Continuity & Compliance (5.29–5.37)

Durchhalten & Recht einhalten

Der letzte Block der organisatorischen Maßnahmen (5.29–5.37) deckt zwei Themen ab: den Betrieb bei Störungen (Business Continuity) und die Einhaltung von Recht und Vorgaben (Compliance).

5.29–5.30 Sicherheit bei Störungen & IKT-Bereitschaft

• 5.29 Informationssicherheit bei Störungen: Die Organisation plant, wie Sicherheit auch während einer Krise auf angemessenem Niveau bleibt – Sicherheit darf im Notfall nicht „abgeschaltet" werden.
• 5.30 IKT-Bereitschaft für Business Continuity: Die IT-Wiederherstellung wird an Continuity-Zielen ausgerichtet, umgesetzt und getestet. Zwei Schlüsselkennzahlen:

Dahinter stehen Backups (8.13) und Redundanz (8.14). Methodik liefert ISO 22301.

5.31–5.34 Rechtliche & regulatorische Anforderungen

• 5.31 Juristische, gesetzliche, regulatorische & vertragliche Anforderungen: Alle relevanten Pflichten ermitteln, dokumentieren und aktuell halten.
• 5.32 Geistige Eigentumsrechte: Lizenzen einhalten, keine Raubkopien, eigenes IP schützen.
• 5.33 Schutz von Aufzeichnungen: wichtige Aufzeichnungen vor Verlust, Zerstörung und Fälschung schützen (auch Aufbewahrungsfristen).
• 5.34 Datenschutz & Schutz personenbezogener Daten (PbD): die Brücke zur DSGVO – Anforderungen an Privatsphäre ermitteln und erfüllen.

5.35–5.36 Überprüfung & Einhaltung

• 5.35 Unabhängige Überprüfung: Der Sicherheitsansatz wird regelmäßig unabhängig überprüft – ergänzt das interne Audit.
• 5.36 Einhaltung von Richtlinien & Normen: Es wird regelmäßig geprüft, ob die eigenen Richtlinien und Normen tatsächlich eingehalten werden (Compliance-Checks).

5.37 Dokumentierte Betriebsabläufe

Betriebsverfahren (z. B. für Backups, Benutzerverwaltung, Systemstart) werden dokumentiert und den Personen bereitgestellt, die sie benötigen. So hängt der Betrieb nicht am Wissen einzelner Köpfe.