Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

ISO 27701 - Klausel 6.9 - Betriebssicherheit

In Abschnitt 27701 der ISO 6.9 zur Betriebssicherheit werden wichtige Maßnahmen zum Schutz personenbezogener Daten (PII) beschrieben, darunter Ereignisprotokollierung, Malware-Schutz, Softwarekontrolle, Schwachstellenmanagement und Systemprüfungen zur Gewährleistung der Einhaltung von Vorschriften und der Datensicherheit.

Autorin
Toby Cane
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Abschnitt 6.9 verstehen: Betriebssicherheit in ISO 27701

Der tägliche Betrieb eines IKT-Netzwerks birgt zahlreiche Fallstricke, die möglicherweise Auswirkungen auf die Fähigkeit einer Organisation haben, ihre gesetzlichen, behördlichen und vertraglichen Verpflichtungen einzuhalten.

Betriebssicherheit ist ein weitreichendes Thema, das sich mit einer Vielzahl von Fragen im Zusammenhang mit der Verfügbarkeit und Integrität von PII und datenschutzbezogenen Informationen im gesamten Betrieb einer Organisation befasst.

Was in ISO 27701 Abschnitt 6.9 behandelt wird

ISO 27701 Abschnitt 6.9 enthält 4 Unterabschnitte, von denen jeder einem angrenzenden Unterabschnitt in entspricht ISO 27002 :

  • ISO 27701 6.9.1.1 – Dokumentation von Betriebsabläufen (ISO 27002 Control 5.37)
  • ISO 27701 6.9.1.2 – Änderungsmanagement (ISO 27002 Control 8.32)
  • ISO 27701 6.9.1.3 – Kapazitätsmanagement (ISO 27002 Control 8.6)
  • ISO 27701 6.9.1.4 – Trennung von Entwicklungs-, Test- und Betriebsumgebungen (ISO 27002 Control 8.31)

Die ISO stellt keine zusätzlichen Leitlinien für PIMS- oder PII-bezogene Aktivitäten bereit, und es gibt auch keine Leitlinien für das Vereinigte Königreich Datenschutz zu berücksichtigende Überlegungen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.9.1.1 – Dokumentation von Betriebsabläufen

Referenzen ISO 27002-Steuerung 5.37

Organisationen sollten die mit dem Datenschutz verbundenen Verfahren gründlich dokumentieren, einschließlich:

  • Tätigkeiten, die mehrmals von demselben Personal durchgeführt werden müssen.
  • Aktivitäten, die normalerweise nicht ausgeführt werden, und wann der nächste Vorfall wahrscheinlich eintreten wird.
  • Neue Aktivitäten.
  • Übergabe der Verantwortung an andere Mitarbeiter.

Prozesse und Verfahren sollten Folgendes klar festlegen:

  • Personen, die für die Durchführung der Aktivität verantwortlich sind.
  • Wie Systeme implementiert werden sollten.
  • Wie PII und zugehörige Informationen gespeichert und verarbeitet werden sollten.
  • Backup-Pläne und geschäftliche Ausfallsicherheit (siehe ISO 27002 Control 8.13).
  • Alle Terminanforderungen.
  • Klare Anweisungen, die darlegen, wie das Personal mit besonderen Bedingungen umgehen soll, die während des Prozesses zum Schutz personenbezogener Daten und datenschutzbezogener Vermögenswerte, einschließlich Hilfsprogrammen, auftreten (siehe ISO 27002 Control 8.18).
  • So implementieren und verwalten Sie Speichermedien (siehe ISO 27002 Controls 7.10 und 7.14).
  • Verfahren zur Systemwiederherstellung.
  • Wie Mitarbeiter Prüfpfade, System- und Ereignisprotokolle und andere zugehörige Überwachungssysteme verwalten sollten (siehe ISO 27002-Kontrollen 8.15, 8.17 und 7.4).
  • Kapazitäts-, Leistungs- und Sicherheitsüberwachung (siehe ISO 27002-Kontrollen 8.6 und 8.16).

Organisationen sollten sicherstellen, dass Richtlinien und Verfahren in angemessenen Abständen überprüft und aktualisiert werden, wenn sich die betrieblichen Anforderungen ändern.

Soweit möglich empfiehlt die ISO, dass Systeme mit denselben Verwaltungskontrollen und Anwendungen gewartet werden sollten.

Relevante ISO 27002-Kontrollen

  • ISO 27002 7.4
  • ISO 27002 7.10
  • ISO 27002 7.14
  • ISO 27002 8.6
  • ISO 27002 8.13
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.17
  • ISO 27002 8.18

ISO 27701 Abschnitt 6.9.1.2 – Änderungsmanagement

Referenzen ISO 27002-Steuerung 8.32

Wann immer ein neues System eingeführt wird oder größere Änderungen an bestehenden Systemen geplant sind, sollten Organisationen sich an ein strukturiertes System halten, das Folgendes abdeckt:

  • Dokumentation.
  • Die Spezifikation.
  • Testen.
  • Qualitätskontrolle.
  • Geführte Umsetzung.

Änderungsverfahren sollten Folgendes umfassen:

  • Eine Analyse der Auswirkungen aller vorgeschlagenen Änderungen.
  • Genehmigungsverfahren.
  • Verbreitung der Änderungen an alle interessierten Parteien.
  • Testen – inklusive starrer Akzeptanzkriterien.
  • Wie Änderungen während der Implementierungsphasen vorgenommen werden.
  • Notfallpläne, die alle änderungsbedingten Vorfälle während der Implementierung abdecken.
  • So führen Sie angemessene Aufzeichnungen über alle änderungsbezogenen Aktivitäten.
  • Aktualisierung aller relevanten Betriebsdokumente und Benutzeranweisungen (siehe ISO 27002 Control 5.37).

ISO befürwortet das Testen und alle änderungsbezogenen Aktivitäten in einer Umgebung, die logisch (und möglicherweise physisch) von der Betriebsumgebung getrennt ist, auf die sich die Änderungen auswirken sollen (siehe ISO 27002 Control 8.31).

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.37
  • ISO 27002 8.31


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.9.1.3 – Kapazitätsmanagement

Referenzen ISO 27002-Steuerung 8.6

Unternehmen müssen sicherstellen, dass sie über ausreichende Betriebskapazitäten verfügen, um die täglichen Geschäftsfunktionen auszuführen, damit personenbezogene Daten oder datenschutzbezogenes Material nicht gefährdet werden.

Organisationen sollten:

  • Berücksichtigen Sie die Geschäftskontinuität und den Schutz der Privatsphäre als oberste Priorität bei der Implementierung von Kapazitätsmanagementkontrollen, einschließlich detektivischer Kontrollen, die potenzielle Probleme erkennen, bevor sie auftreten.
  • Basieren Sie ihren Kapazitätsmanagementbetrieb auf den proaktiven Funktionen der Optimierung und Überwachung.
  • Führen Sie regelmäßige Stresstests durch, bei denen die Fähigkeit eines Systems überprüft wird, den allgemeinen Geschäftsanforderungen sowie Datenschutzbestimmungen, Gesetzen und Richtlinien gerecht zu werden.
  • Fügen Sie Pläne für eine kommerzielle und technische Erweiterung (sowohl aus physischer als auch digitaler Sicht) des Betriebs hinzu.
  • Berücksichtigen Sie je nach System oder Geschäftsfunktion unterschiedliche Vorlaufzeiten und Kosten. Datenschutzbezogenen Ressourcen sollte angesichts ihres erhöhten Risikoprofils mehr Aufmerksamkeit geschenkt werden.
  • Dokumentieren und beobachten Sie einzelne Fehlerquellen im Zusammenhang mit der Abhängigkeit von Schlüsselpersonal, einzelnen Ressourcen und personenbezogenen Daten.
  • Entwerfen und implementieren Sie einen Kapazitätsmanagementplan, der sich speziell mit dem Schutz der Privatsphäre befasst.

ISO befürwortet einen zweigleisigen Ansatz für das Kapazitätsmanagement, der entweder die Kapazität erhöht oder die Nachfrage nach einer Ressource oder einem Ressourcensatz verringert.

Beim Versuch, die Kapazität zu erhöhen, sollten Organisationen:

  1. Erwägen Sie die Einstellung neuer Mitarbeiter, um den wachsenden Geschäftsanforderungen gerecht zu werden.
  2. Erweitern Sie neue physische Standorte – einschließlich Datenverarbeitungs- und Speichereinrichtungen.
  3. Erwägen Sie den Einsatz von Cloud-Ressourcen, die automatisch erweitert werden, um den wachsenden Anforderungen des Unternehmens gerecht zu werden.

Bei dem Versuch, die Nachfrage zu reduzieren, sollten Organisationen:

  • Löschen Sie veraltete oder nicht verwendete Daten.
  • Entsorgen Sie alle Papierkopien von Informationen, die die Organisation nicht mehr benötigt und zu deren Aufbewahrung sie nicht gesetzlich verpflichtet ist.
  • Nehmen Sie alle IKT-Ressourcen außer Betrieb, die nicht mehr benötigt werden.
  • Implementieren Sie geplante IKT-Aufgaben, die die Speicherressourcen optimieren und den Speicherplatz minimieren.
  • Stellen Sie sicher, dass alle ausführbaren Codeteile oder Datenbankabfragen optimiert sind, um den Bedarf an Rechen- und Speicherressourcen zu reduzieren.
  • Beschränken Sie den Internetzugang und verbieten Sie Video-/Audio-Streaming von Arbeitsgeräten.

