Richtlinien zu Wartungs- und Reparaturarbeiten
Um die IT und für die IT erforderliche Infrastruktur wie Klimatisierung und (Not-)Stromversorgung vor St?rungen zu bewahren und die gewünschte Funktionalit?t sicherzustellen, müssen regelm??ig Wartungsarbeiten durchgeführt werden. Für die Wartung von der für die IT erforderlichen Infrastruktur ist die Haus- und Betriebstechnik (Referat I/2) zust?ndig.
Die Wartungsarbeiten sind von vertrauenswürdigen Personen oder Firmen auszuführen, falls sie nicht von eigenem Personal durchgeführt werden k?nnen. Die Hinweise des Herstellers müssen dabei unbedingt beachtet werden. Bei regelm??igen Wartungsarbeiten durch Externe kann der Abschluss eines Wartungsvertrages vorteilhaft sein.
Für jedes IT-System wird in der Betriebsakte dokumentiert, wann es gewartet wurde und welche Fehler dabei behoben wurden. Die jeweils zust?ndigen Systemverantwortlichen sind für die Wartung oder Reparatur von Ger?ten verantwortlich.
Regelm??ige Reinigung von IT-Ger?ten
IT-Ger?te werden bei Bedarf oder gem?? Hersteller-Vorgaben gereinigt.
Wartungs- und Reparaturarbeiten im Hause
Von Dritten wahrgenommene Wartungs- und Reparaturarbeiten im Hause werden beaufsichtigt, um die ordnungsgem??e Durchführung sicherzustellen, siehe auch ?Richtlinien für den Einsatz von Fremdpersonal".
Für Wartungs- und Reparaturarbeiten gelten folgende Randbedingungen:
- Wartungs- und Reparaturarbeiten sind gegenüber den betroffenen Mitarbeiterinnen und Mitarbeiter rechtzeitig anzukündigen.
- Wartungspersonal muss sich auf Verlangen ausweisen.
- Der Zugriff auf Daten durch das Wartungspersonal ist soweit wie m?glich zu vermeiden. Falls erforderlich, sind Speichermedien vorher auszubauen oder zu l?schen (nach einer kompletten Datensicherung), insbesondere wenn die Arbeiten extern durchgeführt werden müssen. Falls das L?schen nicht m?glich ist (z. B. aufgrund eines Defektes), sind die Arbeiten auch extern zu beobachten bzw. es sind besondere vertragliche Vereinbarungen zu treffen und vertrauenswürdige Firmen auszuw?hlen.
- Die dem Wartungspersonal einger?umten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschr?nken und nach den Arbeiten zu widerrufen bzw. zu l?schen.
- Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind, je nach "Eindringtiefe" des Wartungspersonals, Passwort?nderungen erforderlich.
- Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, Firmenname sowie eventuell Name des Wartungspersonals).
- Im Anschluss an die Wartungs- oder Reparaturarbeiten ist die ordnungsgem??e Funktion der gewarteten Anlage zu überprüfen. Insbesondere die Rücknahme der für Testzwecke vorgenommenen Eingriffe ist zu kontrollieren.
Externe Wartungs- und Reparaturarbeiten
Werden IT-Systeme zur Wartung oder Reparatur au?er Haus gegeben, sind alle sensitiven Daten, die sich auf Datentr?gern befinden, vorher physikalisch zu l?schen. Ist dies nicht m?glich, weil aufgrund eines Defekts nicht mehr auf die Datentr?ger zugegriffen werden kann, sind die mit der Reparatur beauftragten Unternehmen auf die Einhaltung der erforderlichen Informationssicherheitsma?nahmen zu verpflichten. Es sind vertragliche Regelungen über die Geheimhaltung von Daten zu treffen. Insbesondere ist festzulegen, dass Daten, die im Rahmen der Wartung extern gespeichert wurden, nach Abschluss der Arbeiten sorgf?ltig gel?scht werden. Ebenso sind die Pflichten und Kompetenzen des externen Wartungspersonals sorgf?ltig festzulegen.
Bei der Durchführung externer Wartungsarbeiten muss protokolliert werden, welche IT-Systeme oder Komponenten wann an wen zur Reparatur gegeben wurden, wer dies veranlasst hat, was der Wartungs- bzw. Reparaturauftrag umfasst, zu welchem Zeitpunkt die Reparatur abgeschlossen sein sollte und wann das Ger?t wieder zurückgebracht wurde. Um dies nachhalten zu k?nnen, ist eine Kennzeichnung der IT-Systeme oder Komponenten erforderlich, aus der zum einen hervorgeht, welcher Organisation diese geh?ren, und zum anderen eine eindeutige Zuordnung innerhalb der Organisation m?glich ist.
Beim Versand oder Transport der zu reparierenden Komponenten sollte darauf geachtet werden, dass Besch?digungen und Diebstahl vorgebeugt wird. Befinden sich auf den IT-Systemen noch sensitive Informationen, müssen sie entsprechend geschützt transportiert werden, also z. B. in verschlossenen Beh?ltnissen oder durch Kuriere. Weiterhin müssen Nachweise über den Versand (Reparaturauftrag, Begleitzettel, Versandscheine) und den Eingang beim Empf?nger (Empfangsbest?tigung) geführt und archiviert werden.
Bei IT-Systemen, die durch Passw?rter geschützt sind, müssen je nach Umfang der Reparaturarbeiten und der Art der Passwortabsicherung, alle oder einige Passw?rter entweder bekanntgegeben oder auf festgelegte Einstellungen wie "REPARATUR" gesetzt werden, damit die Wartungstechniker auf die Ger?te zugreifen k?nnen.
Nach der Rückgabe der IT-Systeme oder Komponenten sind diese auf Vollst?ndigkeit zu überprüfen. Alle Passw?rter sind zu ?ndern. PC-Datentr?ger sind nach der Rückgabe mittels eines aktuellen Viren-Suchprogramms auf Computer-Viren zu überprüfen. Alle Dateien oder Programme, die sich auf dem reparierten Ger?t befinden, sind auf Integrit?t zu überprüfen.
Fernwartung
Regelungen für die Fernwartung sind im Dokument ?Regelungen für den Einsatz von Fremdpersonal“ getroffen.