ISO/IEC 24762
| Titel: | Informationstechnik |
| Arbeitsgebiet: | IT-Sicherheitsverfahren |
| Name des Standards: | Guidelines for information and communications technology disaster recovery services Leitfaden für Wiederherstellungsdienste für Informations- und Kommunikationstechnologien |
Inhalt und Anwendungsbereich
Die ISO/IEC 24762 definiert Anforderungen und gute Praktiken an Dienste zur Wiederherstellung (Disaster recovery services) von Informations- und Kommunikationstechnologien wie bspw. Notfall-Arbeitsplätze oder Ausweich-Rechenzentren. Die Nutzung solcher Wiederherstellungsdienste ist ein möglicher Baustein in einem umfassenden Notfallplanungskonzept und kann so zur Umsetzung der Anforderungen der ISO 27001 oder 27002 im Rahmen des Risikomanagements beitragen.
Methodik
Der Standard definiert Anforderungen, die bei der Auswahl eines Dienstleisters von Wiederherstellungsdiensten durch eine Organisation oder bei der Gestaltung von Wiederherstellungsdiensten durch den Dienstleister selbst berücksichtigt werden sollen. Die Anforderungen adressieren interne wie externe Dienstleister.
Die Anforderungen beziehungsweise guten Praktiken werden in fünf verschiedenen Kapiteln dargestellt, die jeweils einen wichtigen Teilaspekt von Wiederherstellungsdiensten behandeln:
- Organisation der Wiederherstellungsdienste
Die Organisation der Wiederherstellungsdienste umfasst die Berücksichtigung von Aktivitäten im Umfeld eines Standortes, da diese Aspekte wie Stromversorgung, Telekommunikation oder Personenverkehr beeinträchtigen können. Weiterhin werden hier Themen wie Asset Management, Entfernung Ausweich- zu Primärstandorten, Beschaffungsmanagement, Informationssicherheit, Aktivierung und Desaktivierung von Wiederherstellungsplänen oder Schulung ausgeführt.
- Physische und umgebungsbezogene Faktoren
Neben Anforderungen an die physische Auslegung eines Standortes sind auch die technischen Infrastrukturen zum Schutz vor Feuer, Wasser, Klima oder Stromausfall für eine längere Nutzung eines Standortes auszulegen. Es werden zudem Aspekte wie Standortrisiken durch Naturphänomene oder benachbarte Industrieanlagen, gute Erreichbarkeit, physische Zutrittskontrollen, physische Sicherheit oder Beschaffenheit einer Überwachungszentrale behandelt.
- Überlegungen zu outgesourcten Wiederherstellungsdiensten
Bei der Nutzung von outgesourcten Wiederherstellungsdiensten sind zusätzliche Überlegungen erforderlich wie bspw. Verfügbarkeit von Wiederherstellungsplänen auf Kundenseite, vorhandene Kompetenzen für Planung und Umsetzung, Auslegung von logischen Zugangskontrollen und Berechtigungskonzepten, Erhaltung der Betriebsfähigkeit der Systeme oder simultane Wiederherstellung für mehrere Kunden.
- Auswahl von Ausweichstandorten
Bei der Auswahl eines Standortes, um Wiederherstellungsdienste zu implementieren, sollten verschiedene Faktoren berücksichtigt werden wie beispielsweis Ausbau der lokalen Infrastrukturen für Stromversorgung, Telekommunikation, Verkehrsanbindungen. Zudem wird die lokale Verfügbarkeit ausgebildeter Experten für Wiederherstellungsdienste und von HW/SW-Anbietern genannt.
- Kontinuierliche Verbesserung
Anbieter von Wiederherstellungsdiensten sollten aktiv relevante Trends verfolgen, die Performanz ihrer Dienstleistungen regelmäßig messen, die Skalierbarkeit ihrer Dienstleistung sicherstellen und ein aktives Risikomanagement betreiben.
Weitere Anmerkungen
Im Anhang ist eine Gegenüberstellung des Standards mit den Maßnahmen aus ISO 27002, überwiegend Abschnitt 14, enthalten.
Bisherige Ausgaben
ISO/IEC 24762:2008