Zum Inhalt springen

BSI/200-4/03 Initiierung: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
Dirkwagner (Diskussion | Beiträge)
Bürokraten, Oberflächenadministratoren, Administratoren
145.106 Bearbeitungen
VisuellWikitext
K Textersetzung - „(BIA)“ durch „(BIA)“
 
(40 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''BSI/200-4/03 Initiierung'''
<noinclude>
----
{{Navigation|BSI/200-4/02 Einführung|BSI/200-4/04 Konzeption und Planung}}
----
</noinclude>
'''BSI/200-4/03 Initiierung''' - Initiierung eines [[BCMS]]


== Beschreibung ==
== Schritte zur Initiierung ==
; BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
; Initiierung eines [[BCMS]] durch die Institutionsleitung
[[File:img-050-066.png|600px]]
[[File:img-050-066.png|800px]]


== Übernahme der Verantwortung durch die Leitungsebene ==
== Übernahme der Verantwortung durch die Leitungsebene ==


== Zielsetzung ==
== Zielsetzung ==
Die Zielsetzung geht vorrangig auf drei Fragen ein:
; Fragen
* Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
* Warum wird in der Institution ein [[BCM]] benötigt?</br>(Motivation für den Aufbau eines BCMS)
* Welche konkreten Ziele werden mit dem BCM verfolgt?
* Welche konkreten Ziele werden mit dem [[BCM]] verfolgt?
* Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
* Wie lange soll durch das [[BCM]] ein Ausfall des Normalbetriebs kompensiert werden?</br>(Abzusichernder Zeitraum durch ein BCM)


=== Motivation für den Aufbau eines BCMS ===
=== Motivation ===
Gründe für ein BCM identifizieren, dokumentieren
; Motivation für den Aufbau eines BCMS
Gründe für ein [[BCM]] identifizieren, dokumentieren


; Interne Gründe für ein BCMS
; Interne Gründe für ein BCMS
Zeile 70: Zeile 76:
|}
|}


=== Entwicklung der Ziele des BCMS ===
=== Ziele ===
* welche Geschäftsziele geschützt werden sollen
; Entwicklung der Ziele des BCMS
* welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
* Zu schützende Geschäftsziele
* welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
* welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden</br>(grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
* Bereitschaft Risiken einzugehen</br>(Risikobereitschaft)
* in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
* in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
* was das primäre Ziel der Bewältigung ist.
* Primäre Ziele der Bewältigung


=== Abzusichernder Zeitraum durch ein BCMS ===
=== Zeitraum ===
; Muss für die Institution festgelegt werden
; Abzusichernder Zeitraum
Hängt stark von unterschiedlichen Gegebenheiten ab
Muss für die Institution festgelegt werden
 
; Hängt stark von unterschiedlichen Gegebenheiten ab
* Risikobereitschaft der Institution </br>(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
* Risikobereitschaft der Institution </br>(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
* Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
* Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
Zeile 93: Zeile 102:


== Geltungsbereich ==
== Geltungsbereich ==
Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll
Vor dem Aufbau eines [[BCMS]] muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll


; Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS
; Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS
Zeile 128: Zeile 137:
* Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden
* Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden


== Entscheidung für Vorgehensweise ==
== Vorgehensweise ==
; Realistische Ziele setzen
Entscheidung für Vorgehensweise
* Anstelle eines groß angelegten BCM-Einführungsprojekts, das keinen schrittweisen Aufbau vorsieht, kann es zu Beginn effizienter sein, ein BCMS in der Linie, d.&nbsp;h.&nbsp;in mehreren kleineren Schritten ohne hohe Investitionskosten, einzuführen, z.&nbsp;B.&nbsp;über ein Reaktiv- und anschließendes Aufbau-BCMS
; Reaktiv- und anschließendes Aufbau-BCMS
* In der Praxis ist es aber auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und eventuell gleich ein Standard-BCMS anzustreben
Anstelle eines groß angelegten BCM-Einführungsprojekts
* Grundsätzlich muss BCM immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.
* das keinen schrittweisen Aufbau vorsieht
* kann es zu Beginn effizienter sein, ein BCMS in der Linie einführen
* in mehreren kleineren Schritten ohne hohe Investitionskosten
 
; Standard-BCMS
* Es ist auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und gleich ein Standard-BCMS anzustreben
* Grundsätzlich muss [[BCM]] immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.


; Durchlaufzeit eines PDCA-Zyklus
; Durchlaufzeit eines PDCA-Zyklus
Die damit verbundene Durchlaufzeit eines PDCA-Zyklus sollte sich grundsätzlich an der Veränderungsgeschwindigkeit der Institution orientieren, wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann
Sollte sich an der Veränderungsgeschwindigkeit der Institution orientieren
* In der Praxis ist es darüber hinaus empfehlenswert, die Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr auszurichten, da dadurch das BCMS besser in das jährliche Berichtswesen und die jährliche Überprüfung der Ziele integriert werden kann
* wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann
* In diesem Zeitrahmen kann insbesondere sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind
 
Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr ausrichten
* jährliche Berichtswesen
* jährliche Überprüfung der Ziele
* In diesem Zeitrahmen kann sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind
 
Ressourcen
* Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
* Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
* Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle.
* Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle
 
; Institutionsleitung muss entscheiden
* wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden
* Entscheidungen müssen auf der Zielsetzung, den Rahmenbedingungen des BCMS und dem Geltungsbereich basieren


Die Institutionsleitung muss entscheiden, wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden
; BCM-Beauftragte unterstützen
* Diese Entscheidungen müssen auf der Zielsetzung, den damit zusammenhängenden Rahmenbedingungen des BCMS sowie dem festgelegten Geltungsbereich basieren
* Erarbeitung von geeigneten Vorschlägen
* Wurde bereits eine für das BCMS zuständige Person benannt, so kann diese die Institutionsleitung durch Erarbeitung von geeigneten Vorschlägen unterstützen
* Geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
* Insbesondere muss die Institutionsleitung eine geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
* Zeitplan
* Anschließend sollte dokumentiert werden, für welchen Bereich mit welchem Zeitplan ein Reaktiv-, Aufbau-, oder Standard-BCMS umgesetzt werden soll.


; Reaktiv- bzw.&nbsp;Aufbau-BCMS
; Entscheidung begründen und dokumentieren
Falls sich die Institutionsleitung für ein Reaktiv- bzw.&nbsp;Aufbau-BCMS entscheidet, dann muss dies nachvollziehbar begründet und dokumentiert werden, z.&nbsp;B.&nbsp;in der Leitlinie BCMS (siehe 4.8 Leitlinie BCMS (R+AS))
Entscheidung muss nachvollziehbar begründet und dokumentiert werden (Leitlinie)
* Neben den wesentlichen Einflussfaktoren, die zur Auswahl der Stufe geführt haben, sollten darüber hinaus die Vor- und Nachteile sowie die zu berücksichtigenden Risiken transparent gemacht werden
* Wesentlichen Einflussfaktoren, die zur Auswahl der Stufe geführt haben
* Zudem muss die Institutionsleitung den langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen.
* Vor- und Nachteile
* Zu berücksichtigenden Risiken
* Langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen


; Ziel sollte immer ein Standard-BCMS zu erreichen.
; Ziel sollte immer ein Standard-BCMS sein


; Vor- und Nachteile der BCMS-Stufen
; Vor- und Nachteile der BCMS-Stufen
Zeile 183: Zeile 209:
|}
|}


== Ernennung des BC-Beauftragten ==
== Business Continuity Beauftragte ==
Die Institutionsleitung hat in der Regel nicht ausreichend Zeit, das BCM operativ aufzubauen und aufrechtzuerhalten
; BC-Beauftragte ( [[BCB]] ) unterstützen die Institutionsleitung
* Um hier die Institutionsleitung zu unterstützen, muss ein BC-Beauftragter oder eine BC-Beauftragte (BCB) für alle Aspekte rund um das BCM benannt werden
* Muss benannt werden
* BC-Beauftragte sind die Hauptanlaufstelle für alle BCM-Fragen, koordinieren sämtliche mit BCM zusammenhängenden Aufgaben und treiben diese innerhalb der Institution voran
* Hauptanlaufstelle für alle BCM-Fragen
* Zusätzlich sollte für den oder die BCB eine qualifizierte Vertretung benannt werden.
* koordinieren sämtliche BCM-Aufgaben
* treiben das [[BCM]] innerhalb der Institution voran


Es steht jeder Institution frei, eine andere Bezeichnung für die Rolle BCB zu wählen
Zusätzlich sollte für den oder die [[BCB]] eine qualifizierte Vertretung benannt werden
* Geläufige Titel sind neben BCB auch der oder die Notfallbeauftragte, Business Continuity Manager sowie Notfall-Manager oder -Managerin
 
* Aus diesen Titeln folgt aber auch manchmal ein anderes Rollenverständnis
; Bezeichnung für die Rolle
* [[BCB]]
* Notfallbeauftragte
* Business Continuity Manager
* Notfall-Manager oder -Managerin
 
; Titel und Rollenverständnis
Aus diesen Titeln folgt aber auch manchmal ein anderes Rollenverständnis
* Titel wie Notfall-Manager oder -Managerin führen oft dazu, dass fälschlicherweise angenommen wird, die Rolleninhabenden steuerten die Notfallbewältigung, obwohl die Rolle in der Regel innerhalb der Notfallvorsorge tätig ist
* Titel wie Notfall-Manager oder -Managerin führen oft dazu, dass fälschlicherweise angenommen wird, die Rolleninhabenden steuerten die Notfallbewältigung, obwohl die Rolle in der Regel innerhalb der Notfallvorsorge tätig ist
* In diesem Standard wird daher diese Rolle durchgehend als BCB bezeichnet.
* Im Standard wird daher diese Rolle durchgehend als [[BCB]] bezeichnet


Es ist empfehlenswert, die Position der Rolle BCB organisatorisch als Stabsstelle in der AAO der Institution einzurichten, also als eine direkt der Leitungsebene zugeordnete Position, die von keinen anderen Stellen Weisungen bekommt
; Stabsstelle
* Zum einen muss der oder die BCB das direkte und jederzeitige Vorspracherecht bei der Institutionsleitung haben, um diese über BCM-relevante Ereignisse und Risiken sowie Maßnahmen zum BCM informieren zu können
Es ist empfehlenswert, die Position der Rolle [[BCB]] organisatorisch als Stabsstelle in der [[AAO]] einzurichten
* Zum anderen ist es wichtig, dass der oder die BCB auch über das Geschehen in der Institution, soweit es einen Bezug zur BCM-Tätigkeit hat, umfassend und frühzeitig unterrichtet wird
* also als eine direkt der Leitungsebene zugeordnete Position
* Es wird davon abgeraten, die Rolle BCB in einer Organisationseinheit in der Linienorganisation (z.&nbsp;B.&nbsp;IT-Abteilung oder Verwaltung) zu verorten, da hierbei leicht Interessenkonflikte entstehen können.
* die von keinen anderen Stellen Weisungen bekommt
* direkte und jederzeitige Vorspracherecht bei der Institutionsleitung


