A.7 Physische Maßnahmen

A.7.13

Instandhaltung von Geräten

ISO 27001TISAXBSINIS2

Geräte müssen ordnungsgemäß instand gehalten werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Informationen sicherzustellen.

Was fordert dieses Control?

Geräte müssen ordnungsgemäß instand gehalten werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der verarbeiteten Informationen sicherzustellen.

Warum ist das wichtig?

Mangelhafte Wartung führt zu Ausfällen und Datenverlust. Zudem dürfen Wartungsarbeiten selbst kein Sicherheitsrisiko durch Externe oder Datenabfluss schaffen.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.1.1Indirekt
BSIOPS.1.1.3Indirekt
NIS2Art. 21 (2) eDirekt

Was der Auditor erwartet

  1. 1Regelmäßige, dokumentierte Wartung kritischer Geräte
  2. 2Kontrolle externer Wartungsdienstleister
  3. 3Schutz von Daten während der Wartung

Audit-Checkliste

Dokumente

  • Wartungsplan

    Welche Geräte wann durch wen gewartet werden

Nachweise

  • Wartungsprotokolle

    Durchgeführte Wartungen und Befunde

  • Prozess Geräteversand zur Reparatur

    Datenträger-Ausbau oder Löschung vor externer Reparatur

  • Fernwartungsregelung

    Protokollierte Hersteller-Fernwartung mit eigenen Konten

Interviews

  • IT-Betrieb

    Umgang mit externen Technikern und Datenzugriff

Praxis-Tipps zur Umsetzung

1

Externe begleiten

Wartungspersonal in sensiblen Bereichen beaufsichtigen und protokollieren.

2

Daten schützen

Vor externer Reparatur Datenträger entfernen oder sicher löschen.

3

Wartung dokumentieren

Hersteller-Intervalle einhalten und Nachweise führen.

4

Fernwartung kontrollieren

Hersteller-Fernzugänge nur bei Bedarf aktivieren, protokollieren und mit eigenen Konten betreiben.

Häufige Fehler

Daten beim Servicefall

Geräte gehen mit gespeicherten Daten zur externen Reparatur.

Wartung versäumt

Kritische Hardware wird bis zum Ausfall betrieben.

Häufig gestellte Fragen

Müssen wir Wartungsverträge haben?

Für kritische Systeme sind Service- und Reaktionszeiten vertraglich sinnvoll abzusichern.

Was tun bei externer Reparatur?

Datenträger entfernen oder löschen und die Wartung als kontrollierten Zugriff behandeln.

Gilt das auch für Cloud-Hardware?

Die physische Wartung verantwortet der Anbieter, das ist über die Lieferantensteuerung nachzuweisen.

So hilft CompliantDesk bei A.7.13

Planen Sie Wartungsintervalle im Kalender, dokumentieren Sie Wartungsnachweise und steuern Sie externe Dienstleister im Lieferanten-Modul.