Business Continuity Management: Unterschied zwischen den Versionen

Aus Foxwiki
 
(27 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
[[File:bcmUebersicht.png|mini|450px]]
Sicherstellung des Fortbestands von Einrichtungen
Sicherstellung des Fortbestands von Einrichtungen
* Fokus auf [[Risiko|Risiken]] mit hohem Schadensausmaß
* [[Risiko|Risiken]] mit hohem Schadensausmaß


=== Strategien, Plänen und Handlungen ===
=== Strategien, Plänen und Handlungen ===
Tätigkeiten oder Prozesse ermitteln
Prozesse ermitteln
* deren Unterbrechung
* deren Unterbrechung
* '''ernsthafte Schäden''' oder '''vernichtende Verluste''' zufügen würden
* '''ernsthafte Schäden''' oder '''vernichtende Verluste''' verursachen
* etwa [[Betriebsstörung]]en
* etwa [[Betriebsstörung]]en


Zeile 15: Zeile 14:


=== BSI-Standard 200-4 ===
=== BSI-Standard 200-4 ===
; Business Continuity Management - BCM - 14. Juni 2023  
[[File:bcmUebersicht.png|mini|450px]]
; Business Continuity Management - BCM (2023)
* BSI-Standard 100-4 (Notfallmanagement) - 2008
* BSI-Standard 100-4 (Notfallmanagement) - 2008


Zeile 137: Zeile 137:
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen


=== Rollen und Verantwortungsbereiche ===
=== Rollen/Verantwortungsbereiche ===
[[File:img-096-154.png|mini|400px]]
[[File:img-096-154.png|mini|400px]]


==== Allgemeine Aufbauorganisation (AAO) ====
==== Allgemeine Aufbauorganisation ====
; Allgemeine Aufbauorganisation (AAO)
* Etablierte organisationsweite Hierarchie und Führungsstruktur
* Etablierte organisationsweite Hierarchie und Führungsstruktur


==== Besondere Aufbauorganisation (BAO)  ====
==== Besondere Aufbauorganisation ====
; Besondere Aufbauorganisation (BAO)
* Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
* Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Zeile 197: Zeile 199:
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>


== Eskalation ==
; BSI-Standard 200-4 beschreibt
Interne Eskalation
* Drei Stufen


Extern Eskalation
[[File:eskalation.png|800px]]


=== Szenarien ===
=== Szenarien ===
Zeile 221: Zeile 216:


== Business Impact Analyse ==
== Business Impact Analyse ==
[[File:bia.png|mini|450px]]
* Prozessen mit hohem Schadenspotential
* Prozessen mit hohem Schadenspotential
* Zugrundeliegende Ressourcen
* Zugrundeliegende Ressourcen
Zeile 228: Zeile 222:
* Wiederanlaufpläne
* Wiederanlaufpläne


Grundlage für eine Sicherheitsstrategie
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
* Zusammen mit Risikoanalysen
* Zusammen mit Risikoanalysen
* Notfällen und Krisen
 
=== Vorbereitung ===
{| class="wikitable big options"
|-
! Schritt !!
|-
| 1.1 || Geschäftsprozesse erheben
|-
| 1.2 || Parameter und Zeithorizonte festlegen
|-
| 1.3 || Ressourcenkategorien und -cluster festlegen
|-
| 1.4 || Organisatorische Planung
|-
| 1.5 || Hilfsmittel vorbereiten
|}
 
=== Durchführung ===
{| class="wikitable big options"
|-
! Schritt
|-
| Zeitkritische Prozesse erfassen
|-
| Prozessabhängigkeiten erfassen
|-
| Ressourcenabhängigkeiten erfassen
|-
| Single Points of Failure erfassen
|}
 
=== Auswertung ===
{| class="wikitable big options"
|-
! Schritt
|-
| Qulitätssicherung und Gesamtübersicht
|}


== Dokumentation ==
== Dokumentation ==
Zeile 237: Zeile 268:
=== Referenzdokumente ===
=== Referenzdokumente ===
; Präventiv
; Präventiv
Dokumente zur Vorsorge
* Anforderungen an das BCMS
* Elemente des BCMS
* Teil der Notfallvorsorge
Beispiele
* Leitlinie zum Business Continuity Management
* Leitlinie zum Business Continuity Management
* Notfallvorsorgekonzept
* Notfallvorsorgekonzept
Zeile 243: Zeile 280:


; Reaktiv
; Reaktiv
* Notfallhandbuch
; Dokumentenstruktur
Dokumente zur Vorsorge
* beschreiben die Anforderungen an das BCMS und sind Elemente des BCMS sowie Teil der Notfallvorsorge
Dokumente zur Reaktion
Dokumente zur Reaktion
* werden für die Notfallbewältigung erstellt und genutzt
* Notfallbewältigung


Hinsichtlich der Dokumentenstruktur und der Bezeichnungen der Dokumente, wie beispielsweise „Notfallhandbuch“ oder „Notfallvorsorgekonzept“, sowie den erwähnten Dokumentenarten ist der BSI-Standard 200-4 nicht bindend und kann organisationsspezifisch angepasst werden
Beispiel
* Notfallhandbuch


