BSI/200-4
BSI/200-4 - BSI-Standard zum Business Continuity Management
Beschreibung
Business Continuity Management System in Institutionen aufbauen und etablieren
- Praxisnahe Anleitung
- Leichter Einstieg
- Normativer Anforderungskatalog für erfahrene AnwenderInnen
Zielsetzung
- Herausforderung
Behörden und Unternehmen stehen vor der Herausforderung, immer effizienter und möglichst zu jeder Zeit Leistungen zu erbringen
- Entwicklungen und Trends
Steigende Anforderungen
- des globalen Wettbewerbs
- der fortschreitenden Digitalisierung
- verschiedener Interessengruppen, d. h. von Aufsichtsbehörden, Kunden, usw.
- Abhängigkeiten
Institutionen werden immer abhängiger von
- Informationstechnik (IT)
- funktionierenden Lieferketten
- Leistungen von Drittanbietenden wie beispielsweise Dienstleistungs-, Zulieferungs- und Versorgungsunternehmen
Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution
- Existenzbedrohenden Schäden
Gleichzeitig nehmen Risiken zu, die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können
- Hierunter fallen z. B. Cyber-Angriffe oder extreme Naturereignisse, gegen die sich Institutionen nicht komplett schützen können
- Ausfällen kritischer Geschäftsprozesse
Obwohl Institutionen sich mit Informationssicherheit bzw. Cybersicherheit sowie mit IT-Service Continuity Management (ITSCM) zu schützen versuchen, führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse
- Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt.
- Effizienzsteigerung von Geschäftsprozessen
Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür, dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden
- Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen
- Zeitfenster
Infolgedessen verkleinern sich in der Praxis die Zeitfenster, innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können
- Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC)
- Angemessenen Business-Continuity-Management
Mit Hilfe eines angemessenen Business-Continuity-Managements (BCM) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können
- Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann
- Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen
- Synergien
- Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern
- Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS)
- BSI-Standard 200-4
Der BSI-Standard 200-4 erleichtert den Einstieg in ein BCM, indem ein Stufenmodell mit Einstiegsstufen angeboten wird
Darüber hinaus bietet dieser BSI-Standard eine Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM
- einzuführen
- aufrechtzuerhalten
- zu verbessern
Erfahrene Anwendende, die gegebenenfalls mit einem bereits existierenden BCM arbeiten, können den Anforderungskatalog nutzen, um sich auf schnelle und effektive Weise nach diesem Standard auszurichten
- Business-Continuity-Management-Systems (BCMS)
BCM ist kein einmaliges Projekt, sondern bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS), das sich fortlaufend weiterentwickelt
- Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden
- So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen
- Resilienz
Die organisatorische Resilienz einer Institution ist die Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen
- Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren
- Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für interne als auch für externe Veränderungen
- Managementsysteme
Organisatorische Resilienz wird nicht durch ein einzelnes Managementsystem aufgebaut, sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen
- Der BSI-Standard 200-4 berücksichtigt die Informationssicherheit, das Business Continuity Management, die Krisenbewältigung und IT-Service Continuity als Eckpfeiler, die gemeinsam Resilienz schaffen können.
Anhang
Siehe auch
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführungsplanung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang
- BSI/200-4/Modernisierung
Links
Projekt
Weblinks