Business Continuity Management: Unterschied zwischen den Versionen
(52 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Sicherstellung des Fortbestands von Einrichtungen | Sicherstellung des Fortbestands von Einrichtungen | ||
* | * [[Risiko|Risiken]] mit hohem Schadensausmaß | ||
=== Strategien, Plänen und Handlungen === | === Strategien, Plänen und Handlungen === | ||
Prozesse ermitteln | |||
* deren Unterbrechung | * deren Unterbrechung | ||
* '''ernsthafte Schäden''' oder '''vernichtende Verluste''' | * '''ernsthafte Schäden''' oder '''vernichtende Verluste''' verursachen | ||
* etwa [[Betriebsstörung]]en | * etwa [[Betriebsstörung]]en | ||
Zeile 15: | Zeile 14: | ||
=== BSI-Standard 200-4 === | === BSI-Standard 200-4 === | ||
; Business Continuity Management - BCM | ; Business Continuity Management - BCM (2023) | ||
* BSI-Standard 100-4 (Notfallmanagement) - 2008 | * BSI-Standard 100-4 (Notfallmanagement) - 2008 | ||
{{:BsiUebersicht}} | |||
; Etablierung eines Business Continuity Management | ; Etablierung eines Business Continuity Management | ||
[[ISMS]] nach BSI [[IT-Grundschutz]] | [[ISMS]] nach BSI [[IT-Grundschutz]] | ||
* Grundlage zur Nutzung von Synergieeffekten | * Grundlage zur Nutzung von Synergieeffekten | ||
* | * Auf bereits dokumentierte Informationen zurückgreifen | ||
[[Business Impact Analyse]] | [[Business Impact Analyse]] | ||
* | * Zeitkritischen Geschäftsprozesse und Abhängigkeiten | ||
* Parameter für Normal- und Notbetrieb | * Parameter für Normal- und Notbetrieb | ||
[[Risikoanalyse]] | [[Risikoanalyse]] | ||
* Methodik nach [[BSI-Standard 200-3]] | * Methodik nach [[BSI-Standard 200-3]] | ||
* kann aus dem ISMS adaptiert werden | * kann aus dem ISMS ''adaptiert'' werden | ||
; Hinweise | ; Hinweise | ||
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus | * Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus | ||
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements | * Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements | ||
* | * siehe auch [[DER.4 Notfallmanagement]] | ||
=== Sicherstellung des Fortbestands === | ; ISO 22301 | ||
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden | |||
=== Sicherstellung des Fortbestands einer Einrichtung === | |||
* im Sinne ökonomischer [[Nachhaltigkeit]] | * im Sinne ökonomischer [[Nachhaltigkeit]] | ||
* im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß | * im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß | ||
Zeile 45: | Zeile 47: | ||
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern | * Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern | ||
* Enge Verwandtschaft mit dem [[Risikomanagement]] | * Enge Verwandtschaft mit dem [[Risikomanagement]] | ||
; Good Practice Guide | ; Good Practice Guide | ||
Zeile 75: | Zeile 72: | ||
; Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s | ; Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s | ||
Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen | |||
Dadurch soll erreicht werden, dass | Dadurch soll erreicht werden, dass | ||
Zeile 86: | Zeile 83: | ||
** die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt. | ** die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt. | ||
; Ziel | ; Ziel | ||
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | * Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | ||
* | * Betriebsbereiter dokumentierter Notfallvorsorgeplan | ||
* Exakt auf | * Exakt auf die Organisation abgestimmt | ||
* | * Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“ | ||
== Business Continuity Management System == | == Business Continuity Management System == | ||
Rahmenwerk für ein Business Continuity Management System (BCMS) | |||
; Management von Notfällen und Krisen | ; Management von Notfällen und Krisen | ||
Zeile 102: | Zeile 99: | ||
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | ||
; Gravierende Risiken frühzeitig erkennen | ; Gravierende Risiken | ||
* frühzeitig erkennen | |||
* Maßnahmen dagegen etablieren | |||
* Überleben der Einrichtung sichern | * Überleben der Einrichtung sichern | ||
* Organisationen beliebiger Art, Größe und Branche | * Organisationen beliebiger Art, Größe und Branche | ||
Zeile 139: | Zeile 138: | ||
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen | * Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen | ||
=== Rollen | === Rollen/Verantwortungsbereiche === | ||
[[File:img-096-154.png|mini|400px]] | [[File:img-096-154.png|mini|400px]] | ||
==== Allgemeine Aufbauorganisation | ==== Allgemeine Aufbauorganisation ==== | ||
; Allgemeine Aufbauorganisation (AAO) | |||
* Etablierte organisationsweite Hierarchie und Führungsstruktur | * Etablierte organisationsweite Hierarchie und Führungsstruktur | ||
==== Besondere Aufbauorganisation | ==== Besondere Aufbauorganisation ==== | ||
; Besondere Aufbauorganisation (BAO) | |||
* Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren | * Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren | ||
Zeile 199: | Zeile 200: | ||
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all> | * Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all> | ||
=== Szenarien === | === Szenarien === | ||
Zeile 215: | Zeile 209: | ||
* Ausfall von Lieferanten/Partnern | * Ausfall von Lieferanten/Partnern | ||
; Je nach Ereignis wird das Unternehmen mit einem spezifischen | ; Notfallszenario | ||
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal | Je nach Ereignis wird das Unternehmen mit einem spezifischen [[Szenario-Technik|Notfallszenario]] reagieren | ||
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken | * Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal | ||
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln | * Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken | ||
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen | * Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln | ||
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen | |||
== Business Impact Analyse == | == Business Impact Analyse == | ||
* Prozessen mit hohem Schadenspotential | |||
* Zugrundeliegende Ressourcen | |||
* Abhängigkeiten zwischen Prozessen | |||
* | * Auswirkungen von Ausfällen | ||
* | * Wiederanlaufpläne | ||
* Abhängigkeiten zwischen Prozessen | |||
* Auswirkungen | |||
* | |||
Grundlage für eine Sicherheitsstrategie | Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen | ||
* Zusammen mit Risikoanalysen | * Zusammen mit Risikoanalysen | ||
=== Vorbereitung === | |||
{| class="wikitable big options" | |||
|- | |||
! Schritt !! | |||
|- | |||
| 1.1 || Geschäftsprozesse erheben | |||
|- | |||
| 1.2 || Parameter und Zeithorizonte festlegen | |||
|- | |||
| 1.3 || Ressourcenkategorien und -cluster festlegen | |||
|- | |||
| 1.4 || Organisatorische Planung | |||
|- | |||
| 1.5 || Hilfsmittel vorbereiten | |||
|} | |||
=== Durchführung === | |||
{| class="wikitable big options" | |||
|- | |||
! Schritt | |||
|- | |||
| Zeitkritische Prozesse erfassen | |||
|- | |||
| Prozessabhängigkeiten erfassen | |||
|- | |||
| Ressourcenabhängigkeiten erfassen | |||
|- | |||
| Single Points of Failure erfassen | |||
|} | |||
=== Auswertung === | |||
{| class="wikitable big options" | |||
|- | |||
! Schritt | |||
|- | |||
| Qulitätssicherung und Gesamtübersicht | |||
|} | |||
== Dokumentation == | == Dokumentation == | ||
Zeile 240: | Zeile 269: | ||
=== Referenzdokumente === | === Referenzdokumente === | ||
; Präventiv | ; Präventiv | ||
Dokumente zur Vorsorge | |||
* Anforderungen an das BCMS | |||
* Elemente des BCMS | |||
* Teil der Notfallvorsorge | |||
Beispiele | |||
* Leitlinie zum Business Continuity Management | * Leitlinie zum Business Continuity Management | ||
* Notfallvorsorgekonzept | * Notfallvorsorgekonzept | ||
Zeile 246: | Zeile 281: | ||
; Reaktiv | ; Reaktiv | ||
Dokumente zur Reaktion | Dokumente zur Reaktion | ||
* | * Notfallbewältigung | ||
Beispiel | |||
* Notfallhandbuch | |||
== Übungen | == Tests und Übungen == | ||
Übungen | Tests und Übungen sind im Business Continuity Management besonders wichtig | ||
* Hohen Stellenwert in BSI-Standard 200-4 | |||
; Planung von Übungen und Tests | ; Planung von Übungen und Tests | ||
Besondere Widrigkeiten im eigenen Geschäftsbetrieb | |||
* Wichtiges Kriterium für die Planung von Übungen und Tests | * Wichtiges Kriterium für die Planung von Übungen und Tests | ||
; ISB und | ; ISB und Business Continuity Beauftragte | ||
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen | Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen | ||
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten | * Verfahren zu mindestens folgenden Übungsarten ausarbeiten | ||
Zeile 293: | Zeile 324: | ||
; Synergien | ; Synergien | ||
BCMS und ISMS | [[BCMS]] und [[ISMS]] | ||
[[IT-Grundschutz]] | [[IT-Grundschutz]] | ||
Zeile 305: | Zeile 336: | ||
* [[IT-Risikomanagement]] | * [[IT-Risikomanagement]] | ||
* ... | * ... | ||
=== Baustein DER.4 Notfallmanagement === | === Baustein DER.4 Notfallmanagement === | ||
[[DER.4 Notfallmanagement]] | [[DER.4 Notfallmanagement]] | ||
<noinclude> | |||
== Anhang == | == Anhang == | ||
Zeile 318: | Zeile 349: | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
# [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia] | # [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia] | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Website zum BCM] | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI Hilfsmittel] | |||
[[Kategorie:Business Continuity Management]] | [[Kategorie:Business Continuity Management]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 28. Juni 2024, 11:30 Uhr
Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)
Beschreibung[Bearbeiten | Quelltext bearbeiten]
Sicherstellung des Fortbestands von Einrichtungen
- Risiken mit hohem Schadensausmaß
Strategien, Plänen und Handlungen[Bearbeiten | Quelltext bearbeiten]
Prozesse ermitteln
- deren Unterbrechung
- ernsthafte Schäden oder vernichtende Verluste verursachen
- etwa Betriebsstörungen
Schützen und alternative Abläufe ermöglichen
BSI-Standard 200-4[Bearbeiten | Quelltext bearbeiten]
- Business Continuity Management - BCM (2023)
- BSI-Standard 100-4 (Notfallmanagement) - 2008
Standards | |
---|---|
200-1 | ISMS |
200-2 | Methodik |
200-3 | Risikoanalyse |
200-4 | BCM |
Kompendium | |
Kapitel 1 | Vorspann |
Kapitel 2 | Schichtenmodell Modellierung |
Elementare Gefährdungen | |
Schichten | Prozesse System |
- Etablierung eines Business Continuity Management
ISMS nach BSI IT-Grundschutz
- Grundlage zur Nutzung von Synergieeffekten
- Auf bereits dokumentierte Informationen zurückgreifen
- Zeitkritischen Geschäftsprozesse und Abhängigkeiten
- Parameter für Normal- und Notbetrieb
- Methodik nach BSI-Standard 200-3
- kann aus dem ISMS adaptiert werden
- Hinweise
- Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
- Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- siehe auch DER.4 Notfallmanagement
- ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
Sicherstellung des Fortbestands einer Einrichtung[Bearbeiten | Quelltext bearbeiten]
- im Sinne ökonomischer Nachhaltigkeit
- im Angesicht von Risiken mit hohem Schadensausmaß
- Betriebskontinuitätsmanagement
- Managementmethode
- Lebenszyklus-Modells
- Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
- Enge Verwandtschaft mit dem Risikomanagement
- Good Practice Guide
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.
- Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
- Bundesamt für Sicherheit in der Informationstechnik
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.
- Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.
- Incident Management
Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.
- Primär Fragen
- Welche Prozesse müssen unbedingt aufrechterhalten werden?
- Welche Maßnahmen sind dafür notwendig?
- Prioritäten und Ressourcen
- Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
- Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.
Technische Betrachtung[Bearbeiten | Quelltext bearbeiten]
- Business Continuity Management
- Aufbau und Betrieb eines Notfall- und Krisenmanagements
Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
Dadurch soll erreicht werden, dass
- wichtige Geschäftsprozesse selbst in
- kritischen Situationen und
- in Notfällen
- nicht oder
- nur temporär
- unterbrochen werden und
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
- Ziel
- Generierung und Proklamation von Prozessdefinitionen und Dokumentation
- Betriebsbereiter dokumentierter Notfallvorsorgeplan
- Exakt auf die Organisation abgestimmt
- Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
Business Continuity Management System[Bearbeiten | Quelltext bearbeiten]
Rahmenwerk für ein Business Continuity Management System (BCMS)
- Management von Notfällen und Krisen
- technisch
- nicht-technisch
- Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
- Gravierende Risiken
- frühzeitig erkennen
- Maßnahmen dagegen etablieren
- Überleben der Einrichtung sichern
- Organisationen beliebiger Art, Größe und Branche
- Synergieeffekte
- Zahlreiche Synergieeffekte zum IT-Grundschutz
- Ressourcen schonen
- Zusammenhänge und Wechselwirkungen berücksichtigen
Notfallmanagement vs. Business Continuity Management[Bearbeiten | Quelltext bearbeiten]
- Notfallmanagement
- Schäden vermeiden und eindämmen
- Notfälle verhindern und bewältigen
- Klassisches Notfallmanagement
- Brandschutz
- Arbeits- und Unfallschutz
- ...
- Business Continuity Management
- Wiederanlauf des Geschäftsbetriebs
- Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
Einbettung in die Organisationsstruktur[Bearbeiten | Quelltext bearbeiten]
- Geplantes und organisiertes Vorgehen
- Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
- Auf Schadensereignisse angemessen reagieren
- Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
- Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
- systematische, geplante und organisierte Vorgehensweise
- das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
- BCMS ist kein Bestandteil eines ISMS
- Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
Rollen/Verantwortungsbereiche[Bearbeiten | Quelltext bearbeiten]
Allgemeine Aufbauorganisation[Bearbeiten | Quelltext bearbeiten]
- Allgemeine Aufbauorganisation (AAO)
- Etablierte organisationsweite Hierarchie und Führungsstruktur
Besondere Aufbauorganisation[Bearbeiten | Quelltext bearbeiten]
- Besondere Aufbauorganisation (BAO)
- Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
Stufenmodell für Vorgehensweisen[Bearbeiten | Quelltext bearbeiten]
Option | Beschreibung |
---|---|
Reaktiv | Schnelle Fähigkeit zur Notfallbewältigung |
Aufbau | Schrittweiser, ressourcenschonender Aufbau |
Standard | Vollständige Absicherung, Resilienz der Institution |
Reaktiv[Bearbeiten | Quelltext bearbeiten]
- Schnelle Fähigkeit zur Notfallbewältigung
- Basis-Niveau
- Spart Ressourcen
- Wenn keine „Notfälle“ eintreten würden
- Lücken in der Absicherung
- Nicht alle Bereiche werden betrachtet
Aufbau[Bearbeiten | Quelltext bearbeiten]
- Schrittweiser, ressourcenschonender Aufbau
- Kann für einen kleineren Teil des Scope gezielt eingesetzt
- Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
Standard[Bearbeiten | Quelltext bearbeiten]
- Vollständige Absicherung/Resilienz der Institution
- Konformität ISO-22301
- Möglichkeit zur Zertifizierung nach ISO 22301
- Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
Organisationsspezifisches BCMS[Bearbeiten | Quelltext bearbeiten]
Planung eines organisationsspezifischen BCMS
- Vorgehensweisen
- Reaktiv
- Aufbau
- Standard
- Aufgabenbereiche
- Planung und Umsetzung
- Überwachung
- kontinuierlichen Verbesserung
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
- Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden
Szenarien[Bearbeiten | Quelltext bearbeiten]
- Art von Ereignissen (Incidents)
- IT/System-Ausfall
- Gebäudeausfall
- Ausfall von Personal (Pandemie, ...)
- Ausfall von Lieferanten/Partnern
- Notfallszenario
Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren
- Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
- Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
- Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
- Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen
Business Impact Analyse[Bearbeiten | Quelltext bearbeiten]
- Prozessen mit hohem Schadenspotential
- Zugrundeliegende Ressourcen
- Abhängigkeiten zwischen Prozessen
- Auswirkungen von Ausfällen
- Wiederanlaufpläne
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
- Zusammen mit Risikoanalysen
Vorbereitung[Bearbeiten | Quelltext bearbeiten]
Schritt | |
---|---|
1.1 | Geschäftsprozesse erheben |
1.2 | Parameter und Zeithorizonte festlegen |
1.3 | Ressourcenkategorien und -cluster festlegen |
1.4 | Organisatorische Planung |
1.5 | Hilfsmittel vorbereiten |
Durchführung[Bearbeiten | Quelltext bearbeiten]
Schritt |
---|
Zeitkritische Prozesse erfassen |
Prozessabhängigkeiten erfassen |
Ressourcenabhängigkeiten erfassen |
Single Points of Failure erfassen |
Auswertung[Bearbeiten | Quelltext bearbeiten]
Schritt |
---|
Qulitätssicherung und Gesamtübersicht |
Dokumentation[Bearbeiten | Quelltext bearbeiten]
Referenzdokumente[Bearbeiten | Quelltext bearbeiten]
- Präventiv
Dokumente zur Vorsorge
- Anforderungen an das BCMS
- Elemente des BCMS
- Teil der Notfallvorsorge
Beispiele
- Leitlinie zum Business Continuity Management
- Notfallvorsorgekonzept
- Prozessbeschreibungen und Anweisungen
- Hilfsmittel
- Reaktiv
Dokumente zur Reaktion
- Notfallbewältigung
Beispiel
- Notfallhandbuch
Tests und Übungen[Bearbeiten | Quelltext bearbeiten]
Tests und Übungen sind im Business Continuity Management besonders wichtig
- Hohen Stellenwert in BSI-Standard 200-4
- Planung von Übungen und Tests
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
- Wichtiges Kriterium für die Planung von Übungen und Tests
- ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
- Verfahren zu mindestens folgenden Übungsarten ausarbeiten
- Übungsarten
Übung | Beschreibung |
---|---|
Planbesprechung | |
Stabsübung | |
Stabsrahmenübung | |
Alarmierungsübung | |
Funktionstest |
Synergien[Bearbeiten | Quelltext bearbeiten]
Business Continuity Management[Bearbeiten | Quelltext bearbeiten]
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)
- Prozessual gesteuerte Kommunikation
- zwischen der IT, dem ISB und dem Business Continuity Beauftragten
- könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
- Synergien
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung
Weitere Managementsysteme
Baustein DER.4 Notfallmanagement[Bearbeiten | Quelltext bearbeiten]