== Übungen und Tests ==
== Tests und Übungen ==
Übungen und Tests nehmen im BSI-Standard 200-4 einen hohen Stellenwert ein
Tests und Übungen sind im Business Continuity Management besonders wichtig
* Hohen Stellenwert in BSI-Standard 200-4


; Planung von Übungen und Tests
; Planung von Übungen und Tests
Besonderen Widrigkeiten im Geschäftsbetrieb
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
* Wichtiges Kriterium für die Planung von Übungen und Tests
* Wichtiges Kriterium für die Planung von Übungen und Tests


; ISB und der Business Continuity Beauftragte
; ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten
Zeile 290: Zeile 323:


; Synergien
; Synergien
BCMS und ISMS
[[BCMS]] und [[ISMS]]


[[IT-Grundschutz]]
[[IT-Grundschutz]]
Zeile 302: Zeile 335:
* [[IT-Risikomanagement]]
* [[IT-Risikomanagement]]
* ...
* ...


=== Baustein DER.4 Notfallmanagement ===
=== Baustein DER.4 Notfallmanagement ===
[[DER.4 Notfallmanagement]]
[[DER.4 Notfallmanagement]]
<noinclude>


== Anhang ==
== Anhang ==
Zeile 315: Zeile 348:
===== Weblinks =====
===== Weblinks =====
# [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia]
# [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia]
 
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Website zum BCM]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI Hilfsmittel]


[[Kategorie:Business Continuity Management]]
[[Kategorie:Business Continuity Management]]
</noinclude>
</noinclude>

Aktuelle Version vom 15. Juni 2024, 12:25 Uhr

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung[Bearbeiten | Quelltext bearbeiten]

Sicherstellung des Fortbestands von Einrichtungen

Strategien, Plänen und Handlungen[Bearbeiten | Quelltext bearbeiten]

Prozesse ermitteln

  • deren Unterbrechung
  • ernsthafte Schäden oder vernichtende Verluste verursachen
  • etwa Betriebsstörungen

Schützen und alternative Abläufe ermöglichen

BSI-Standard 200-4[Bearbeiten | Quelltext bearbeiten]

Business Continuity Management - BCM (2023)
  • BSI-Standard 100-4 (Notfallmanagement) - 2008
Etablierung eines Business Continuity Management

ISMS nach BSI IT-Grundschutz

  • Grundlage zur Nutzung von Synergieeffekten
  • Auf bereits dokumentierte Informationen zurückgreifen

Business Impact Analyse

  • Zeitkritischen Geschäftsprozesse und Abhängigkeiten
  • Parameter für Normal- und Notbetrieb

Risikoanalyse

Hinweise
  • Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
  • Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
  • siehe auch DER.4 Notfallmanagement
ISO 22301

Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Sicherstellung des Fortbestands einer Einrichtung[Bearbeiten | Quelltext bearbeiten]

Betriebskontinuitätsmanagement
  • Managementmethode
  • Lebenszyklus-Modells
  • Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
  • Enge Verwandtschaft mit dem Risikomanagement
Good Practice Guide

Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.

  • Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.

  • Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.
Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Primär Fragen
  • Welche Prozesse müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
Prioritäten und Ressourcen
  • Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
  • Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung[Bearbeiten | Quelltext bearbeiten]

Business Continuity Management
Aufbau und Betrieb eines Notfall- und Krisenmanagements

Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen

Dadurch soll erreicht werden, dass

  • wichtige Geschäftsprozesse selbst in
    • kritischen Situationen und
    • in Notfällen
    • nicht oder
    • nur temporär
    • unterbrochen werden und
    • die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
Ziel
  • Generierung und Proklamation von Prozessdefinitionen und Dokumentation
  • Betriebsbereiter dokumentierter Notfallvorsorgeplan
  • Exakt auf die Organisation abgestimmt
  • Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

Business Continuity Management System[Bearbeiten | Quelltext bearbeiten]

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen
  • technisch
  • nicht-technisch
Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken
  • frühzeitig erkennen
  • Maßnahmen dagegen etablieren
  • Überleben der Einrichtung sichern
  • Organisationen beliebiger Art, Größe und Branche
Synergieeffekte
  • Zahlreiche Synergieeffekte zum IT-Grundschutz
  • Ressourcen schonen
  • Zusammenhänge und Wechselwirkungen berücksichtigen

Notfallmanagement vs. Business Continuity Management[Bearbeiten | Quelltext bearbeiten]

Notfallmanagement
  • Schäden vermeiden und eindämmen
  • Notfälle verhindern und bewältigen
Klassisches Notfallmanagement
  • Brandschutz
  • Arbeits- und Unfallschutz
  • ...
Business Continuity Management
  • Wiederanlauf des Geschäftsbetriebs
  • Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Einbettung in die Organisationsstruktur[Bearbeiten | Quelltext bearbeiten]

Geplantes und organisiertes Vorgehen
  • Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
  • Auf Schadensereignisse angemessen reagieren
  • Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

  • systematische, geplante und organisierte Vorgehensweise
  • das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
BCMS ist kein Bestandteil eines ISMS
  • Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Rollen/Verantwortungsbereiche[Bearbeiten | Quelltext bearbeiten]

Allgemeine Aufbauorganisation[Bearbeiten | Quelltext bearbeiten]

Allgemeine Aufbauorganisation (AAO)
  • Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation[Bearbeiten | Quelltext bearbeiten]

Besondere Aufbauorganisation (BAO)
  • Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Stufenmodell für Vorgehensweisen[Bearbeiten | Quelltext bearbeiten]

Option Beschreibung
Reaktiv Schnelle Fähigkeit zur Notfallbewältigung
Aufbau Schrittweiser, ressourcenschonender Aufbau
Standard Vollständige Absicherung, Resilienz der Institution

Reaktiv[Bearbeiten | Quelltext bearbeiten]

Schnelle Fähigkeit zur Notfallbewältigung
Basis-Niveau
  • Spart Ressourcen
  • Wenn keine „Notfälle“ eintreten würden
  • Lücken in der Absicherung
  • Nicht alle Bereiche werden betrachtet

Aufbau[Bearbeiten | Quelltext bearbeiten]

Schrittweiser, ressourcenschonender Aufbau
  • Kann für einen kleineren Teil des Scope gezielt eingesetzt
  • Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard[Bearbeiten | Quelltext bearbeiten]

Vollständige Absicherung/Resilienz der Institution
  • Konformität ISO-22301
  • Möglichkeit zur Zertifizierung nach ISO 22301
  • Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Organisationsspezifisches BCMS[Bearbeiten | Quelltext bearbeiten]

Planung eines organisationsspezifischen BCMS

Vorgehensweisen
  • Reaktiv
  • Aufbau
  • Standard
Aufgabenbereiche
  • Planung und Umsetzung
  • Überwachung
  • kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

  • Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden


Szenarien[Bearbeiten | Quelltext bearbeiten]

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Business Impact Analyse[Bearbeiten | Quelltext bearbeiten]

  • Prozessen mit hohem Schadenspotential
  • Zugrundeliegende Ressourcen
  • Abhängigkeiten zwischen Prozessen
  • Auswirkungen von Ausfällen
  • Wiederanlaufpläne

Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen

  • Zusammen mit Risikoanalysen

Vorbereitung[Bearbeiten | Quelltext bearbeiten]

Schritt
1.1 Geschäftsprozesse erheben
1.2 Parameter und Zeithorizonte festlegen
1.3 Ressourcenkategorien und -cluster festlegen
1.4 Organisatorische Planung
1.5 Hilfsmittel vorbereiten

Durchführung[Bearbeiten | Quelltext bearbeiten]

Schritt
Zeitkritische Prozesse erfassen
Prozessabhängigkeiten erfassen
Ressourcenabhängigkeiten erfassen
Single Points of Failure erfassen

Auswertung[Bearbeiten | Quelltext bearbeiten]

Schritt
Qulitätssicherung und Gesamtübersicht

Dokumentation[Bearbeiten | Quelltext bearbeiten]

Referenzdokumente[Bearbeiten | Quelltext bearbeiten]

Präventiv

Dokumente zur Vorsorge

  • Anforderungen an das BCMS
  • Elemente des BCMS
  • Teil der Notfallvorsorge

Beispiele

  • Leitlinie zum Business Continuity Management
  • Notfallvorsorgekonzept
  • Prozessbeschreibungen und Anweisungen
  • Hilfsmittel
Reaktiv

Dokumente zur Reaktion

  • Notfallbewältigung

Beispiel

  • Notfallhandbuch

Tests und Übungen[Bearbeiten | Quelltext bearbeiten]

Tests und Übungen sind im Business Continuity Management besonders wichtig

  • Hohen Stellenwert in BSI-Standard 200-4
Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

  • Wichtiges Kriterium für die Planung von Übungen und Tests
ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

  • Verfahren zu mindestens folgenden Übungsarten ausarbeiten
Übungsarten
Übung Beschreibung
Planbesprechung
Stabsübung
Stabsrahmenübung
Alarmierungsübung
Funktionstest

Synergien[Bearbeiten | Quelltext bearbeiten]

Business Continuity Management[Bearbeiten | Quelltext bearbeiten]

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation
  • zwischen der IT, dem ISB und dem Business Continuity Beauftragten
  • könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
Synergien

BCMS und ISMS

IT-Grundschutz

  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung

Weitere Managementsysteme

Baustein DER.4 Notfallmanagement[Bearbeiten | Quelltext bearbeiten]

DER.4 Notfallmanagement


Anhang[Bearbeiten | Quelltext bearbeiten]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Links[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]
  1. Wikipedia
  2. BSI-Website zum BCM
  3. BSI Hilfsmittel