Klausel 8: Betrieb

Klausel 8 – Betrieb

Jetzt wird gehandelt. Klausel 8 ist die „Do"-Phase des PDCA-Zyklus: Die in Klausel 6 gemachten Pläne werden in die Tat umgesetzt. Sie ist erstaunlich kurz – weil sie auf den Prozessen aus Klausel 6 aufbaut.

8.1 Betriebliche Planung und Steuerung

Die Organisation muss die Prozesse planen, umsetzen und steuern, die nötig sind, um die Sicherheitsanforderungen zu erfüllen und die Maßnahmen aus Klausel 6 umzusetzen. Dazu gehört:

• Kriterien für die Prozesse festlegen und danach steuern;
• dokumentierte Information in dem Maß vorhalten, das Vertrauen schafft, dass Prozesse wie geplant laufen;
• geplante Änderungen steuern und unbeabsichtigte Änderungen samt Folgen überprüfen;
• ausgegliederte Prozesse (Outsourcing) bestimmen und kontrollieren.

Der letzte Punkt ist wichtig: Auslagern entbindet nicht von der Verantwortung – siehe Lieferantenbeziehungen.

8.2 Risikobeurteilung durchführen

Während 6.1.2 den Prozess definiert, verlangt 8.2 die tatsächliche Durchführung der Risikobeurteilung – in geplanten Abständen oder bei wesentlichen Änderungen. Die Ergebnisse werden dokumentiert.

8.3 Risikobehandlung umsetzen

Entsprechend setzt 8.3 den Risikobehandlungsplan um. Auch hier: dokumentierte Information über die Ergebnisse aufbewahren.

Das Zusammenspiel Klausel 6 ↔ 8

Klausel 6 (PLAN)              Klausel 8 (DO)
─────────────────             ──────────────
6.1.2 Prozess definieren  ──► 8.2 Risikobeurteilung durchführen
6.1.3 Plan erstellen      ──► 8.3 Risikobehandlung umsetzen
6.2   Ziele setzen        ──► 8.1 Prozesse steuern & Maßnahmen leben

Wo die Maßnahmen sichtbar werden

In Klausel 8 erwachen die Anhang-A-Maßnahmen zum Leben: Backups laufen, Zugänge werden verwaltet, Vorfälle werden behandelt, Patches eingespielt. Die Norm-Klausel selbst bleibt abstrakt – das konkrete „Wie" steht in den Maßnahmen und im Leitfaden ISO 27002.