; Zeitliche Ressourcen für BC-Beauftragte
Es wird davon abgeraten, die Rolle [[BCB]] in einer Organisationseinheit in der Linienorganisation zu verorten
Von hohem Stellenwert ist die Frage, mit welchen zeitlichen Ressourcen ein oder ein BCB den BCM-Aufgaben nachkommen soll
* IT-Abteilung oder Verwaltung
* Hierzu gibt es keine allgemeingültigen Vorgaben
* da hierbei leicht Interessenkonflikte entstehen können
* Was angemessen ist, muss für jede Institution individuell entschieden werden.
Sofern sich das BCMS noch im Aufbau befindet, besteht die Herausforderung, dass di Methoden, die Vorgaben und die Organisationsstruktur noch nicht definiert und etabliert sind
* Dadurch ist der zeitliche Aufwand, um Aufgaben im BCM umzusetzen, während des Aufbaus des BCMS meist höher als im späteren Betrieb
* So wird z.&nbsp;B.&nbsp;der BCMProzessschritt Business-Impact-Analyse (BIA) mehr Zeit in Anspruch nehmen, solange Geschäftsprozesse erstmalig bewertet werden
* Weniger Zeit wird die BIA erfordern, sobal es in einem späteren Zyklus nur noch erforderlich ist, die Angaben zu überprüfen
* Genauso ist der Aufwand, Geschäftsfortführungspläne (GPs) erstmalig zu erstellen, höhe als derjenige Aufwand, in nachfolgenden Zyklen GPs nur noch zu aktualisieren.
Im ersten Schritt kann eine Schätzung der Aufwände durch die Institutionsleitung vorgenommen werden
* Diese Schätzung orientiert sich an der Frage: „Wie oft bzw
* wie viel Stunden soll sich der oder die BCB mit dem BCMS auseinandersetzen?“, z.&nbsp;B.&nbsp;drei Tag pro Woche oder kontinuierlich.
BCB müssen grundsätzlich über ausreichend zeitliche Ressourcen verfügen, um ihre Aufgaben erfüllen zu können
* Für eher kleine Institutionen kann es nach erfolgreichem Aufbau des BCMS ausreichend sein, eine 50 %-BCB-Stelle für die Aufrechterhaltung un Weiterentwicklung des BCMS einzuplanen
* Demgegenüber kann es in großen ode komplexen Institutionen auch erforderlich sein, mehrere Vollzeitstellen zur Unterstützun des oder der BCB, d.&nbsp;h.&nbsp;ein mehrköpfiges BCB-Team, einzusetzen, um das BCMS einzuführen und aufrechtzuerhalten
* Es ist daher empfehlenswert, sich bereits frühzeitig intensiv mit der Ressourcenplanung auseinanderzusetzen.
Dabei sollten die Rahmenbedingungen, die Anforderungen sowie die organisatorische und finanziellen Möglichkeiten berücksichtigt werden.
Mit den gewonnenen Erkenntnissen aus dem laufenden Betrieb des BCMS können di zeitlichen Ressourcen des oder der BCB sukzessiv konkretisiert und angepasst werden.


; Fachliche und persönliche Eigenschaften des oder der BC-Beauftragten
; Information
Um den vielfältigen Aufgaben und Anforderungen im BCM gerecht zu werden, müssen BCB angemessene fachliche und persönliche Eigenschaften inklusive entsprechendem Fachwissen sowie Erfahrungen besitzen
* [[BCB]] muss über das Geschehen in der Institution, soweit es einen Bezug zur BCM-Tätigkeit hat, umfassend und frühzeitig unterrichtet werden
 
=== Zeitliche Ressourcen ===
Keine allgemeingültigen Vorgaben
* Was angemessen ist, muss für jede Institution individuell entschieden werden
 
Sofern sich das BCMS noch im Aufbau befindet, besteht die Herausforderung, dass die Methoden, die Vorgaben und die Organisationsstruktur noch nicht definiert und etabliert sind
* Zeitliche Aufwand während des Aufbaus des BCMS meist höher als im späteren Betrieb
 
; Initiale Konzeption ist zeitaufwendig
* Business-Impact-Analyse ([[BIA]])
* Geschäftsfortführungspläne (GPs)
 
; Nach Etablierung sinkt der Aufwand
* Angaben überprüfen
* GPs aktualisieren
 
; Schätzung der Aufwände durch die Institutionsleitung
„Wie oft bzw. wie viel Stunden soll sich der oder die [[BCB]] mit dem BCMS auseinandersetzen?“
* beispielsweise&nbsp;drei Tag pro Woche oder kontinuierlich
 
[[BCB]] müssen über ausreichend zeitliche Ressourcen verfügen, um ihre Aufgaben erfüllen zu können
* Für kleine Institutionen kann es nach erfolgreichem Aufbau des BCMS ausreichend sein, eine 50 %- [[BCB]] -Stelle für die Aufrechterhaltung und Weiterentwicklung des BCMS einzuplanen
* Demgegenüber kann es in großen oder komplexen Institutionen auch erforderlich sein, mehrere Vollzeitstellen zur Unterstützung des oder der [[BCB]] , d.&nbsp;h.&nbsp;ein mehrköpfiges [[BCB]] -Team, einzusetzen, um das BCMS einzuführen und aufrechtzuerhalten
 
; Frühzeitig mit der Ressourcenplanung auseinandersetzen
* Rahmenbedingungen, Anforderungen, organisatorische und finanziellen Möglichkeiten berücksichtigen
* Aus dem laufenden Betrieb des BCMS können zeitlichen Ressourcen sukzessiv konkretisiert und angepasst werden
 