ISO 27701 Abschnitt 6.9.1.4 – Trennung von Entwicklungs-, Test- und Betriebsumgebungen

Referenzen ISO 27002-Steuerung 8.31

ISO identifiziert drei unterschiedliche Testumgebungen, die voneinander getrennt werden müssen:

  • Entwicklungsprojekt
  • Tests
  • Produktion

Um sicherzustellen, dass PII in allen drei Umgebungen (insbesondere in der gesamten Produktionsumgebung) geschützt sind, sollten Unternehmen:

  • Betreiben Sie Produktions- und Entwicklungssysteme in deutlich unterschiedlichen Domänen (physisch und virtuell).
  • Definieren Sie genau, wie Software von der Entwicklungsphase bis zur Produktionsphase implementiert wird.
  • Testen Sie alle Änderungen an Produktionssystemen gründlich in einer Testumgebung, bevor sie in einer Live-Umgebung angewendet werden (siehe ISO 27002 Control 8.29).
  • Verbieten Sie Tests in Live-Produktionsumgebungen, mit Ausnahme von Sonderfällen, die zuvor genehmigt wurden.
  • Stellen Sie sicher, dass Entwicklungstools nicht aus Live-Produktionsumgebungen zugänglich sind, es sei denn, dies ist ausdrücklich erforderlich.
  • Beschriften Sie Systeme und Assets, um klar anzugeben, zu welcher Umgebung sie gehören.
  • Verhindern Sie das Kopieren datenschutzrelevanter Informationen aus der Produktionsumgebung in eine andere Umgebung, es sei denn, diese Daten unterliegen überall dort, wo sie kopiert werden, denselben Sicherheitskontrollen.

Entwicklungs- und Testumgebungen sollten geschützt werden durch:

  1. Aktualisieren und Patchen ALLER Entwicklungstools.
  2. Best-Practice-Konfigurationen.
  3. Prüfung und Überwachung aller Änderungen in der Umgebung.
  4. Robuste BUDR-Pläne.

Die ISO stellt ausdrücklich klar, dass Entwicklungs- und Testmitarbeiter ein unverhältnismäßiges Risiko für PII darstellen – entweder direkt aufgrund böswilliger Handlungen oder unbeabsichtigt aufgrund von Fehlern im Entwicklungsprozess.

Es ist von entscheidender Bedeutung, dass kein einzelner Mitarbeiter die Möglichkeit hat, ohne entsprechende Genehmigung, einschließlich einer Überprüfung der erforderlichen Änderungen und einer mehrstufigen Genehmigung (siehe ISO 27002-Steuerung 8.33), Änderungen sowohl an als auch innerhalb von Entwicklungs- und Produktionsumgebungen vorzunehmen.

Unternehmen sollten während des gesamten Entwicklungs- und Testprozesses, einschließlich mehrerer Live-Produktionsumgebungen, Schulungsumgebungen und Aufgabentrennung, große Sorgfalt darauf verwenden, die Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 8.29
  • ISO 27002 8.33

Unterstützende Kontrollen gemäß ISO 27002 und DSGVO

ISO 27701-Klauselkennung Name der ISO 27701-Klausel ISO 27002-Anforderung Zugehörige DSGVO-Artikel
6.9.1.1 Dokumentation von Betriebsabläufen
5.37 – Dokumentierte Betriebsabläufe für ISO 27002
 		Non
6.9.1.2 Change Control
8.32 – Änderungsmanagement für ISO 27002
 		Non
6.9.1.3 Kapazitätsmanagement
8.6 – Kapazitätsmanagement für ISO 27002
 		Non
6.9.1.4 Trennung von Entwicklungs-, Test- und Betriebsumgebungen
8.31 – Trennung von Entwicklungs-, Test- und Produktionsumgebungen für ISO 27002
 		Non

Wie ISMS.online hilft

Um ISO 27701 einzuhalten, müssen Sie ein Privacy Information Management System (PIMS) erstellen. Mit unserem vorgefertigten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterdaten schnell und einfach verwalten und organisieren, um den Standard vollständig zu erfüllen.

Darüber hinaus kann ISMS.online der wachsenden Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen gerecht werden.

Bevor Sie sich nach ISO 27701 (Datenschutz) zertifizieren lassen, müssen Sie sich zunächst nach ISO 27001 (Informationssicherheit) zertifizieren lassen. Glücklicherweise kann Ihnen unsere Plattform dabei helfen, beides zu erreichen.

Erfahren Sie mehr von eine Demo buchen.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

LinkedIn

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.