M 2.219 Kontinuierliche Dokumentation der Informationsverarbeitung
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT
Die Informationsverarbeitung muss kontinuierlich in allen Phasen, allen Anwendungen und allen Systemen dokumentiert werden, um einen ordnungsgemäßen IT-Betrieb gewährleisten zu können. Dazu gehören:
- eine aktuelle Dokumentation aller vorhandenen IT-Systeme und deren Konfiguration (siehe M 2.25 Dokumentation der Systemkonfiguration),
- die Dokumentation der auf den jeweiligen IT-Systemen eingerichteten Benutzer und deren Rechteprofile (siehe M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile), dies umfasst auch eine Beschreibung und Begründung aller Einschränkungen bei der Nutzung von IT-Systemen (Rechte und Ressourcen),
- die neu hinzugekommenen Hard- und Softwarekomponenten müssen in der Systemdokumentation aufgeführt werden (siehe M 2.34 Dokumentation der Veränderungen an einem bestehenden System),
- die Dokumentation aller sicherheitsrelevanten Abläufe wie der Datensicherung (siehe M 6.37 Dokumentation der Datensicherung) oder der Vernichtung von Datenträgern,
- die Dokumentation der Wartungsmaßnahmen (siehe M 2.4 Regelungen für Wartungs- und Reparaturarbeiten),
- eine Beschreibung aller gefundenen und behobenen Fehler (siehe M 2.215 Fehlerbehandlung).
Die Benennung der Systemverantwortlichen (siehe M 2.26 Ernennung eines Administrators und eines Vertreters sollte ebenfalls schriftlich erfolgen und den Benutzern bekannt gegeben werden.
Für Problemfälle sollte dokumentiert sein, wer helfen kann und wo Informationen zu finden sind (M 6.59 Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen).
Prüffragen:
-
Wird die Informationsverarbeitung in allen Phasen, allen Anwendungen und allen Systemen dokumentiert?
-
Gibt es Regelungen für die Dokumentation der Informationsverarbeitung?