=== Fachliche und persönliche Eigenschaften ===
Um den vielfältigen Aufgaben und Anforderungen im [[BCM]] gerecht zu werden, müssen [[BCB]] angemessene fachliche und persönliche Eigenschaften inklusive entsprechendem Fachwissen sowie Erfahrungen besitzen
* Fehlende fachliche Eigenschaften sollten durch gezielte Maßnahmen aufgebaut werden.
* Fehlende fachliche Eigenschaften sollten durch gezielte Maßnahmen aufgebaut werden.
Die Erläuterungen in Kapitel 4.3 Definition der BC-Aufbauorganisation (R+AS) decken die in der Praxis üblichen Aufgaben und Zuständigkeiten des oder der BCB ab
 
* Darüber hinaus ist es empfehlenswert, dass BCB über die folgenden fachlichen und persönlichen Fähigkeiten und Kenntnisse verfügen oder dahingehend befähigt werden:
Die Definition der BC-Aufbauorganisation decken die in der Praxis üblichen Aufgaben und Zuständigkeiten ab.
* Fähigkeit zur Führung von Mitarbeitenden (z.&nbsp;B.&nbsp;Kooperations- und Teamfähigkeit, Selbstbewusstsein, Durchsetzungsvermögen)
 
* sehr gute Kommunikationsfähigkeiten (Es ist wichtig, dass der oder die BCB die Mitarbeitenden und Externen von der Notwendigkeit des BCM und den damit verbundenen Aufgaben überzeugen können
; Fachlichen und persönlichen Fähigkeiten und Kenntnisse
* BCB sollten ferner in der Lage sein, Themen des BCMS zielgruppengerecht für die Institutionsleitung aufzubereiten und somit die erforderlichen strategischen Entscheidungen vorzubereiten und voranzutreiben
* Führung von Mitarbeitenden
* Es sind umfangreiche Transferleistungen erforderlich, um die jeweiligen Sprachwelten zu verstehen und zu respektieren sowie die Sachverhalte entsprechend zu übersetzen.)
* Kommunikationsfähigkeiten
* Kenntnisse allgemeiner und branchenspezifischer Vorgehensweisen und Methoden (Dies ist notwendig, um das BCMS aufzubauen, zu steuern und zu pflegen
* Themen zielgruppengerecht für die aufzubereiten
* Hierzu zählen beispielsweise etablierte BCM-Standards, in der Branche übliche Best Practices oder spezifische BCM-Anforderungen einer Aufsichtsbehörde.)
* strategischen Entscheidungen vorbereiten und vorzutreiben
* Kenntnisse von anzuwendenden Gesetzen, Vorschriften, Standards, weiteren Leitlinien
* Kenntnisse allgemeiner und branchenspezifischer Vorgehensweisen und Methoden
* Kenntnisse zur Bewältigung von Notfällen und Krisen (z.&nbsp;B.&nbsp;allgemeines Vorgehen in Notfällen, Erfahrungen in der Stabsarbeit)
** BCM-Standards
* Kenntnisse von den weiteren Sicherheits- und Risikomanagementaufgaben innerhalb der Institution sowie deren Schnittstellen zum BCM
** in der Branche übliche Best Practices
* Fähigkeit, selbstständig Richtlinien, Anweisungen, Handbücher und Verfahrensdokumentationen zu erstellen
** spezifische BCM-Anforderungen einer Aufsichtsbehörde
* gute Kenntnisse der Institution (z.&nbsp;B.&nbsp;Prozesse, Produkte, Services, Ziele der Institution)
* Kenntnisse von anzuwendenden
* Kenntnisse zu Risiken für den Geschäftsbetrieb der Institution und für die spezifischen betrieblichen Auswirkungen von Notfällen
** Gesetzen
* grundlegendes Wissen und eigene Erfahrungen hinsichtlich möglicher Maßnahmen zum BCM
** Vorschriften
** Standards
** weiteren Leitlinien
* Kenntnisse zur Bewältigung von Notfällen und Krisen
** allgemeines Vorgehen in Notfällen
** Erfahrungen in der Stabsarbeit
* Kenntnisse von den weiteren Sicherheits- und Risikomanagementaufgaben innerhalb der Institution
* Selbstständig Richtlinien, Anweisungen, Handbücher und Verfahrensdokumentationen erstellen
* gute Kenntnisse der Institution
** Prozesse
** Produkte
** Services
** Ziele der Institution
* Kenntnisse zu Risiken über
** den Geschäftsbetrieb der Institution
** die spezifischen betrieblichen Auswirkungen von Notfällen
* Wissen und Erfahrungen hinsichtlich möglicher Maßnahmen zum BCM
 
<noinclude>
<noinclude>
----
{{Navigation|BSI/200-4/02 Einführung|BSI/200-4/04 Konzeption und Planung}}
----


== Anhang ==
== Anhang ==

Aktuelle Version vom 16. Juni 2026, 20:19 Uhr

← Zurück
Weiter →

BSI/200-4/03 Initiierung - Initiierung eines BCMS

Schritte zur Initiierung

Initiierung eines BCMS durch die Institutionsleitung

Übernahme der Verantwortung durch die Leitungsebene

Zielsetzung

Fragen
  • Warum wird in der Institution ein BCM benötigt?
    (Motivation für den Aufbau eines BCMS)
  • Welche konkreten Ziele werden mit dem BCM verfolgt?
  • Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden?
    (Abzusichernder Zeitraum durch ein BCM)

Motivation

Motivation für den Aufbau eines BCMS

Gründe für ein BCM identifizieren, dokumentieren

Interne Gründe für ein BCMS
  • Eigeninteresse einer Institution
  • Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
Externe Gründe für BCMS
  • Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
  • Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
  • Verträge mit Kunden und Kundinnen oder Ge­schäftspartnern und -partnerinnen oder deren Erwartungshaltungen
Gesetze, Verordnungen und Richtlinien (regulatorische Anfor­derungen)
Bereich Regelungen
Anforderungen an Aktiengesellschaften
  • EU-Richtlinie 2157/2001
  • Aktiengesetz (AktG), ...
Anforderungen an die Kommunikation
  • Richtlinie (EU) 2018/1972 über den eu­ropäischen Kodex für die elektronische Kommunikation
  • Post- und Telekommunika­tionssicherstellungsgesetz (PTSG), ...
Börsengesetz BörsG
Arbeitsschutzgesetz ArbSchG
Störfallverordnung 12. BImSchV – StörfallV
Gefahrstoffverordnung GefStoffV
Betriebssicherheitsverordnung BetrSichV
Risikovorsorge im Elektrizitätssektor Verordnung (EU) Nr. 2019/941
Gewährleistung der sicheren Gasversor­gung Verordnung (EU) Nr. 2017/1938
Kritische Infrastrukturen
  • EU-Richtlinie 2008/114/EG
  • BSI-Kritisverordnung (BSI-KritisV))
  • IT-Sicherheitsgesetz, ...
Versicherungsbranche
  • Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG)
  • Mindestanforderungen an die Geschäftsorganisation von Versiche­rungsunternehmen (MaGo) in der Versicherungsbranche
Banken
  • Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsaus­gleich (BIZ) zur Regulierung von Banken (genannt Basel III)
  • Europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU)
  • CRR (Verordnung (EU) Nr. 575/2013)
Risikomanagement im Bankenbereich MaRisk
Bankenbereich EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ...

Ziele

Entwicklung der Ziele des BCMS
  • Zu schützende Geschäftsziele
  • welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden
    (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
  • Bereitschaft Risiken einzugehen
    (Risikobereitschaft)
  • in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
  • Primäre Ziele der Bewältigung

Zeitraum

Abzusichernder Zeitraum

Muss für die Institution festgelegt werden

Hängt stark von unterschiedlichen Gegebenheiten ab
  • Risikobereitschaft der Institution
    (Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
  • Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
  • Reifegrad des BCMS
  • vorhandenen oder avisierten Ressourcen des BCMS
  • Art und Komplexität des Geschäftszwecks der Institution
  • Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
  • Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
  • Umfang und der Detailtiefe der Anforderungen an die Institution sowie
  • branchenspezifischen Vorgaben

In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.

