BSI/200-4
BSI/200-4 - BSI-Standard zum Business Continuity Management
Beschreibung
Business Continuity Management System in Institutionen aufbauen und etablieren
- Praxisnahe Anleitung
- Leichter Einstieg
- Normativer Anforderungskatalog für erfahrene AnwenderInnen
- Resilienz
Zielsetzung
Herausforderung
Leistungen erbringen
- immer effizienter
- möglichst zu jeder Zeit
- Entwicklungen und Trends
Steigende Anforderungen
- Globalen Wettbewerb
- Fortschreitende Digitalisierung
- Interessengruppen (Aufsichtsbehörden, Kunden, Öffentlichkeit, ...)
- Abhängigkeiten
Steigende Abhängigkeiten
- Informationstechnik (IT)
- Lieferketten
- Drittanbietenden
- Dienstleistungs-
- Zulieferungs-
- Versorgungsunternehmen
Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution
- Existenzbedrohenden Schäden
Gleichzeitig nehmen Risiken zu
- die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können
- gegen die sich Institutionen nicht komplett schützen können
- Cyber-Angriffe
- Naturereignisse
- Ausfall kritischer Geschäftsprozesse
Obwohl
- Institutionen sich mit Informationssicherheit bzw. Cybersicherheit
- sowie mit IT-Service Continuity Management (ITSCM)
- zu schützen versuchen
- führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse
- Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt
- Effizienzsteigerung von Geschäftsprozessen
Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür
- dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden
- Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen
- Zeitfenster
Dadurch verkleinern sich in der Praxis die Zeitfenster innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können
- Notwendigkeit der Vorsorge
- Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC)
Business-Continuity-Management
- Angemessenes Business-Continuity-Management
Mit Hilfe eines angemessenen Business-Continuity-Managements ([BCM]) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können
- Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann
- Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen
- Synergien
- Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern
- Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS)
BSI-Standard 200-4
Der BSI-Standard 200-4 erleichtert den Einstieg in ein BCM, indem ein Stufenmodell mit Einstiegsstufen angeboten wird
Darüber hinaus bietet dieser BSI-Standard eine Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM
- einzuführen
- aufrechtzuerhalten
- zu verbessern
Erfahrene Anwendende, die gegebenenfalls mit einem bereits existierenden BCM arbeiten, können den Anforderungskatalog nutzen, um sich auf schnelle und effektive Weise nach diesem Standard auszurichten
Business-Continuity-Management-Systems (BCMS)
- BCM ist kein einmaliges Projekt
- sondern bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS)
- das sich fortlaufend weiterentwickelt
Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden
- So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen
Organisatorische Resilienz
- Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen
- Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren
- Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für interne als auch für externe Veränderungen
Managementsysteme
- Organisatorische Resilienz
- wird nicht durch ein einzelnes Managementsystem aufgebaut
- sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen
Eckpfeiler, die gemeinsam Resilienz schaffen können
Anhang
Siehe auch
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 WiederanlaufVorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang
Links
Projekt
Weblinks