it4management

Hallo Drivemaster, ein IT Notfallplan ist immer individuell und Teil des allgemeinen Notfallplans eines Unternehmens. In der Regel ist die IT nicht Teil des Kerngeschäftsprozesses sondern dient unterstützend. Nichts desto trotz müssen viele Dinge geregelt werden, was jedoch nicht bedeutet, dass das Dokument überladen werden sollte. Was heisst das: Anders als weiter oben geschrieben, sollten systemspezifische Information nicht in einem Notfallplan aufgeführt werden und das aus einem ganz einfachen Grund. Zum einen bekommt mann ansonsten sehr schnell ein Gesamtwerk von vielen hundert Seiten, welches ständig aktualisiert und noch viel wichtiger in der aktuellen Version verteilt werden muss. Denn je häufiger ein Dokument aktualisiert wird, desto aufwendiger ist die Lenkung des Dokuments. Zum zweiten ist ein solches Dokument sehr unhandlich. Das hat Auswirkungen auf den Freigabeprozess und im Fehlerfall auf die Händigkeit. In einem Notfallplan sollen vor allem Ansprechpartner, Zuständigkeiten, Eskalations- und Informationspläne zusammengeführt werden. Wichtig sind auch Wiederanlaufpläne und Freigabeprozesse für z.B. Hardwarebeschaffung im Notfall. Wo gibt die Hardware überhaupt bzw. wer ist da Ansprechpartner. Natürlich sind die Punkte wie Datensicherung oder Serverinformationen wichtig, nur sollten diese Infos nur aus Verweis im Dokument enthalten sein. Dies hat den einfachen Vorteil, das bei Änderungen das jeweiligen Dokument aktualisiert werden kann, ohne das der Notfallplan aktualisiert wird. Einen weiteren Punkt finde ich noch ganz wesentllich. Notfallpläne müssen lesbar, auch für nichttechniker verständlich und vor allem zu finden sein. Nicht wenige Unternehmen halten IT Notfallpläne nur elektronisch vor. Auch sollten Notfallszenarien regelmäßig geprobt werden. MfG it4management

Hallo Computan, wenn das so wie geschildert wäre, dann wäre auch der Schluß korrekt. Aber... der einzelne Benutzer hat in der Regel keinen Zugriff auf den gesamten Emailserver sondern lediglich auf ein Postfach. Natürlich sind diese Daten aufgrund verschiedener gesetzlicher Anforderungen zu schützen, jedoch kann das anders aufgefangen werden. Anhand des angeführten Beispiels kann wunderbar veranschaulicht werden, wie wichtig die Schutzbedarfsanalyse mit den einzelnen Bereichen ist. Vielleicht als ein weiteres Beispiel der mögliche physische Ort des Clients. Ein Client in der Produktion mit relativ freien Zugang ist natürlich viel stärker angreifbar als ein Client in der Personalabteilung, die z.B. als Bereich insgesamt durch ein Chipkartensystem geschützt wird und es darüber hinaus noch die organisatorische Anweisung existiert, dass Büroräume beim Verlassen immer zu verschließen sind. Ich empfehle bei der EInführung von IT-Grundschutz nach BSI immer das Problem von seiner Komplexität so stark wie möglich herunter zu brechen, so dass sich in letzter Konsequenz nur EInzelfragen ergeben. Diese können dann übertragen (vererbt) werden und ergeben dann die jeweiligen Schutzbedarfe für IT-Systeme, Räumen, Anwendungen, usw. Anbei einmal ein exemplarisches Vorgehen: BSI IT-Grundschutz in Abgrenzung zum Datenschutz MfG it4management