27002Kapitel 5.37 Dokumentierte Betriebsabläufe

Die Sicherstellung eines ordnungsgemäßen und sicheren Betriebs von informationsverarbeitenden Einrichtungen ist Kernanliegen der ISO 27002. In Kapitel 5.37 gibt die Norm Anregungen dazu, wie geeignete dokumentierte Verfahren erstellt werden können.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Wenn Organisationen sicherstellen wollen oder müssen, dass Prozesse von allen mit der Durchführung betrauten Personen zuverlässig und in gleicher Weise umgesetzt werden, ist eine saubere Dokumentation unerlässlich.

Die weitverbreitete Praxis, darauf zu setzen, dass das eingesetzte Personal doch immerhin fachkundig ist und gesunden Menschenverstand besitzt, hilft selten ins Ziel und wenn, dann doch eher zufällig und meist nicht auf vergleichbaren Wegen. Aber auch das unerschütterliche Vertrauen in die Fachkunde einer konkreten Person kann sich schnell fatal auswirken, wenn diese Person – aus welchen Gründen auch immer – nicht mehr zur Verfügung steht und damit auch ihr Wissen verloren ist.

Nur Prozesse, die einen angemessenen Reifegrad aufweisen, werden sich personenunabhängig und gleichartig umsetzen lassen.

Welche Ratschläge gibt Kapitel 5.37 der ISO 27002?

Die Norm gibt verschiedene Denkanstöße, was bei den Überlegungen zur Ausarbeitung dokumentierter Verfahren berücksichtigt werden sollte. Diese werden hier zusammenfassend kurz dargestellt:

Warum besteht der Regelungsbedarf konkret?

  • Muss sichergestellt werden, dass eine Tätigkeit von beliebig vielen Personen stets gleichartig ausgeführt wird? Neben den Gesichtspunkten, dass gegebenenfalls gesetzliche oder andere Vorgaben bestehen, hat eine Organisation ja gegebenenfalls auch ein erhebliches Interesse daran, dass ein Prozess möglichst ressourcenschonend umgesetzt wird.
  • Handelt es sich um eine Tätigkeit, die nur so selten vorkommt, dass das korrekte oder sinnvolle Vorgehen nicht mehr zuverlässig in Erinnerung ist? Zu denken ist hier insbesondere an Notfallszenarien, bei denen keine Zeit zur Einarbeitung und zur gedanklichen Rekonstruktion besteht.
  • Geht es um einen neuen und möglicherweise riskanten Bereich, bei dem das eingesetzte Personal nicht sicher auf ihre bisherige Erfahrung und Übung zurückgreifen kann?
  • Soll neues Personal eingesetzt werden, dem Tätigkeit und Praxis innerhalb der Organisation bislang unbekannt sind? Eine saubere, verständliche und adressatengerechte Dokumentation hilft nebenbei auch, die Einarbeitung zu erleichtern und damit Ressourcen zu sparen.

Welche Aussagen sollte eine Regelung unter anderem enthalten?

  • Wer ist konkret für was verantwortlich? Wie auch sonst, sollte klar und eindeutig bestimmt sein, wem welche Aufgabe zugewiesen ist.
  • Vorgaben für die sichere Installation und Konfiguration. Sinnvoll ist eine Vorgabe, an der sich eine grundsätzlich fachkundige Person von Anfang bis Ende klar orientieren kann.
  • Vorgaben für die Sicherung und die Ausfallsicherheit
  • Angaben zur Einsatzzeit und damit auch zur Abhängigkeit von anderen Systemen. Besondere Anforderungen des einen Systems schlagen meist auf andere Systeme oder Komponenten durch.
  • Welche Rahmenbedingungen gelten für Neustart von Systemen oder auch für deren Wiederherstellung? In diesem Zusammenhang ist beispielsweise eine Prognose wichtig, wie lange benötigte Ressourcen den Mitarbeitern nicht zur Verfügung stehen. Aber auch die Frage, wer unter welchen Umständen die Wiederherstellung eines Systems anordnen darf, kann kritisch sein. Immerhin könnten dadurch zumindest einige jüngere Arbeitsergebnisse möglicherweise verloren gehen.
  • Aussagen zur zulässigen und gegebenenfalls unzulässigen Verarbeitung von Informationen; gerade beispielsweise große, weltweit angebotene SaaS-Lösungen bieten unter Umständen Funktionen, deren Einsatz nach der eigenen Rechtsordnung nicht rechtmäßig möglich ist, die aber auch nicht unterdrückt werden können.
  • Vorgaben zur Behandlung von Fehlern oder außergewöhnlichen Bedingungen. Wer ist Ansprechpartner für normale Supportfälle und an wen wird ein Problem gegebenenfalls eskaliert? Wem obliegt die Wartung?
  • Wie erfolgt Überwachung und Monitoring von Systemen und wie werden die dabei anfallenden Daten verwaltet?

Wie in nahezu allen anderen Bereichen auch, muss selbstverständlich ebenfalls darauf geachtet werden, dass alle Dokumentationen aktuell sind und bei relevanten Änderungen angepasst werden.

Fazit: Dokumentation gehört in die richtigen Hände

In der Praxis zeigt sich regelmäßig, dass die hier besprochenen Dokumente oft nicht oder nur unvollständig vorhanden sind und auch aktuellen Bedürfnissen nicht entsprechen. Nicht selten liegt dies auch daran, dass die Erstellung der Regelungen Personen aufgegeben wird, die weder Erfahrung noch Motivation zur Aufbereitung mitbringen. Gerade in Ernstfällen rächt sich aber mangelhafte Dokumentation teilweise bitter und ernsthaft.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG hat bei der Arbeit für Unternehmen verschiedenster Branchen und Größen ein breites Portfolio an Vorlagen für Dokumentationen erstellt und über die Jahre hinweg stetig optimiert. Dadurch befähigen wir unsere Kunden zu einer einfachen und effektiven Dokumentation relevanter Betriebsabläufe und stellen so sicher, dass die wichtigen Informationen immer allen Stakeholdern zur Verfügung stehen.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.