alphaspirit - Fotolia
Die richtigen Vorbereitungen für einen Storage-Audit treffen
Unternehmen sollten regelmäßig alle Aktivitäten bei Datenspeicherung, Backup und Recovery überprüfen und auf die Rechtsgültigkeit achten. Audit-Vorschriften helfen dabei.
Um sicherzustellen, dass alle Prozesse rund um gespeicherte Daten mit der bewährten Praxis und den wichtigen Standards und Regulierungen übereinstimmen, sollte man regelmäßige Audit-Prüfungen der Prozesse der Datenspeicherung vornehmen. Audits sorgen dafür, dass das Unternehmen regelmäßig alle Aktivitäten der Datenspeicherung wie zum Beispiel Backups durchführt und die Daten sicher und effizient speichert.
Unternehmen sollten über Regeln und Verfahren für alle Prozesse der Datenspeicherung verfügen. Audit-Prüfungen liefern hierfür Bestätigungen für das obere Management sowie für externe Organisationen – wie zum Beispiel Aufsichtsbehörden, wesentliche Kunden und Anteilseigner. Sie können sich dann sicher darin sein, dass das Unternehmen die Speicherprogramme korrekt durchführt und dabei den wesentlichen Standards wie zum Beispiel HIPAA, DSGVO und ISO entspricht.
Man sollte sich um einige wichtige Faktoren bei der Vorbereitung auf einen Speicher-Audit kümmern. Zu den Aktivitäten, die den Audit-Prozess unterstützen können, gehören die folgenden:
- Die Speicherkontrollen und -konfigurationen identifizieren, die wahrscheinlich während des Audits überprüft werden.
- Wenn ein externer oder interner Audit-Anbieter eingesetzt wird, sollte man sich vergewissern, dass sich das Audit-Team mit der Überprüfung von IT-Systemen und Datenspeicher auskennt.
- Das Team der IT-Abteilung festlegen, das den Audit unterstützen wird.
- Einen Arbeitsbereich für das Audit-Team einrichten.
- Eine Reihe von Dokumenten, Reports und weiteren Informationen sichern und als Nachweise für die Prüfung durch das Audit-Team bereithalten.
Best Practices für die Vorbereitung eines Datenspeicher-Audits
Vorbereitung und Dokumentation sind zwei wesentliche Elemente, wenn ein Audit geplant und durchgeführt wird. Man sollte erfahrene Experten hinzuziehen, die Datenspeicher mit den Auditoren diskutieren können. Vor dem Beginn des Audits sollte man die notwendigen Materialien wie zum Beispiel die folgenden zusammenstellen:
1. Aktuelle Kopien aller Dokumente zu Datenspeicher, Archivierung und verwandten Bereichen, einschließlich:
- Speicher- und Backup-Programme und -Prozesse;
- aktuelle Beurteilungen, Audit-Aufzeichnungen und Reports zur Speicher-Performance, einschließlich Tests;
- Rollen, Verantwortlichkeiten und Workflow von Teams für Datenspeicher und Backup;
- Dokumente, die frühere Speicher- und Backup-Probleme beschreiben und wie sie gelöst wurden;
- Materialien zu Datenschutz, Backup und Trainingsmaterial für Storage;
- Nachweis von früheren Management-Berichten und Daten-Audits; und
- Nachweis von kontinuierlichen Aktivitäten zur Verbesserung.
2. Belege, dass das Speicher- und Backup-Programm Teil eines umfassenden Disaster-Recovery-Programms (DR) der IT ist.
3. Belege, dass das Unternehmen Speicher-, Backup- und Wiederherstellungstests als Teil eines allgemeinen DR-Programms für Onsite-, Cloud- und Offsite-Anwendungen geplant hat.
4. Belege der geplanten und durchgeführten Speicher- und Backup-Bewertungen und der Updates von Regelungen und Prozeduren für Speicher und Backup.
5. Belege, die die Unterstützung der Führungsebene für das Speicherprogramm zeigen, einschließlich eines Zuständigen der Führungsebene, eines Budgets und einer speziellen Speichermannschaft.
6. Belege, dass die Speicher-, Backup- und Recovery-Aktivitäten eine strategische Position für das Unternehmen bedeuten.
Zur Vorbereitung eines Speicher-Audits dient die folgende Liste von entsprechenden Kontrollmaßnahmen. Auf diese Weise können sich die internen IT-Teams auf die meisten Audit-Anforderungen vorbereiten, die die zeitliche Vervollständigung und Auslieferung des Audit-Reports erleichtern. Viele der Kontrollen betreffen auch Backup und Recovery, die wichtige ergänzende Elemente von Datenspeicher sind.
Audit-Checkliste für Datenspeicher
| Audit-Kontrollen für Datenspeicher |
Beispiele von Audit-Belegen |
| Speicherplan |
Dokumentierter Plan |
| Storage Policies |
Dokumentierte Regeln |
| Speicherprozesse und entsprechende Dokumentation, Formulare |
Dokumentierte Prozesse, Formulare, Tabellen, Checklisten |
| Speicherzeitpläne |
Papierkopien oder Screenshots von Backup- und Recovery-Zeitplänen |
| Zugangselemente für Speicher |
Screenshots von Zugangskontrollen (Sign-in, Erlaubnisse, Datenzugang, Authentifizierungsmethoden) |
| Messwerte für die Speicherzuverlässigkeit |
Screenshots der Messwerte für die Speicherzuverlässigkeit |
| Messwerte für die Speicher-Performance bei Mainframes, Servern, Netzwerkgeräten, Anwendungen, Dateien, Datenbanken |
Dokumentierte Berichte über Speicher-Performance aller IT-Anlagen, die ein Backup benötigen |
| Testpläne und dokumentierte Resultate für Speicher, Backup und Recovery |
Kopien neuer Testpläne für Speicher, Backup und Recovery, der Performance-Daten der Tests und der Reports nach den Aktivitäten |
| Messwerte der Speicherfrequenz |
Screenshots der Speicherprogramme zeigen die Frequenzzahlen für jede Art von Aktivität |
| Speichersysteme und -software |
Betriebsdokumentation und relevante Screenshots für Anwendungen und Hardware, die für Speicheraktivitäten eingesetzt werden |
| Speicherressourcen – lokal |
Betriebsdokumentation und relevante Screenshots für lokale Speichersysteme und -ressourcen |
| Backup-Speicherressourcen – Offsite |
Betriebsdokumentation und relevante Screenshots für Offsite-Speichersysteme und -ressourcen |
| Speichersicherheit – lokal |
Betriebsdokumentation und relevante Screenshots für lokale Speichersicherheitsmaßnahmen |
| Speichersicherheit – Offsite |
Betriebsdokumentation und relevante Screenshots für entfernte Datensicherheitsmaßnahmen |
| Speichernetzwerkservices |
Betriebsdokumentation und relevante Screenshots für Netzwerkservices, die für die Übertragung von Speicherdaten, Backup und Recovery genutzt werden |
| Umwelterfordernisse für Datenspeicher (zum Beispiel sicherer physischer Ort, Energie, Security, HVAC (Heating, Ventilation and Air Conditioning))
|
Betriebsdokumentation und relevante Screenshots für physikalische Sicherheit der Speicherlokalität, primäre und Backup-Energieversorgung, Notfallbeleuchtung, Notausgänge sowie primäre und Backup-HVAC-Systeme. Dies ist besonders wichtig bei Cloud Storage |
