BSI/200-4/04 Konzeption und Planung
BSI/200-4/04 Konzeption und Planung
Beschreibung
Definition und Abgrenzung
- Überschneidungen und Berührungspunkte mit anderen Managementsystemen
- ISMS
- ITSCM
- Krisenmanagement
- Risikomanagement
- Existierende Prozesse identifizieren
Prävention, Detektion und Bewältigung von Sicherheits- und Schadensereignissen
- Werkschutz
- Brandschutz
- Arbeitsschutz
- Wachschutz
- Haustechnik
- IT Incident Management
- IT Service Continuity Management
- Safety
- Health
- Environment
Prüfen, inwiefern vorhandene Managementsysteme Aspekte des BCM behandeln
- Begriffe definieren und abstimmen
- Störung
- Notfall
- Krise
- Zuständigkeiten klären
Kriterien festlegen, wie bei Eskalation die Zuständigkeit von einer Management-Disziplin an eine andere übertragen werden
Rahmenbedingungen
- Analyse der erweiterten Rahmenbedingungen (AS)
Anforderungen und Einflussfaktoren
- Identifizierung von Anforderungen und Einflussfaktoren an das BCMS (AS)
Kommunikation mit Interessengruppen
- Festlegung der Kommunikation mit Interessengruppen (AS)
- Beispiele interner Interessengruppen
- Beispiele externer Interessengruppen
Schnittstellen
Identifizierung von Schnittstellen (AS)
- Mögliche Schnittstellen eines BCMS
- Risikomanagement
Aufbauorganisation
- Definition der BC-Aufbauorganisation
Dokumentation
Dokumentenstruktur
- Festlegung von Dokumentinformationen (AS)
Eigenschaften
- Eindeutiger Titel
- Eindeutige Versionsnummer
- Dokumentenart
- Autor, Autorin
- Freigabedatum und -person
- Datum der nächsten geplanten Überarbeitung
- Geltungsbereich des Dokuments
- Klassifizierung
- Zielgruppe
- Ablage
- Aufbewahrungszeitraum
- Änderungshistorie
Aktualisierung von Dokumenten
Überprüfung und Aktualisierung von Dokumenten (AS)
- Dokumentenmatrix
Ressourcenplanung
- Faktoren
- Geltungsbereich und Ziele des BCMS
- Zeitliche Vorgaben, z. B. Meilensteine oder Fristen zur Erreichung eines definierten Zustands des BCMS
- Ausgewählte Stufe des BCMS
- Größe und Komplexität der Institution
- Gewählte BC-Aufbauorganisation sowie die Aufgaben und Zuständigkeiten der Rollen
- Posten
- Schulungen und Maßnahmen zur Sensibilisierung
- Technische Lösungen (BCM-Tool, Alarmierungssoftware, )
- Begleitung und Entwicklung besonderer BCM-Prozesse
- Beratung, Coaching oder Zertifizierung
- Umsetzung und Betrieb von BC-Strategien und -Lösungen
Schulung/Sensibilisierung
- Wesentlicher Erfolgsfaktor
Auf- und Ausbau angemessener Fähigkeiten und Kenntnisse der BCM-Rolleninhabenden
- Sicherstellen
Rolleninhabende müssen die benötigten Fähigkeiten und Kenntnisse besitzen/erlangen
- Schulungsmaßnahmen
- Praktika, ...
- Schulungsbedarf
- Je nach vorhandenem Wissen und Vorerfahrungen
- Durch Schulungen gezielt vorbereiten/qualifizieren
- Art der Wissensvermittlung richtet sich nach
- der Anzahl der Rolleninhabenden
- deren spezifischem Bedarf sowie
- den finanziellen Ressourcen
- Prüfen, ob Schulungsziele erreicht wurden
- Wissensabfragen
- Befragung der Teilnehmenden nach Schulungsveranstaltungen
- Falls die Ziele nicht erreicht wurden
- im Maßnahmenplan dokumentieren
- über korrektive Maßnahme behandeln
Leitlinie
Erstellung der Leitlinie BCMS
Funktionen
- Absichtserklärung der Institutionsleitung für ein BCMS
- aufbauen
- betreiben
- kontinuierlich verbessern
- Nachweis, dass die Institutionsleitung die Verantwortung für das BCM übernommen hat
- Wesentlichen Rahmenbedingungen festzulegen, unter denen ein BCMS etabliert und betrieben werden soll
- Verbindlicher Auftrag an alle Mitarbeitenden, daran mitzuwirken
Wesentliche Inhalte
- Motivation für den Aufbau des BCMS
- Rechtliche und regulatorische Anforderungen
- Ziele für den Aufbau des BCMS und dessen Bedeutung für die Institution
- Abzusichernder Zeitraum durch ein BCM
- Geltungsbereich des BCMS
- Übernahme der Gesamtverantwortung der Institutionsleitung
- Selbstverpflichtung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung
- Institutionsspezifische Definitionen
- BCM, Störung, Notfall und Krise
- Erläuterung der zentralen Rollen der BC-Vorsorgeorganisation
- ohne deren Besetzung
- Selbstverpflichtung der Institutionsleitung zur Bereitstellung angemessener Ressourcen für das BCMS
Veröffentlichung und Aktualisierung
- Institutionsleitung muss die Leitlinie
- inhaltlich prüfen
- freigeben
- allen Mitarbeitenden bekannt geben
- Weitere Interessierte Gruppen
- Kunden
- Dienstleistern
- Geschäftspartner
- Leitlinie
- Klassifizieren
- Überprüfungszyklus festgelegt (in der Leitlinie dokumentieren)
- Anlassbezogen aktualisieren
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang