M 6.33 Entwicklung eines Datensicherungskonzepts

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT, Verantwortliche der einzelnen Anwendungen

Die Verfahrensweise der Datensicherung wird von einer großen Zahl von Einflussfaktoren bestimmt. Das IT-System, das Datenvolumen, die Änderungsfrequenz der Daten und die Verfügbarkeitsanforderungen sind einige dieser Faktoren. Im Datensicherungskonzept gilt es, eine Lösung zu finden, die diese Faktoren berücksichtigt und gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist.

Die technischen Möglichkeiten, Datensicherungen durchzuführen, sind vielfältig. Jedoch wird die Auswahl immer von den genannten Faktoren bestimmt. Daher gilt es zunächst, die Einflussgrößen der IT-Systeme und der damit realisierten IT-Anwendungen zu bestimmen und nachvollziehbar zu dokumentieren. Anschließend muss die geeignete Verfahrensweise entwickelt und dokumentiert werden. Zum Abschluss muss durch die Behörden-/Unternehmensleitung die Durchführung angeordnet werden.

Das Datensicherungskonzept muss für die Gewährleistung einer funktionierenden Datensicherung die Datenrestaurierbarkeit mittels praktischer Übungen als Verpflichtung vorsehen (siehe M 6.41 Übungen zur Datenrekonstruktion).

Die Ergebnisse sollten aktualisierbar und erweiterbar in einem Datensicherungskonzept niedergelegt werden. Ein möglicher Aufbau eines Datensicherungskonzepts ist im nachfolgenden Inhaltsverzeichnis beispielhaft aufgezeigt:

Inhaltsverzeichnis Datensicherungskonzept

1. Definitionen

2. Gefährdungslage zur Motivation

3. Einflussfaktoren je IT-System

4. Datensicherungsplan je IT-System

4.1 Festlegungen je Datenart 4.2 Festlegung der Vorgehensweise bei der Datenrestaurierung

5. Minimaldatensicherungskonzept

6. Verpflichtung der Mitarbeiter zur Datensicherung

7. Sporadische Restaurierungsübungen

Einzelne Punkte dieses Datensicherungskonzepts werden in den Maßnahmen M 6.34 Erhebung der Einflussfaktoren der Datensicherung, M 6.35 Festlegung der Verfahrensweise für die Datensicherung, M 6.37 Dokumentation der Datensicherung, M 6.41 Übungen zur Datenrekonstruktion und M 2.41 Verpflichtung der Mitarbeiter zur Datensicherung näher ausgeführt, so dass nach Bearbeitung dieser Maßnahmen für jedes relevante IT-System die wesentlichen Teile eines anwenderspezifischen Datensicherungskonzepts erstellt sind.

Ergänzende Kontrollfragen: