Gerüstet für den Katastrophenfall

Neuer ISO-Standard zur Disaster Recovery

25.03.2008
Von Nicolas Zeitler
Um bei Zwischenfällen das Geschäft am Laufen zu halten, sind systematische Vorkehrungen notwendig. Die einzelnen Schritte in der linken Spalte führen gemeinsam zu einer Senkung des Risikos. (Quelle: ISO/IEC 24762:2008)
Um bei Zwischenfällen das Geschäft am Laufen zu halten, sind systematische Vorkehrungen notwendig. Die einzelnen Schritte in der linken Spalte führen gemeinsam zu einer Senkung des Risikos. (Quelle: ISO/IEC 24762:2008)
Foto: ISO

Um die Sicherheit von Informationen zu gewährleisten müssen Dienstleister dem ISO-Standard zufolge dafür Sorge tragen, dass im IT-System eines Unternehmens gespeicherte Daten nicht über Systeme einer anderen Organisation zugänglich sind. Streng geregelt werden muss auch der Zugang von Personen zu den Gebäuden, in denen Einrichtungen zur Disaster Recovery untergebracht sind. Ein Sicherheitsdienstleister sollte auch Sorge tragen, dass Daten während der Übertragung nicht eingesehen werden können. Sollte es trotz aller Vorkehrungen doch zu Zwischenfällen kommen, sind diese laut ISO/IEC 24762:2008 sofort zu melden.

Umgang mit Datenpannen regeln

Für den Umgang mit Zwischenfällen und Schwächen bei der Informationssicherheit sollten Regelungen vorliegen. Darin sollte unter anderem festgelegt sein, wie mit Pannen umgegangen wird, wie sie protokolliert und ausgewertet werden und wie sich daraus lernen lässt.

Wichtig sind auch Vereinbarungen darüber, unter welchen Umständen ein DR-Plan in Kraft tritt. Zu regeln ist nicht nur, unter welchen Bedingungen Maßnahmen zur Disaster Recovery anlaufen, sondern auch wer befugt ist, den Notfall auszurufen und über welches Medium diese Entscheidung mitgeteilt wird.

Notfall-Mannschaften schulen

Der ISO-Standard enthält auch Empfehlungen dazu, wie die zuständigen Mitarbeiter auf ihre Aufgaben in der Disaster Recovery vorbereitet werden. Demnach sollten die Angestellten an speziellen Tranings teilnehmen und vor ihrem ersten Einsatz auch auf ihre Kompetenz geprüft werden. Neben einer einführenden Unterweisung und einer Schulung für Fortgeschrittene wird permanentes Training vorgeschlagen, um die Kenntnisse der Mannschaft immer auf dem neuesten Stand zu halten.

Entscheidend für ein erfolgreiches Eingreifen bei Katastrophen ist natürlich, dass die dabei eingesetzten Systeme funktionieren. Die entsprechenden IT-Komponenten sind regelmäßig zu überprüfen und auch dann, wenn sich zum Beispiel Anforderungen oder Strukturen in einem Unternehmen wesentlich geändert haben.

Zur Startseite