Zum Inhalt springen

BSI/200-4/02 Einführung

Aus Foxwiki
← Zurück
Weiter →

BSI/200-4/02 Einführung

Beschreibung

Betriebskontinuitätsmanagement (BKM)

Sicherstellung des Fortbestands von Einrichtungen

  • Bei Risiken mit hohem Schadensausmaß
Zeitkritischen Geschäftsprozesse

Im Fokus des BCM

  • Zeitkritische Geschäftsprozesse
  • die gegen Ausfälle abgesichert werden sollen

Begriffe

Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen:

Geschäftsprozess
Zeitkritisch
Allgemeine Aufbauorganisation
Besondere Aufbauorganisation (BAO)

Geschäftsprozess

Ein Geschäftsprozess (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.

  • Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger.

Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend.

  • Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig.

Zeitkritisch

Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.

  • So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen.
  • Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden.
  • Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind.

Allgemeine Aufbauorganisation (AAO)

Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt.

  • Die AAO ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs.
  • Für die AAO sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt.

Besondere Aufbauorganisation (BAO)

Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die AAO und deren Strukturen zu bewältigen sind.

  • In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt.

Die BAO ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann.

  • Innerhalb der BAO gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können.

Störung, Notfall und Krise

Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden

Abgrenzung
Störung - Notfall - Krise

Störung

Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen

  • Störungen werden in der Regel innerhalb des Normalbetriebs durch die AAO der Institution behoben
  • Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen.
  • Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards

Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können

Notfall

Ein Notfall

  • im Sinne dieses Standards
  • ist eine Unterbrechung des Geschäftsbetriebs
  • die mindestens einen zeitkritischen Geschäftsprozess betrifft
  • der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann
Abgrenzung zur Störung

Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine BAO benötigt

Abgrenzung zur Krise

Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden

Ausrufung
  • Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können
  • Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird
Hinweis

Der Begriff Notfall wird hier im Kontext BCM definiert

  • In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben
  • Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint

Krise

Schadensereignis
  • wirkt sich in erheblicher Weise negativ auf die Institution aus
  • Auswirkungen können nicht im Normalbetrieb bewältigt werden
Abgrenzung Notfall

Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor

  • Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht
  • Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der BAO bewältigt
Entstehung von Kriesen

Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren

  • Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der BAO operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement)
  • Zudem können mithilfe der BAO auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen
Eskalation

Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken

  • In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr
  • Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben
  • Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert

Katastrophe

Katastrophe wird in BSI/200-4 nicht definiert

  • Legaldefinitionen der Länder und des Bundes
    • z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg
    • Definition gemäß BBK-Glossar
BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution
  • Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden

Managementsystem

BCMS-Bestandteile

Strategien, Plänen und Handlungen
BCMS etablieren Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern Schützen und alternative Abläufe ermöglichen


PDCA-Zyklus eines Managementsystems


Ablauf der Bewältigung

Bewältigung mit und ohne BCM

Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM


Bewältigung mit BCM

Ablauf der Bewältigung mit BCM


Abgrenzung und Synergien

Informationssicherheit

  • Strukturanalyse
  • Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse
  • Risikoanalyse und -behandlung
  • Maßnahmen
  • Notfallbewältigung
  • Unterschiede zwischen dem BCM und der Informationssicherheit

ITSCM

Krisenmanagement

Outsourcing sowie Lieferketten

Normen und Standards

BCM-Standards und korrespondierende Sicherheitsthemen

ISO 22301

Security and resilience – Business continuity management systems – Requirements

Erster internationaler Standard zum BCM, der eine Zertifizierung ermöglicht

  • Unterstützt Institutionen, Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren

Beschreibt Anforderungen an ein BCMS

  • planen
  • einrichten
  • betreiben
  • überwachen
  • überprüfen
  • kontinuierlich verbessern
Entwicklung

Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999

  • Die ISO 22301 wurde 2019 überarbeitet (ISO 22301:2019)

BSI-Standard 200-4 ist kompatibel zu dieser Version

  • Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene
Ergänzende ISO-Standards der ISO-Reihe 22300

Konkretisieren einzelne Aspekte oder Schnittstellen zum BCM

Norm Aktualisierung Titel
ISO 22313 2020 Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301
ISO 22317 2015 Societal security – Business continuity management systems – Guidelines for business impact analysis
ISO 22318 2015 Societal security – Business continuity management systems – Guidelines for supply chain continuity
ISO 22398 2013 Societal security — Guidelines for exercises

BSI-Standards

BSI/Standard - Vom BSI veröffentlichte Standards

Beschreibung

Standards
200-1 Anforderungen an ein ISMS
200-2 Umsetzung der Anforderungen
200-3 Risikoanalyse
200-4 Business Continuity Management
Kompendium
Kapitel 1 IT-Grundschutz/Kompendium/Vorspann
Kapitel 2 Schichtenmodell / Modellierung
Elementare
Gefährdungen		 Elementare Gefährdungen
Schichten Prozesse
Systeme



