BSI/200-4/03 Initiierung
BSI/200-4/03 Initiierung - Initiierung eines BCMS
Schritte zur Initiierung
- Initiierung eines BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
- Fragen
- Warum wird in der Institution ein BCM benötigt?
(Motivation für den Aufbau eines BCMS) - Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden?
(Abzusichernder Zeitraum durch ein BCM)
Motivation
- Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften |
|
| Anforderungen an die Kommunikation |
|
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen |
|
| Versicherungsbranche |
|
| Banken |
|
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Ziele
- Entwicklung der Ziele des BCMS
- Zu schützende Geschäftsziele
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden
(grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien) - Bereitschaft Risiken einzugehen
(Risikobereitschaft) - in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- Primäre Ziele der Bewältigung
Zeitraum
- Abzusichernder Zeitraum
Muss für die Institution festgelegt werden
- Hängt stark von unterschiedlichen Gegebenheiten ab
- Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- Reifegrad des BCMS
- vorhandenen oder avisierten Ressourcen des BCMS
- Art und Komplexität des Geschäftszwecks der Institution
- Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll
- Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS
Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann
- gesamte Institution
- einzelne Standorte
- Teilbereiche
- Produkte oder Services
- Eingeschränkten Geltungsbereiche
Organisatorische oder technische Strukturen
- gemeinsame Gebäude
- Produktionsstraßen
- Geschäftsprozesse, ...
- Geltungsbereich
Umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen
- infrastrukturell
- organisatorisch
- personell
- technisch
Der Geltungsbereich muss zur Zielsetzung des BCMS und den Anforderungen passen
- Betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein
- Mehrere BCMS
Es kann sinnvoll sein, mehrere BCMS für Geltungsbereiche zu entwickeln
- Bereiche mit zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS
- Andere Bereichen ein Reaktiv-BCMS
- Nicht nur technische Aspekte
Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen
- So können Verantwortung und Zuständigkeiten eindeutig festgelegt werden
- Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden
Vorgehensweise
Entscheidung für Vorgehensweise
- Reaktiv- und anschließendes Aufbau-BCMS
Anstelle eines groß angelegten BCM-Einführungsprojekts
- das keinen schrittweisen Aufbau vorsieht
- kann es zu Beginn effizienter sein, ein BCMS in der Linie einführen
- in mehreren kleineren Schritten ohne hohe Investitionskosten
- Standard-BCMS
- Es ist auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und gleich ein Standard-BCMS anzustreben
- Grundsätzlich muss BCM immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.
- Durchlaufzeit eines PDCA-Zyklus
Sollte sich an der Veränderungsgeschwindigkeit der Institution orientieren
- wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann
Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr ausrichten
- jährliche Berichtswesen
- jährliche Überprüfung der Ziele
- In diesem Zeitrahmen kann sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind
Ressourcen
- Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
- Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle
- Institutionsleitung muss entscheiden
- wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden
- Entscheidungen müssen auf der Zielsetzung, den Rahmenbedingungen des BCMS und dem Geltungsbereich basieren
- BCM-Beauftragte unterstützen
- Erarbeitung von geeigneten Vorschlägen
- Geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
- Zeitplan
- Entscheidung begründen und dokumentieren
Entscheidung muss nachvollziehbar begründet und dokumentiert werden (Leitlinie)
- Wesentlichen Einflussfaktoren, die zur Auswahl der Stufe geführt haben
- Vor- und Nachteile
- Zu berücksichtigenden Risiken
- Langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen
- Ziel sollte immer ein Standard-BCMS sein
- Vor- und Nachteile der BCMS-Stufen
| Stufe | Pro | Contra |
|---|---|---|
| Reaktiv-BCMS |
|
|
| Aufbau-BCMS |
|
|
| Standard-BCMS |
|
|
Business Continuity Beauftragte
- BC-Beauftragte ( BCB ) unterstützen die Institutionsleitung
- Muss benannt werden
- Hauptanlaufstelle für alle BCM-Fragen
- koordinieren sämtliche BCM-Aufgaben
