Business Continuity Management: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(47 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Business Continuity Management''' (BCM) - Betriebskontinuitätsmanagement (BKM)
'''Business Continuity Management''' (BCM) - Sicherstellung des Fortbestands von Einrichtungen


== Beschreibung ==
== Beschreibung ==
; Betriebskontinuitätsmanagement (BKM)
Sicherstellung des Fortbestands von Einrichtungen
Sicherstellung des Fortbestands von Einrichtungen
* [[Risiko|Risiken]] mit hohem Schadensausmaß
* Bei [[Risiko|Risiken]] mit hohem Schadensausmaß


=== Strategien, Plänen und Handlungen ===
; Strategien, Plänen und Handlungen
; Prozesse ermitteln
{| class="wikitable options big"
* deren Unterbrechung '''ernsthafte Schäden''' oder '''vernichtende Verluste''' verursachen
|-
* etwa [[Betriebsstörung]]en
| BCMS etablieren || Rahmenbedingungen, Aufbau- und Ablauforganisation
 
|-
; Schützen und alternative Abläufe ermöglichen
| Kritische Prozesse ermitteln || Prozesse mit ''ernsthafte Schäden'' oder ''vernichtenden Verlusten'' bei Unterbrechung
 
|-
=== BSI-Standard 200-4 ===
| Kritische Prozesse absichern || Schützen und alternative Abläufe ermöglichen
{{:BsiUebersicht}}
|}
; Business Continuity Management - BCM (2023)
* ersetzt [[BSI/100-4|BSI-Standard 100-4 - Notfallmanagement (2008)]]
 
; Etablierung eines Business Continuity Management
[[ISMS]] nach BSI [[IT-Grundschutz]]
* Grundlage zur Nutzung von Synergieeffekten
* Auf bereits dokumentierte Informationen zurückgreifen
[[Business Impact Analyse]]
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten
* Parameter für Normal- und Notbetrieb
[[Risikoanalyse]]
* Methodik nach [[BSI-Standard 200-3]]
* kann aus dem ISMS ''adaptiert'' werden
 
; Hinweise
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
* siehe auch [[DER.4 Notfallmanagement]]
 
; ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der [[ISO 22301]] erreicht werden


=== Sicherstellung des Fortbestands ===
=== Sicherstellung des Fortbestands ===
; Sicherstellung des Fortbestands einer Einrichtung
; Sicherstellung des Fortbestands einer Einrichtung
* im Sinne ökonomischer [[Nachhaltigkeit]]  
Im Sinne ökonomischer [[Nachhaltigkeit]] im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
* im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß


; Betriebskontinuitätsmanagement
; Begriffe
* Betriebskontinuitätsmanagement
* Managementmethode
* Managementmethode
* Lebenszyklus-Modells
* Lebenszyklus-Modell
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
* Enge Verwandtschaft mit dem [[Risikomanagement]]
* Verwandtschaft mit [[Risikomanagement]]


; Good Practice Guide
; Good Practice Guide
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.
Methode und Rahmen des BKM sind im ''[[Good Practice Guid]]'' veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden


; Bundesamt für Sicherheit in der Informationstechnik
; Bundesamt für Sicherheit in der Informationstechnik
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt.
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet.
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet


; Incident Management
; Incident Management
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden.
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden


; Primär Fragen
; Primär Fragen
Zeile 64: Zeile 44:
; Prioritäten und Ressourcen
; Prioritäten und Ressourcen
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen


=== Technische Betrachtung ===
=== Business Continuity Management ===
; Business Continuity Management
[[Organisationseinheit]] eines [[Unternehmen|Unternehmens]]
* [[Organisationseinheit]] eines [[Unternehmen|Unternehmens]]
* Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s
 
* Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
; Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s
Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen


; Ziele
; Ziele
Wichtige [[Geschäftsprozess]]e selbst in  
Wichtige [[Geschäftsprozess]]e selbst in
* kritischen Situationen und Notfällen
* kritischen Situationen und Notfällen
* nicht oder nur temporär  
* nicht oder nur temporär
* unterbrochen werden
* unterbrochen werden
* die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt
* die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt
Zeile 83: Zeile 61:
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]]
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]]
* Betriebsbereiter dokumentierter Notfallvorsorgeplan
* Betriebsbereiter dokumentierter Notfallvorsorgeplan
* Exakt auf die Organisation abgestimmt  
* Exakt auf die Organisation abgestimmt
* Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
* Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
=== BSI-Standard 200-4 ===
<div class="float">
{{:BSI/Uebersicht}}
</div>
Business Continuity Management - BCM (2023)
* ersetzt [[BSI/100-4|BSI-Standard 100-4 - Notfallmanagement (2008)]]
; Etablierung eines Business Continuity Management
[[ISMS]] nach BSI [[IT-Grundschutz]]
* Grundlage zur Nutzung von Synergieeffekten
* Auf bereits dokumentierte Informationen zurückgreifen
[[Business Impact Analyse]]
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten
* Parameter für Normal- und Notbetrieb
[[Risikoanalyse]]
* Methodik nach [[BSI-Standard 200-3]]
* kann aus dem ISMS ''adaptiert'' werden
; Hinweise
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
* siehe auch [[DER.4 Notfallmanagement]]
; ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der [[ISO 22301]] erreicht werden
=== Notfallmanagement ===
; Notfallmanagement
* Schäden vermeiden und eindämmen
* Notfälle verhindern und bewältigen
; Klassisches Notfallmanagement
* Brandschutz
* Arbeits- und Unfallschutz
* ...
; Business Continuity Management
* Wiederanlauf des Geschäftsbetriebs
* Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien


== Business Continuity Management System ==
== Business Continuity Management System ==
Zeile 96: Zeile 115:
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung


; Gravierende Risiken  
; Gravierende Risiken
* frühzeitig erkennen
* frühzeitig erkennen
* Maßnahmen dagegen etablieren
* Maßnahmen dagegen etablieren
Zeile 106: Zeile 125:
* Ressourcen schonen
* Ressourcen schonen
* Zusammenhänge und Wechselwirkungen berücksichtigen
* Zusammenhänge und Wechselwirkungen berücksichtigen
=== Notfallmanagement vs. Business Continuity Management ===
; Notfallmanagement
* Schäden vermeiden und eindämmen
* Notfälle verhindern und bewältigen
; Klassisches Notfallmanagement
* Brandschutz
* Arbeits- und Unfallschutz
* ...
; Business Continuity Management
* Wiederanlauf des Geschäftsbetriebs
* Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien


=== Einbettung in die Organisationsstruktur ===
=== Einbettung in die Organisationsstruktur ===
Zeile 135: Zeile 140:
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen


=== Rollen/Verantwortungsbereiche ===
===Aufbauorganisation ===
Rollen/Verantwortung
[[File:img-096-154.png|mini|400px]]
[[File:img-096-154.png|mini|400px]]


Zeile 148: Zeile 154:
<br clear=all>
<br clear=all>


== Stufenmodell für Vorgehensweisen ==
== Stufenmodell ==
; Stufenmodell für Vorgehensweisen
{| class="wikitable big options"
{| class="wikitable big options"
|-
|-
Zeile 161: Zeile 168:


=== Reaktiv ===
=== Reaktiv ===
; Schnelle Fähigkeit zur Notfallbewältigung
; Basis-Niveau
; Basis-Niveau
Schnelle Fähigkeit zur Notfallbewältigung
* Spart Ressourcen
* Spart Ressourcen
* Wenn keine „Notfälle“ eintreten würden
* Wenn keine „Notfälle“ eintreten würden
Zeile 170: Zeile 176:


=== Aufbau ===
=== Aufbau ===
; Schrittweiser, ressourcenschonender Aufbau
Schrittweiser, ressourcenschonender Aufbau
* Kann für einen kleineren Teil des Scope gezielt eingesetzt  
* Kann für einen kleineren Teil des Scope gezielt eingesetzt
* Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
* Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden


=== Standard ===
=== Standard ===
; Vollständige Absicherung/Resilienz der Institution
Vollständige Absicherung/Resilienz der Institution
* Konformität ISO-22301
* Konformität ISO-22301
* Möglichkeit zur Zertifizierung nach ISO 22301
* Möglichkeit zur Zertifizierung nach ISO 22301
Zeile 190: Zeile 196:


; Aufgabenbereiche
; Aufgabenbereiche
* Planung und Umsetzung  
* Planung und Umsetzung
* Überwachung  
* Überwachung
* kontinuierlichen Verbesserung  
* kontinuierlichen Verbesserung


BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert  
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>


Zeile 217: Zeile 223:
* Zusammen mit Risikoanalysen
* Zusammen mit Risikoanalysen


; Ermittlung von
; Ermittlung
* Prozessen mit hohem Schadenspotential
* Prozesse mit hohem Schadenspotential
* Zugrundeliegenden Ressourcen
* Zugrundeliegende Ressourcen
* Abhängigkeiten zwischen Prozessen
* Abhängigkeiten zwischen Prozessen
* Auswirkungen von Ausfällen
* Auswirkungen von Ausfällen
* Wiederanlaufplänen
* Wiederanlaufpläne
 
=== Vorbereitung ===
{| class="wikitable options col1center"
|-
! Schritt !!
|-
| 1 || Geschäftsprozesse erheben
|-
| 2 || Parameter und Zeithorizonte festlegen
|-
| 3 || Ressourcenkategorien und -cluster festlegen
|-
| 4 || Organisatorische Planung
|-
| 5 || Hilfsmittel vorbereiten
|}
 
=== Durchführung ===
{| class="wikitable options col1center"
|-
! Schritt !! Beschreibung
|-
| 1 || Zeitkritische Prozesse erfassen
|-
| 2 || Prozessabhängigkeiten erfassen
|-
| 3 || Ressourcenabhängigkeiten erfassen
|-
| 4 || Single Points of Failure erfassen
|}


=== Auswertung ===
siehe [[BCMS/Business Impact Analyse]]
{| class="wikitable options"
|-
! Schritt
|-
| Qulitätssicherung und Gesamtübersicht
|}


== Dokumentation ==
== Dokumentation ==
Zeile 302: Zeile 272:
! Übung !! Beschreibung
! Übung !! Beschreibung
|-
|-
| Planbesprechung ||  
| Planbesprechung || Besprechung von Maßnahmenplänen
|-
|-
| Stabsübung ||  
| Stabsübung || BCM-Prozess Beteiligte simulieren einen Notfall
|-
|-
| Stabsrahmenübung ||  
| Stabsrahmenübung || Auch externe Stellen werden an der Simulation beteiligt
|-
|-
| Alarmierungsübung ||
| Alarmierungsübung || Testen der vorgesehenen Alarmierungsketten
|-
|-
| Funktionstest ||
| Funktionstest || Funktion von relevanten Funktionen testen (z.&nbsp;B.&nbsp;Restore oder Notstrom)
|}
|}


Zeile 318: Zeile 288:


; Prozessual gesteuerte Kommunikation
; Prozessual gesteuerte Kommunikation
* zwischen der IT, dem ISB und dem Business Continuity Beauftragten  
* zwischen der IT, dem ISB und dem Business Continuity Beauftragten
* könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
* verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS
 
; Beispiel
:''Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann''


; Synergien
; Synergien
Zeile 326: Zeile 299:
[[IT-Grundschutz]]
[[IT-Grundschutz]]
* Strukturanalyse
* Strukturanalyse
* Schutzbedarfsfeststellung  
* Schutzbedarfsfeststellung
* Modellierung  
* Modellierung


Weitere Managementsysteme
Weitere Managementsysteme
Zeile 333: Zeile 306:
* [[IT-Service-Continuity-Management]]
* [[IT-Service-Continuity-Management]]
* [[IT-Risikomanagement]]
* [[IT-Risikomanagement]]
* ...
*


=== Baustein DER.4 Notfallmanagement ===
=== Baustein DER.4 Notfallmanagement ===
Zeile 350: Zeile 323:
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI BCM Hilfsmittel]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI BCM Hilfsmittel]


[[Kategorie:Business Continuity Management]]
[[Kategorie:BCMS]]
 
</noinclude>
</noinclude>

Aktuelle Version vom 17. November 2024, 13:40 Uhr

Business Continuity Management (BCM) - Sicherstellung des Fortbestands von Einrichtungen

Beschreibung

Betriebskontinuitätsmanagement (BKM)

Sicherstellung des Fortbestands von Einrichtungen

  • Bei Risiken mit hohem Schadensausmaß
Strategien, Plänen und Handlungen
BCMS etablieren Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern Schützen und alternative Abläufe ermöglichen

Sicherstellung des Fortbestands

Sicherstellung des Fortbestands einer Einrichtung

Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß

Begriffe
  • Betriebskontinuitätsmanagement
  • Managementmethode
  • Lebenszyklus-Modell
  • Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
  • Verwandtschaft mit Risikomanagement
Good Practice Guide

Methode und Rahmen des BKM sind im Good Practice Guid veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird

  • Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden
Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt

  • Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet
Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden

Primär Fragen
  • Welche Prozesse müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
Prioritäten und Ressourcen
  • Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
  • Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen

Business Continuity Management

Organisationseinheit eines Unternehmens

Ziele

Wichtige Geschäftsprozesse selbst in

  • kritischen Situationen und Notfällen
  • nicht oder nur temporär
  • unterbrochen werden
  • die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt
Ziel
  • Generierung und Proklamation von Prozessdefinitionen und Dokumentation
  • Betriebsbereiter dokumentierter Notfallvorsorgeplan
  • Exakt auf die Organisation abgestimmt
  • Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

BSI-Standard 200-4

Business Continuity Management - BCM (2023)

Etablierung eines Business Continuity Management

ISMS nach BSI IT-Grundschutz

  • Grundlage zur Nutzung von Synergieeffekten
  • Auf bereits dokumentierte Informationen zurückgreifen

Business Impact Analyse

  • Zeitkritischen Geschäftsprozesse und Abhängigkeiten
  • Parameter für Normal- und Notbetrieb

Risikoanalyse

Hinweise
  • Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
  • Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
  • siehe auch DER.4 Notfallmanagement
ISO 22301

Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Notfallmanagement

Notfallmanagement
  • Schäden vermeiden und eindämmen
  • Notfälle verhindern und bewältigen
Klassisches Notfallmanagement
  • Brandschutz
  • Arbeits- und Unfallschutz
  • ...
Business Continuity Management
  • Wiederanlauf des Geschäftsbetriebs
  • Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen
  • technisch
  • nicht-technisch
Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken
  • frühzeitig erkennen
  • Maßnahmen dagegen etablieren
  • Überleben der Einrichtung sichern
  • Organisationen beliebiger Art, Größe und Branche
Synergieeffekte
  • Zahlreiche Synergieeffekte zum IT-Grundschutz
  • Ressourcen schonen
  • Zusammenhänge und Wechselwirkungen berücksichtigen

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen
  • Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
  • Auf Schadensereignisse angemessen reagieren
  • Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

  • systematische, geplante und organisierte Vorgehensweise
  • das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
BCMS ist kein Bestandteil eines ISMS
  • Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Aufbauorganisation

Rollen/Verantwortung

Allgemeine Aufbauorganisation

Allgemeine Aufbauorganisation (AAO)
  • Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation

Besondere Aufbauorganisation (BAO)
  • Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Stufenmodell

Stufenmodell für Vorgehensweisen
Option Beschreibung
Reaktiv Schnelle Fähigkeit zur Notfallbewältigung
Aufbau Schrittweiser, ressourcenschonender Aufbau
Standard Vollständige Absicherung, Resilienz der Institution

Reaktiv

Basis-Niveau

Schnelle Fähigkeit zur Notfallbewältigung

  • Spart Ressourcen
  • Wenn keine „Notfälle“ eintreten würden
  • Lücken in der Absicherung
  • Nicht alle Bereiche werden betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau

  • Kann für einen kleineren Teil des Scope gezielt eingesetzt
  • Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution

  • Konformität ISO-22301
  • Möglichkeit zur Zertifizierung nach ISO 22301
  • Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Organisationsspezifisches BCMS

Planung eines organisationsspezifischen BCMS

Vorgehensweisen
  • Reaktiv
  • Aufbau
  • Standard
Aufgabenbereiche
  • Planung und Umsetzung
  • Überwachung
  • kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

  • Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden


Szenarien

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Business Impact Analyse

Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen

  • Zusammen mit Risikoanalysen
Ermittlung
  • Prozesse mit hohem Schadenspotential
  • Zugrundeliegende Ressourcen
  • Abhängigkeiten zwischen Prozessen
  • Auswirkungen von Ausfällen
  • Wiederanlaufpläne

siehe BCMS/Business Impact Analyse

Dokumentation

Referenzdokumente

Präventiv

Dokumente zur Vorsorge

  • Anforderungen an das BCMS
  • Elemente des BCMS
  • Teil der Notfallvorsorge

Beispiele

  • Leitlinie zum Business Continuity Management
  • Notfallvorsorgekonzept
  • Prozessbeschreibungen und Anweisungen
  • Hilfsmittel
Reaktiv

Dokumente zur Reaktion

  • Notfallbewältigung

Beispiel

  • Notfallhandbuch

Tests und Übungen

Tests und Übungen sind im Business Continuity Management besonders wichtig

  • Hohen Stellenwert in BSI-Standard 200-4
Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

  • Wichtiges Kriterium für die Planung von Übungen und Tests
ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

  • Verfahren zu mindestens folgenden Übungsarten ausarbeiten
Übungsarten
Übung Beschreibung
Planbesprechung Besprechung von Maßnahmenplänen
Stabsübung BCM-Prozess Beteiligte simulieren einen Notfall
Stabsrahmenübung Auch externe Stellen werden an der Simulation beteiligt
Alarmierungsübung Testen der vorgesehenen Alarmierungsketten
Funktionstest Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom)

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation
  • zwischen der IT, dem ISB und dem Business Continuity Beauftragten
  • verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS
Beispiel
Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann
Synergien

BCMS und ISMS

IT-Grundschutz

  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung

Weitere Managementsysteme

Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement


Anhang

Siehe auch

Links

Weblinks
  1. Wikipedia
  2. BSI-Website zum BCM
  3. BSI BCM Hilfsmittel