A.8 Technologische Maßnahmen
Trennung von Entwicklungs-, Test- und Produktivumgebungen
Entwicklungs-, Test- und Produktivumgebungen müssen getrennt und gesichert werden.
Was fordert dieses Control?
Entwicklungs-, Test- und Produktivumgebungen müssen getrennt und gesichert werden.
Warum ist das wichtig?
Vermischte Umgebungen führen zu Fehlern, ungewollten Änderungen und Datenabfluss. Trennung schützt die Produktion und verhindert, dass Tests sie beeinträchtigen.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 5.2.4 | Direkt |
| BSI | CON.8 | Direkt |
Was der Auditor erwartet
- 1Getrennte Entwicklungs-, Test- und Produktivumgebungen
- 2Kontrollierte Übergänge und Freigaben
- 3Schutz von Produktivdaten in Test/Entwicklung
Audit-Checkliste
Dokumente
Umgebungskonzept
Trennung und Übergangsregeln zwischen den Stufen
Nachweise
Freigabe-/Deployment-Prozess
Kontrollierter Weg von Test zu Produktion
Technisch
Umgebungstrennung
Getrennte Systeme, Zugänge und Daten
Praxis-Tipps zur Umsetzung
Strikt trennen
Entwicklung, Test und Produktion technisch und in den Zugängen trennen.
Keine Echtdaten im Test
In Test/Entwicklung maskierte oder synthetische Daten verwenden (A.8.11).
Deployment kontrollieren
Übergänge nur über kontrollierte, freigegebene Prozesse.
Häufige Fehler
Test auf Produktion
Es wird direkt in der Produktivumgebung getestet oder entwickelt.
Echtdaten im Test
Produktive personenbezogene Daten landen ungeschützt in Testsystemen.
Häufig gestellte Fragen
Warum müssen Umgebungen getrennt sein?
Um die Produktion vor Fehlern und ungewollten Änderungen zu schützen und Datenabfluss zu vermeiden.
Dürfen Produktivdaten zum Testen genutzt werden?
Nur maskiert oder pseudonymisiert, nicht ungeschützt im Klartext (siehe A.8.11/A.8.33).
Wie viele Umgebungen braucht man?
Mindestens getrennte Test- und Produktivumgebungen, idealerweise zusätzlich eine Entwicklungsumgebung.
So hilft CompliantDesk bei A.8.31
Dokumentieren Sie die Umgebungstrennung als Kontrolle und verknüpfen Sie sie mit Ihrem Change- und Deployment-Prozess.