Version 200

Status: Standard

Standard Titel Beschreibung
200-1 Managementsysteme für Informationssicherheit
  • Managementsysteme für Informationssicherheit (ISMS)
  • Allgemeinen Anforderungen an ein ISMS
  • Methoden mit welchen Informationssicherheit in einer Institution generell initiiert wird
200-2 Vorgehensweise|IT-Grundschutz-Methodik
  • IT-Grundschutz-Methodik
  • Aufbau und den Betrieb eines Managementsystems für Informationssicherheit
  • Schritte der IT-Grundschutz-Vorgehensweise zur Erstellung einer Sicherheitskonzeption
200-3 Risikomanagement
  • Risikoanalyse auf der Basis von
  • Aufbauend auf der IT-Grundschutz-Vorgehensweise
  • Vreinfachte Analyse von Risiken für die Informationsverarbeitung
  • Basiert auf den elementaren Gefährdungen
  • Kann auch im Rahmen der BCM-Risikoanalyse des BSI-Standards 200-4 angewendet werden
200-4 Business Continuity Management BCM und Informationssicherheit haben zahlreiche Schnittstellen
  • BSI-Standard 200-4 ergänzt die BSI-Standards der 200-x-Reihe


Version 100

Standard Titel Status Beschreibung
100-1 Managementsysteme für Informationssicherheit Veraltet Information Security Management System
100-2 IT-Grundschutz-Methodik Veraltet Vorgehensweisen
100-3 Risikoanalyse Veraltet Risikoanalyse
100-4 Notfallmanagement Veraltet Business Continuity Management


Good Practice Guidelines

Umsetzungshilfen

Good Practice Guidelines (GPG)

  • Herausgegeben vom Business Continuity Institute
  • Erstmal im Jahre 2002
  • Regelmäßig aktualisiert und optimiert
  • In mehrere Sprachen übersetzt

Ziele

  • Hohen Standard des BCM setzen
  • Kompetenz aufzubauen

Leitfaden Krisenkommunikation

Leitfaden Krisenkommunikation des Bundesministeriums des Innern

Interne und externe Krisenkommunikation

  • planen
  • aufzubauen
  • optimieren

Krisenkommunikation analysieren und Krisenkommunikationsplan erarbeiten

ITIL

ITIL (Information Technology Infrastructure Library)

Von AXELOS herausgegeben, gepflegt und weiterentwickelt

  • Erläutert, wie Institutionen anhand von Technologien und Werkzeugen das Servicemanagement digital transformieren können
  • Berücksichtigt aktuelle Trends wie Agile Softwareentwicklung, DevOps und Lean IT-Management

Wenn ein IT-Betrieb an ITIL ausgerichtet ist, kann auf diese Strukturen zurückgegriffen werden

  • Incident Management
  • IT-Service Continuity Management

Leitfäden der Bundesländer

Verschiedene Bundesländer veröffentlichen länderspezifische Leitfäden zum Krisenmanagement

Bundesland Dokument
Nordrhein-Westfalen Leitfaden Krisenmanagement durch Krisenstäbe im Land Nordrhein-Westfalen bei Großeinsatzlagen, Krisen und Katastrophen
Baden-Württemberg Verwaltungsvorschrift der Landesregierung und der Ministerien zur Bildung von Stäben bei außergewöhnlichen Ereignissen und Katastrophen des Landes Baden-Württemberg

Stufenmodell


Vergleich der BCMS-Stufen

Eigenschaft Reaktiv-BCMS Aufbau-BCMS Standard-BCMS
Vorteile Schnelle Fähigkeit zur Notfallbewältigung Schrittweiser, ressourcenschonender Aufbau Vollständige Absicherung, gesteigerte Resilienz
Nachteile Lücken in der Absicherung (Bereiche die nicht/teilweise betrachtet werden) Bereiche, die in der Absicherung der Institution nicht betrachtet werden Größerer Ressourcenbedarf
Reaktiv-BCMS
  • Vereinfachte Methodik
  • Detaillierteren Analysen zeitlich zurückstellen
  • Rahmenbedingungen und Notfallvorsorge
Aufbau- und Standard-BCMS
  • Detaillierte Analysen
  • Vollständigen Methodik
  • Berücksichtigen Notfallvorsorge und Notfallbewältigung

Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen

  • In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden
  • Die BAO kann konkreter und bedarfsorientierter definiert werden
Umfang der Geschäftsprozesse (GP)
  • Im Rahmen der Initiierung des BCMS wird dessen Geltungsbereich festgelegt

Reaktiv- und Aufbau-BCMS

  • Innerhalb des Geltungsbereichs des BCMS kann der Aufwand durch einen eingeschränkten GP-Umfang zunächst reduziert werden
Ziel: Standard-BCMS
  • Anschließend kann der GP-Umfang mit jedem weiteren Zyklus schrittweise gesteigert werden, bis alle Geschäftsprozesse im Geltungsbereich des BCMS betrachtet werden

BCMS-Prozess

PDCA-Struktur

Gesamtübersicht

Umsetzungsreihenfolge der Do-Phase


← Zurück
Weiter →

Anhang

Siehe auch

Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-4/02_Einführung&oldid=166912