Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: M 2.422 Umgang mit Änderungsanforderungen - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.422 Umgang mit Änderungsanforderungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Änderungsmanager

Die Anträge für Patches und Änderungen sollten nach einem festgelegten Vorgehen eingereicht und bearbeitet werden.

Einreichen und Erfassen von Änderungsanforderungen

Zunächst müssen alle Änderungsanforderungen (Request for Changes, RfCs) erfasst werden. Damit alle notwendigen Informationen vorliegen, empfiehlt es sich, den Antragstellern ein Formular zur Verfügung zu stellen (siehe Muster einer Änderungsanforderung aus den Hilfsmitteln zum IT-Grundschutz).

Dieser Antrag dient ebenfalls dazu, die Änderung abzustimmen (siehe auch: M 2.427 Abstimmung von Änderungsanforderungen). Wenn beispielsweise eine Änderung beantragt wurde, um ein bestehendes Problem zu lösen, sollte auch eine entsprechende Referenz auf das Problem, meist eine Erfassungsnummer in einer Datenbank, mit dokumentiert werden.

Nicht jeder Änderungsantrag wird innerhalb des Patch- und Änderungsprozesses als normale Änderung behandelt. Einige routinemäßige Änderungen, die klar umschrieben sind, standardisiert durchgeführt werden und dennoch eine Änderung betreffen, können wie eine Serviceanfrage behandelt werden. Eine Serviceanfrage wäre zum Beispiel das Zurücksetzen eines Passworts und, bezogen auf das Patch- und Änderungsmanagement, eine Änderung am Login-Banner eines Dienstes (der Text mit dem sich der Dienst bei einem Verbindungsaufbau über die Netzwerkschnittstelle meldet).

Änderungsanforderungen filtern und akzeptieren

Nachdem eine Änderungsanforderung erfasst wurde, wird sie durch den Änderungsmanager (Change Manager) kontrolliert. Dabei sollen nicht durchführbare, unnötige oder doppelte Änderungsanforderungen ermittelt werden. Solche Anträge sollten unter Angabe des Grundes abgelehnt werden. Die Antragsteller haben damit die Möglichkeit, die Änderungsanforderung zu überdenken und umzuformulieren.

Wenn eine Änderungsanforderung akzeptiert wurde, werden die Informationen in einem Änderungsdatensatz aufgenommen, um die Änderung durchzuführen. Der Datensatz kann in einem Software-Werkzeug, auf Papier oder auch in einer selbsterstellten Datenbank erfasst werden. Im weiteren Verlauf werden dem Änderungsdatensatz noch die nachstehenden Informationen hinzugefügt:

Änderungsanforderungen klassifizieren (Priorität und Kategorie)

Nachdem eine Änderungsanforderung akzeptiert worden ist, muss sie priorisiert und kategorisiert werden:

Die aus Priorität und Kategorie zusammengesetzte Klassifizierung legt die weitere Bearbeitung der Änderungsanforderung fest und beschreibt somit die Bedeutung der geplanten Änderung.

Prioritäten werden vom Änderungsmanager für eine Änderung vergeben und sind in unterschiedliche Prioritätsstufen eingeteilt, wobei das Sicherheitsmanagement ein Einspruchsrecht gegen zu niedrige bzw. falsche Priorisierung erhalten sollte. Es können beispielsweise die folgenden Prioritätsstufen vom Änderungsmanagement vergeben werden:

Kategorien werden in der Regel vom Änderungsmanagement zugewiesen, wobei auch hier das Sicherheitsmanagement ein Einspruchsrecht gegen eine zu niedrige Kategorisierung erhalten sollte. Kategorien sollen eine Einschätzung darüber liefern, wie sich die Änderung auswirkt und wie die Institution durch den Änderungsprozess belastet wird. Beispielsweise können nachstehende Kategorien vergeben werden:

Planung

Die am Patch- und Änderungsmanagementprozess beteiligten Mitarbeiter planen die Umsetzung für alle angenommenen Änderungen. Bei Bedarf geschieht dies zusammen mit dem CAB. An dieser Stelle des Patch- und Änderungsmanagementprozesses ist es wichtig, die dazu benötigten technischen und personellen Ressourcen zu berücksichtigen und die Auswirkungen auf den Betrieb während der Durchführung der Änderung abzuschätzen. Die folgenden Aspekte sollten mindestens berücksichtigt werden:

Prüffragen: