BSI/200-4/10 Business-Continuity-Strategie

BSI/200-4/10 Business-Continuity-Strategie

Entwicklung von BC-Strategien und -Lösungen

Die Institution muss geeignete BC-Strategien definieren, die den Handlungsbedarf aus der BCM-Risikoanalyse abdecken

• Üblicherweise übernimmt diese Tätigkeit der oder die BCB.

Hierzu kann sich der oder die BCB zunächst an den in der BIA festgelegten Ressourcenkategorien orientieren

• Für jede Ressourcenkategorie ist es empfehlenswert, zu prüfen, welche grundsätzlichen BC-Strategien möglich wären, um die jeweilige Ressourcenkategorie abzusichern
• Eine BC-Strategie kann sowohl dazu geeignet sein, die Eintrittshäufigkeit eines Ressourcen- oder Geschäftsprozessausfalls durch Vorsorgemaßnahmen zu senken, als auch einen Notbetrieb durch BC-Lösungen sowie Notfallmaßnahmen zu ermöglichen
• Sie sollte geeignet sein, den Geschäftsbetrieb mindestens über den abzusichernden Zeitraum mit einem angemessenen Notbetrieb abzudecken.

Liegt bereits eine Wiederherstellungsplanung vor, z. B. aus einem ITSCM oder einem früheren BCM-Zyklus, dann können aus dieser Planung Rückschlüsse gezogen werden, wie lange eine vollständige Wiederherstellung der Ressource voraussichtlich zeitlich in Anspruch nehmen wird

• Diese Information kann im BCM genutzt werden, um in der Auswahl von BC-Strategien und -Lösungen die maximal mögliche Notbetriebsdauer mit der voraussichtlich notwendigen Notbetriebsdauer vergleichen zu können
• Die Wiederherstellungsplanung unterstützt somit bei der Identifikation bedarfsgerechter und wirtschaftlicher BC-Strategien und -Lösungen.

Zusätzlich kann es zweckmäßig sein, einzelne Ressourcenkategorien weiter zu unterteilen

• Dies ist etwa dann sinnvoll, wenn für unterteilte Ressourcenkategorien durch unterschiedliche BC-Strategien ein besseres Gesamtergebnis der BC-Strategien möglich wird.

Die Ressourcenkategorie Gebäude und Infrastruktur kann etwa einen gesamten Standort, ein einzelnes Gebäude oder gar einzelne Gebäudeteile umfassen

• Bei einem gesamten Standortausfall könnte die BC-Strategie lauten, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
• Fallen hingegen nur einzelne Gebäudeteile aus, dann kann eine BC-Strategie dazu lauten, die Arbeitsplätze oder die Produktion innerhalb des Gebäudes oder Standortes zu verlagern.

Die BC-Strategien sollten die noch nicht adressierten Korrekturbedarfe und Verbesserungsmöglichkeiten aus vorangegangenen BCMS-Zyklen angemessen berücksichtigen.

Zu den identifizierten Korrekturbedarfen und Verbesserungsmöglichkeiten vorangegangener BCMS-Zyklen zählen etwa Lücken, die mit den bestehenden personellen, finanziellen oder zeitlichen Ressourcen bislang nicht behandelt werden konnten oder bewusst nicht behandelt wurden

• Dies gilt insbesondere für initiale Entwicklungsstufen.

Obwohl Cyberangriffe nicht in der BC-Planung des BCM oder ITSCM vollumfänglich abgedeckt werden können, kann es sinnvoll sein, diese themenübergreifenden Aspekte in der Identifikation von BC-Strategien mit zu berücksichtigen und dazu das ISMS mit einzubinden

• Sofern ein ISMS besteht, können hierbei die Anforderungen an die jeweiligen BC-Strategien sowie mögliche Vorsorgemaßnahmen, die mitunter im ISMS bereits bestehen, gemeinsam abgestimmt und in eine BC-Strategie überführt werden
• Jedoch können RTO und RPO bei einem Cyberangriff meist nicht eingehalten werden.