A.8 Technologische Maßnahmen
Änderungsmanagement
Änderungen an informationsverarbeitenden Einrichtungen und Informationssystemen müssen einem Änderungsmanagementverfahren unterliegen.
Was fordert dieses Control?
Änderungen an informationsverarbeitenden Einrichtungen und Informationssystemen müssen einem Änderungsmanagementverfahren unterliegen.
Warum ist das wichtig?
Unkontrollierte Änderungen sind eine häufige Ursache für Ausfälle und Sicherheitslücken. Geregeltes Change-Management sichert Stabilität und Nachvollziehbarkeit.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 5.2.5 | Direkt |
| BSI | OPS.1.1.3 | Direkt |
Was der Auditor erwartet
- 1Dokumentiertes Änderungsverfahren mit Freigaben
- 2Risikobewertung und Rückfallplan für Änderungen
- 3Nachvollziehbarkeit durchgeführter Änderungen
Audit-Checkliste
Dokumente
Change-Management-Prozess
Beantragung, Bewertung, Freigabe und Dokumentation
Nachweise
Change-Records
Dokumentierte Änderungen mit Freigabe und Ergebnis
Interviews
IT-Betrieb
Umgang mit Standard-, Normal- und Notfalländerungen
Praxis-Tipps zur Umsetzung
Risikobewertung
Änderungen vor der Umsetzung auf Auswirkungen und Risiken prüfen.
Rückfallplan
Für jede wesentliche Änderung einen Rollback-Plan bereithalten.
Notfalländerungen regeln
Auch schnelle Changes nachträglich dokumentieren und bewerten.
Häufige Fehler
Ungeplante Changes
Änderungen werden ohne Bewertung und Freigabe durchgeführt.
Kein Rollback
Bei Problemen gibt es keinen Weg zurück zum Vorzustand.
Häufig gestellte Fragen
Gilt Change-Management auch für kleine Änderungen?
Standardänderungen können vereinfacht behandelt werden, sollten aber dennoch nachvollziehbar sein.
Was gehört in einen Change-Record?
Beschreibung, Risikobewertung, Freigabe, Umsetzungszeitpunkt, Rückfallplan und Ergebnis.
Wie geht man mit Notfalländerungen um?
Sie werden schnell umgesetzt, aber zeitnah nachträglich dokumentiert und bewertet.
So hilft CompliantDesk bei A.8.32
Dokumentieren Sie Änderungen als nachvollziehbare Maßnahmen mit Freigabe und Verknüpfung zu betroffenen Assets und Kontrollen.