CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.37

Dokumentierte Betriebsabläufe

ISO 27001TISAXBSI

Betriebsabläufe für informationsverarbeitende Einrichtungen müssen dokumentiert und den Personen, die sie benötigen, zur Verfügung gestellt werden.

Was fordert dieses Control?

Betriebsabläufe für informationsverarbeitende Einrichtungen müssen dokumentiert und den Personen, die sie benötigen, zur Verfügung gestellt werden.

Warum ist das wichtig?

Dokumentierte Abläufe sichern konsistenten, fehlerarmen Betrieb und machen die Organisation unabhängig von einzelnen Köpfen. Sie sind die Basis für Stabilität und Wiederholbarkeit.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.4.1Direkt
BSIOPS.1.1.2Direkt

Was der Auditor erwartet

  1. 1Dokumentierte Betriebs- und Administrationsabläufe
  2. 2Verfügbarkeit für die jeweils zuständigen Personen
  3. 3Aktualität und Pflege der Dokumentation

Audit-Checkliste

Dokumente

  • Betriebshandbücher / SOPs

    Dokumentierte Abläufe für kritische IT-Tätigkeiten

Nachweise

  • Aktualität

    Versionierung und letzte Überprüfung der Dokumente

Interviews

  • IT-Betrieb

    Nutzung und Auffindbarkeit der Dokumentation

Praxis-Tipps zur Umsetzung

1

Kritisches zuerst

Mit Abläufen beginnen, deren Ausfall am meisten schmerzt (Backup, Restore, Onboarding).

2

Auffindbar machen

Dokumentation zentral und für die Zuständigen leicht zugänglich ablegen.

3

Aktuell halten

Abläufe bei Änderungen direkt mitpflegen, nicht erst beim Audit.

Häufige Fehler

Wissen nur im Kopf

Kritische Abläufe sind nicht dokumentiert und hängen an einzelnen Personen.

Veraltet

Handbücher beschreiben einen Zustand, der längst überholt ist.

Häufig gestellte Fragen

Welche Abläufe müssen dokumentiert werden?

Vor allem betriebskritische und sicherheitsrelevante Tätigkeiten wie Backup, Restore, Patch- und Berechtigungsprozesse.

Wie detailliert muss die Doku sein?

So, dass eine fachkundige, aber nicht eingearbeitete Person den Ablauf korrekt durchführen kann.

Wie hält man Betriebsdoku aktuell?

Indem Aktualisierung fester Bestandteil des Änderungsmanagements ist.

So hilft CompliantDesk bei A.5.37

Führen Sie Betriebshandbücher und SOPs versioniert im Dokumenten-Modul mit Freigabe, Review-Fristen und Zugriff für die zuständigen Rollen.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.9

Konfigurationsmanagement

A.8.32

Änderungsmanagement

A.5.1

Informationssicherheitsrichtlinien