- treiben das BCM innerhalb der Institution voran
Zusätzlich sollte für den oder die BCB eine qualifizierte Vertretung benannt werden
- Bezeichnung für die Rolle
- BCB
- Notfallbeauftragte
- Business Continuity Manager
- Notfall-Manager oder -Managerin
- Titel und Rollenverständnis
Aus diesen Titeln folgt aber auch manchmal ein anderes Rollenverständnis
- Titel wie Notfall-Manager oder -Managerin führen oft dazu, dass fälschlicherweise angenommen wird, die Rolleninhabenden steuerten die Notfallbewältigung, obwohl die Rolle in der Regel innerhalb der Notfallvorsorge tätig ist
- Im Standard wird daher diese Rolle durchgehend als BCB bezeichnet
- Stabsstelle
Es ist empfehlenswert, die Position der Rolle BCB organisatorisch als Stabsstelle in der AAO einzurichten
- also als eine direkt der Leitungsebene zugeordnete Position
- die von keinen anderen Stellen Weisungen bekommt
- direkte und jederzeitige Vorspracherecht bei der Institutionsleitung
Es wird davon abgeraten, die Rolle BCB in einer Organisationseinheit in der Linienorganisation zu verorten
- IT-Abteilung oder Verwaltung
- da hierbei leicht Interessenkonflikte entstehen können
- Information
- BCB muss über das Geschehen in der Institution, soweit es einen Bezug zur BCM-Tätigkeit hat, umfassend und frühzeitig unterrichtet werden
Zeitliche Ressourcen
Keine allgemeingültigen Vorgaben
- Was angemessen ist, muss für jede Institution individuell entschieden werden
Sofern sich das BCMS noch im Aufbau befindet, besteht die Herausforderung, dass die Methoden, die Vorgaben und die Organisationsstruktur noch nicht definiert und etabliert sind
- Zeitliche Aufwand während des Aufbaus des BCMS meist höher als im späteren Betrieb
- Initiale Konzeption ist zeitaufwendig
- Business-Impact-Analyse (BIA)
- Geschäftsfortführungspläne (GPs)
- Nach Etablierung sinkt der Aufwand
- Angaben überprüfen
- GPs aktualisieren
- Schätzung der Aufwände durch die Institutionsleitung
„Wie oft bzw. wie viel Stunden soll sich der oder die BCB mit dem BCMS auseinandersetzen?“
- z. B. drei Tag pro Woche oder kontinuierlich
BCB müssen über ausreichend zeitliche Ressourcen verfügen, um ihre Aufgaben erfüllen zu können
- Für kleine Institutionen kann es nach erfolgreichem Aufbau des BCMS ausreichend sein, eine 50 %- BCB -Stelle für die Aufrechterhaltung und Weiterentwicklung des BCMS einzuplanen
- Demgegenüber kann es in großen oder komplexen Institutionen auch erforderlich sein, mehrere Vollzeitstellen zur Unterstützung des oder der BCB , d. h. ein mehrköpfiges BCB -Team, einzusetzen, um das BCMS einzuführen und aufrechtzuerhalten
- Frühzeitig mit der Ressourcenplanung auseinandersetzen
- Rahmenbedingungen, Anforderungen, organisatorische und finanziellen Möglichkeiten berücksichtigen
- Aus dem laufenden Betrieb des BCMS können zeitlichen Ressourcen sukzessiv konkretisiert und angepasst werden
Fachliche und persönliche Eigenschaften
Um den vielfältigen Aufgaben und Anforderungen im BCM gerecht zu werden, müssen BCB angemessene fachliche und persönliche Eigenschaften inklusive entsprechendem Fachwissen sowie Erfahrungen besitzen
- Fehlende fachliche Eigenschaften sollten durch gezielte Maßnahmen aufgebaut werden.
Die Definition der BC-Aufbauorganisation decken die in der Praxis üblichen Aufgaben und Zuständigkeiten ab.
- Fachlichen und persönlichen Fähigkeiten und Kenntnisse
- Führung von Mitarbeitenden
- Kommunikationsfähigkeiten
- Themen zielgruppengerecht für die aufzubereiten
- strategischen Entscheidungen vorbereiten und vorzutreiben
- Kenntnisse allgemeiner und branchenspezifischer Vorgehensweisen und Methoden
- BCM-Standards
- in der Branche übliche Best Practices
- spezifische BCM-Anforderungen einer Aufsichtsbehörde
- Kenntnisse von anzuwendenden
- Gesetzen
- Vorschriften
- Standards
- weiteren Leitlinien
- Kenntnisse zur Bewältigung von Notfällen und Krisen
- allgemeines Vorgehen in Notfällen
- Erfahrungen in der Stabsarbeit
- Kenntnisse von den weiteren Sicherheits- und Risikomanagementaufgaben innerhalb der Institution
- Selbstständig Richtlinien, Anweisungen, Handbücher und Verfahrensdokumentationen erstellen
- gute Kenntnisse der Institution
- Prozesse
- Produkte
- Services
- Ziele der Institution
- Kenntnisse zu Risiken über
- den Geschäftsbetrieb der Institution
- die spezifischen betrieblichen Auswirkungen von Notfällen
- Wissen und Erfahrungen hinsichtlich möglicher Maßnahmen zum BCM
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang