BSI/200-4/11 Geschäftsfortführung

BSI/200-4/11 Geschäftsfortführungsplanung

Eine effektive Vorbereitung der GFPs ist die Voraussetzung dafür, dass

• die GFPs effizient, vergleichbar und valide erstellt werden können,
• die Teilnehmenden optimal auf die Fragestellungen vorbereitet werden,
• die Verfügbarkeit der Pläne im Notfall gewährleistet ist sowie
• im Notfall die Leser die GFPs gut lesen und schnell anwenden können.

Es ist empfehlenswert, dass die Vorbereitung durch die Rolle BCB erfolgt, da diese über das notwendige Fachwissen zum BCM-Prozess verfügt und diesen zeitlich steuert.

• Der oder die BCB kann vorbereitende Tätigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren, z. B. an lokale BCBs, BCKs oder ein BC-Vorsorgeteam.

Es ist wichtig, dass der oder die BCB festlegt, wie die GFPs im Hinblick auf die zugrundeliegende Struktur der Institution aufgeteilt werden sollen

• Es gibt viele Möglichkeiten, wie Geschäftsfortführungspläne organisatorisch aufgeteilt werden könnten
• So könnte ein GFP je Geschäftsprozess oder Organisationseinheit erstellt werden
• Ferner könnten GFPs auch weiter anhand von Ausfallszenarien aufgeteilt werden

Entscheidend für eine schnelle Reaktion ist jedoch, dass

• eine anschauliche Übersicht über die zeitkritischen Geschäftsprozesse und Ressourcen ermöglicht wird sowie
• die Zuständigkeiten der im GFP beschriebenen Maßnahmen möglichst klar geregelt sind.

Hierbei hat es sich in der Praxis bewährt, einen GFP je Organisationseinheit zu erstellen.

Dieses Vorgehen bietet viele Vorteile

• Die zuständigen Kontaktpersonen, die den GFP erstellen und aktualisieren, können eindeutig der Organisationseinheit zugeordnet werden
• Zudem wird eine überschaubare Anzahl an Dokumenten erzeugt und die GFPs spiegeln die vertraute Organisationsstruktur wider
• Die GFPs lassen sich so leichter voneinander abgrenzen.

Im Einzelfall kann es sinnvoll sein, von dieser Struktur abzuweichen

• Dies ist etwa der Fall, wenn
• Verantwortungs- und Tätigkeitsbereiche nicht klar voneinander abgrenzbar sind, z. B. in einer Matrix-Organisation, oder
• Organisationseinheiten standortübergreifend agieren und auf unterschiedliche Ressourcen zugreifen.

Zusätzlich können länderspezifische Anforderungen und Gegebenheiten unter Umständen dazu führen, dass für gleiche Geschäftsprozesse und Ressourcen im GFP unterschiedliche Notfallmaßnahmen an unterschiedlichen Standorten beschrieben werden müssen.

Hinweis

Ob die GFPs sinnvoll aufgeteilt und voneinander abgegrenzt wurden, kann mitunter erst im Rahmen der Erstellung der GFPs fundiert bewertet werden

• Der oder die BCB sollte daher die Aufteilung der GFPs im Rahmen der Erstellung der GFPs mit den entsprechenden Kontaktpersonen diskutieren und gegebenenfalls den Geltungsbereich des GFP anpassen oder in mehrere GFPs aufteilen.

Um die Erläuterungen in den folgenden Kapiteln zu vereinfachen, wird davon ausgegangen, dass die GFPs entsprechend den Organisationseinheiten aufgeteilt wurden

• Werden die GFPs in der Institution anderweitig aufgeteilt, so sollten die Inhalte dieses Standards angepasst auf die eigene Vorgehensweise angewendet werden.

Um die Geschäftsfortführung im Notfall zu erleichtern, sollte der oder die BCB sicherstellen, dass die GFPs einheitlich aufgebaut und nachvollziehbar dokumentiert sind

• Hierzu sollte eine GFP-Dokumentvorlage erstellt werden

Die nachfolgenden Aspekte müssen darin berücksichtigt werden:

Der Geltungsbereich beschreibt den organisatorischen und räumlichen Bereich, in welchem die Maßnahmen und Verfahren eines GFP gelten

• Die Beschreibung des Geltungsbereichs stellt sicher, dass der GFP sowie die darin beschriebenen Maßnahmen ausschließlich in dem für ihn vorgesehenen Umfeld eingesetzt werden
• Es könnte z. B. vorkommen, dass die beschriebenen Maßnahmen nicht in anderen Organisationseinheiten oder Standorten eingesetzt werden können oder den dort notwendigen Maßnahmen widersprechen.

In der Zielstellung des GFP muss beschrieben werden, was durch den GFP erreicht werden soll und was explizit nicht durch den GFP forciert wird

• Die Beschreibung der Zielstellung stellt sicher, dass der GFP nur zu seinem gedachten Zweck eingesetzt wird und nicht etwa im Rahmen des Normalbetriebs zweckentfremdet oder mit anderen Themen vermischt wird.

Der Aktivierungsprozess, die gesonderten Rechte und Pflichten der Mitarbeitenden sowie die besonderen Melde- und Berichtspflichten werden in Kapitel 11.2.1 Festlegung übergreifender Maßnahmen (R+AS) näher erläutert.

Innerhalb des GFP müssen alle zeitkritischen Geschäftsprozesse einer Organisationseinheit sowie deren MTPD und RTO dokumentiert werden

• Die Dokumentation hat zum Ziel, dem Stab im Notfall eine Übersicht über die zeitkritischen Geschäftsprozesse im Geltungsbereich sowie deren MTPD und RTO zu verschaffen
• Die Auflistung schafft Transparenz über die bestehenden zeitkritischen Geschäftsprozesse sowie über die zeitliche Reihenfolge, in welcher diese wieder in einem Notbetrieb anlaufen müssen.

Zusätzlich müssen die identifizierten Abhängigkeiten zwischen zeitkritischen Geschäftsprozessen dokumentiert werden

• Hierunter fallen auch prozessuale Abhängigkeiten, die etwa zwischen Organisationseinheiten bestehen
• Dadurch ist es möglich, im Notfall schnell festzustellen, welche Geschäftsprozesse durch einen vor- oder nachgelagerten oder parallelen Prozessausfall betroffen sind
• Die Tätigkeiten im Notbetrieb können so leichter institutionsweit priorisiert werden.

Alle zeitkritischen Ressourcen der betrachteten Organisationseinheit sowie die identifizierten RTAs und RTOs sowie die RPOs und RPAs müssen innerhalb des GFP dokumentiert werden

• Aufgeteilt nach möglichem Ressourcenausfall müssen innerhalb des GFP Notfallmaßnahmen abgeleitet werden, wie die Organisationseinheit mit den im Rahmen der Wiederanlaufplanung bereitgestellten Ressourcen arbeitet
• Die Notfallmaßnahmen zielen darauf ab, die Geschäftsprozesse bei Ausfall der Ressourcen innerhalb der RTO auf dem vorgegebenen Notbetriebsniveau fortzuführen.

Innerhalb des GFP müssen sämtliche internen sowie externen Kontakte dokumentiert werden, die im Rahmen der Geschäftsfortführung relevant sind, vor allem im Notfall erreichbare Telefonnummern

• Dies sind z. B. die Kontaktdaten von Mitarbeitenden aus anderen Fachbereichen, von internen oder externen Fachleuten sowie von innerhalb der Organisationseinheit benötigten Dienstleistungsunternehmen
• Die Dokumentation der relevanten Kontakte ermöglicht einen schnellen Zugriff auf die entsprechenden Stellen sowie eine Unabhängigkeit von anderen, möglicherweise nicht verfügbaren Kontakt-Quellen wie digitalen Telefonbüchern
• Sofern die Kontakt-Informationen bereits ausfallsicher an anderer Stelle dokumentiert sind, genügt es, im GFP die Kontakt-Informationen zu referenzieren und im Notfall verfügbar zu machen.

Innerhalb des GFP sollten alle zur Geschäftsfortführung relevanten Dokumente sowie ihre jeweiligen Ablageorte notiert werden

• Mögliche Dokumente sind etwa Prozessbeschreibungen oder Handlungsanweisungen
• In einem Notfall kann durch die zielgerichteten Verweise schnell auf die relevante Information in den jeweiligen Dokumenten zugegriffen werden
• Voraussetzung ist, dass die für die Notfallbewältigung benötigten Dokumente schnell zu erfassen sind und konkrete Notfallmaßnahmen leicht daraus abgeleitet werden können
• Es muss sichergestellt werden, dass die Ablageorte entsprechend dem Schutzbedarf abgesichert und auch im Notfall zugänglich sind.

Hinweis

Sofern für die Geschäftsfortführung auf Informationen in anderen Dokumenten zurückgegriffen werden soll, ist es empfehlenswert, dass alle im GFP aufgeführten Dokumente am Ende des GFP noch einmal in einer Gesamtliste der benötigten Dokumente namentlich aufgeführt werden

• Zusätzlich sollte dann je Dokument der jeweilige Ablageort referenziert werden.

Es ist empfehlenswert, dass die erstellte GFP-Vorlage mit den bereits bekannten Informa­tionen aus BIA und Soll-Ist-Vergleich je Geltungsbereich vorausgefüllt wird. Zu den be­reits bekannten Informationen gehören

• der Geltungsbereich des GFP,
• die zeitkritischen Geschäftsprozesse in diesem Geltungsbereich,
• die Abhängigkeiten zu diesen zeitkritischen Geschäftsprozessen,
• die MTPD, die RTO und das Notbetriebsniveau jedes gelisteten Geschäftsprozesses sowie
• die zeitkritischen Ressourcen mit ihrer jeweiligen RTA, RTO sowie RPA und RPO.

Um ursachenbasiert konkrete Notfallmaßnahmen zu beschreiben, bietet es sich in einem GFP an, die relevanten Informationen den Ressourcenkategorien zuzuordnen.

• Dies er­laubt einen schnellen Zugriff auf die Informationen im Notfall.

Die Geschäftsfortführungsplanung kann weitestgehend analog zum Vorgehen in der BIA organisiert werden.

• Insbesondere, wenn GFPs erstmalig erstellt werden, ist es empfehlenswert, dass der oder die BCB dies im Rahmen von Workshops durchführt.
• Er oder sie kann hierbei die Methodik und die Inhal­te des GFP erläutern und den Workshop moderieren.

Es ist empfehlenswert, dass die gleichen Personen wie in den vorangegangenen Schrit­ten zur BIA am Workshop teilnehmen.

• Dieser Personenkreis verfügt in der Regel über umfangreiches Wissen über die Geschäftsprozesse und die dafür benötigten Ressourcen und kann entsprechend qualitative Aussagen zur Geschäftsfortführung tätigen.
• Der Teil­nehmendenkreis bleibt so überschaubar, kann jedoch bei Bedarf durch weitere Prozess- und Ressourcenfachleute ergänzt werden.

In diesem Kapitel wird beschrieben, wie die Inhalte der GFPs erarbeitet werden. Insbe­sondere müssen folgende Inhalte im GFP dokumentiert werden:

• Geltungsbereich des GFP
• Zweck und Zielsetzung des GFP
• Aktivierungsprozess des GFP
• die gesonderten Rechte, Berechtigungen und Pflichten der Mitarbeitenden im Gel­tungsbereich des GFP im Notfall
• alle zeitkritischen Geschäftsprozesse und deren RTO im Geltungsbereich des GFP
• die identifizierten Abhängigkeiten zu den zeitkritischen Geschäftsprozessen des GFP
• die für die zeitkritischen Geschäftsprozesse des GFP benötigten Ressourcen und de­ren RTO/RPO
• organisatorische Notfallmaßnahmen zur Geschäftsfortführung
• die im Notfall relevanten Kontakte oder Referenzen auf diese

Zusätzlich ist es empfehlenswert, die Melde- und Berichtspflichten im Notfall im GFP zu dokumentieren:

• Falls auf Informationen in anderen Dokumenten verwiesen wird, müssen diese Doku­mente im GFP nachvollziehbar referenziert werden.
• Im GFP muss beschrieben werden, wie die relevanten Mitarbeitenden im Notfall alarmiert und informiert werden.

Die Festlegung übergreifender Maßnahmen beinhaltet alle übergreifenden Aspekte, die nicht dazu dienen, die Geschäftsfortführung einzelner Geschäftsprozesse zu regeln

In einem ersten Schritt muss die Organisationseinheit beschreiben, wie die relevanten Mitarbeitenden im Falle eines Notfalls alarmiert und informiert werden, nachdem der GFP durch den Stab formal aktiviert wurde

• Die Organisationseinheit kann sich hierzu an den Erläuterungen des Kapitels Alarmierung der BAO (R+AS) ausrichten und den festgelegten Alarmierungs- und Eskalationspfad für die Organisationseinheit fortschreiben

Hierzu wird empfohlen, für die Organisationseinheit intern festzulegen,

• welche Personen bzw. Funktionen in Kenntnis gesetzt werden sollen,
• über welche Kommunikationsmittel die Alarmierung im Notfall erfolgen soll sowie
• welche weiteren Schritte sich aus der Alarmierung ergeben.

Zu alarmierende Kontaktpersonen können Mitglieder des Bewältigungsteams, weitere Mitarbeitende, externe Fachleute oder externe Stellen sein

• Die Kontaktlisten können als Anhang zum GFP hinterlegt werden, um personenbezogene oder vertrauliche Kontaktdaten ihrem Schutzbedarf entsprechend ablegen zu können.

Innerhalb des Kapitels Konstituierung und Auflösung der BAO (AS) ist beschrieben, nach welchen Kriterien GFPs durch den Stab aktiviert werden

• Innerhalb dieses Abschnitts im GFP werden diese Kriterien aufgegriffen und konkretisiert.

Für die Dauer des Notfalls kann es notwendig sein, allen oder einzelnen Mitarbeitenden im Geltungsbereich des GFP besondere Rechte und Pflichten zuzuteilen

• Diese beschreiben etwa, welche gesonderten Zuständigkeiten und Zugangs-, Zutritts- und Zugriffs-Rechte Mitarbeitenden im Notfall zugeteilt werden
• Gesonderte Rechte umfassen auch solche im Rahmen von Freigabeprozessen oder Führungsaufgaben
• Die gesonderten Rechte gelten von dem Zeitpunkt an, ab dem der GFP aktiviert wurde bis zu dem Zeitpunkt, an dem der Notfall deeskaliert wird.

Fallen Geschäftsprozesse innerhalb des Geltungsbereichs des GFPs aus, können besondere Melde- und Berichtspflichten an interne und externe Stellen bestehen

• Diese Meldepflichten sollten innerhalb des GFP dokumentiert werden, sofern sie von denen des Normalbetriebs abweichen und nur für die Dauer des Notfalls gelten
• Die besonderen Melde- und Berichtspflichten richten sich sowohl an interne als auch externe Interessengruppen
• Hierunter fallen etwa andere Organisationseinheiten der Institution, Aufsichtsbehörden, Kunden und Kundinnen sowie dienstleistende und zuliefernde Institutionen, die für die Dauer des Notfalls gesondert informiert werden
• Dies kann beispielsweise häufigere Meldungen oder Berichte umfassen oder gesonderte Inhalte der Meldungen

Es ist empfehlenswert, folgende Informationen zu beschreiben:

• Stelle, an die gemeldet oder berichtet werden soll
• Rolle, die melden oder berichten soll
• Medium, über das gemeldet oder berichtet werden soll
• Inhalt, der gemeldet oder berichtet werden soll
• Zeitpunkt oder Häufigkeit, zu dem oder in der gemeldet oder berichtet werden soll