Geltungsbereich

Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll

Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS

Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann

  • gesamte Institution
  • einzelne Standorte
  • Teilbereiche
  • Produkte oder Services
Eingeschränkten Geltungsbereiche

Organisatorische oder technische Strukturen

  • gemeinsame Gebäude
  • Produktionsstraßen
  • Geschäftsprozesse, ...
Geltungsbereich

Umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen

  • infrastrukturell
  • organisatorisch
  • personell
  • technisch

Der Geltungsbereich muss zur Zielsetzung des BCMS und den Anforderungen passen

  • Betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein
Mehrere BCMS

Es kann sinnvoll sein, mehrere BCMS für Geltungsbereiche zu entwickeln

  • Bereiche mit zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS
  • Andere Bereichen ein Reaktiv-BCMS
Nicht nur technische Aspekte

Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen

  • So können Verantwortung und Zuständigkeiten eindeutig festgelegt werden
  • Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden

Vorgehensweise

Entscheidung für Vorgehensweise

Reaktiv- und anschließendes Aufbau-BCMS

Anstelle eines groß angelegten BCM-Einführungsprojekts

  • das keinen schrittweisen Aufbau vorsieht
  • kann es zu Beginn effizienter sein, ein BCMS in der Linie einführen
  • in mehreren kleineren Schritten ohne hohe Investitionskosten
Standard-BCMS
  • Es ist auch legitim, ein BCMS im Rahmen eines Projekts zu etablieren und gleich ein Standard-BCMS anzustreben
  • Grundsätzlich muss BCM immer in einen langfristigen, sich kontinuierlich verbessernden Prozess übergehen.
Durchlaufzeit eines PDCA-Zyklus

Sollte sich an der Veränderungsgeschwindigkeit der Institution orientieren

  • wobei die Institution parallel in mehreren Phasen eines PDCA-Zyklus agieren kann

Durchlaufzeit des PDCA-Zyklus auf ein Geschäftsjahr ausrichten

  • jährliche Berichtswesen
  • jährliche Überprüfung der Ziele
  • In diesem Zeitrahmen kann sichergestellt werden, dass die erreichten Ergebnisse immer aktuell sind

Ressourcen

  • Die Ressourcen sollten darauf ausgerichtet sein, dass die geplanten Ziele in dem aktuellen Zyklus erreicht werden können
  • Insofern spielt auch die Verfügbarkeit von Ressourcen bei der Festlegung der Durchlaufzeit des PDCA-Zyklus eine Rolle
Institutionsleitung muss entscheiden
  • wie die weiteren Schritte zum Aufbau eines BCMS aussehen sollen, sodass die kurzfristigen und langfristigen Ziele erreicht werden
  • Entscheidungen müssen auf der Zielsetzung, den Rahmenbedingungen des BCMS und dem Geltungsbereich basieren
BCM-Beauftragte unterstützen
  • Erarbeitung von geeigneten Vorschlägen
  • Geeignete Stufe auswählen: Reaktiv-, Aufbau- oder Standard-BCMS
  • Zeitplan
Entscheidung begründen und dokumentieren

Entscheidung muss nachvollziehbar begründet und dokumentiert werden (Leitlinie)

  • Wesentlichen Einflussfaktoren, die zur Auswahl der Stufe geführt haben
  • Vor- und Nachteile
  • Zu berücksichtigenden Risiken
  • Langfristig angestrebten Entwicklungspfad für das BCMS aufzeigen
Ziel sollte immer ein Standard-BCMS sein
Vor- und Nachteile der BCMS-Stufen
Stufe Pro Contra
Reaktiv-BCMS
  • verhältnismäßig geringer Aufwand
  • schnellstmöglicher Einstieg, sodass eine rudimentäre Reaktion möglich ist
  • „Überlebensfähigkeit“ der Institution wird rudimentär gesichert.
  • ausschließlich für den Einstieg geeignet
  • Es werden erhebliche Lücken nicht identifiziert oder identifiziert und nicht abgesichert.
Aufbau-BCMS
  • Im GP-Umfang betrachtete Pro­zesse werden angemessen abgesichert.
  • ermöglicht sehr gute, schrittweise Erweiterung des GP-Umfangs bis hin zum Standard-BCMS.
  • sehr gute Balance aus Aufwand und Nutzen
  • Im nicht betrachteten GP-Umfang können weitere relevante, zeitkritische Geschäftsprozesse verbleiben, sodass weiterhin Lücken in der Absicherung verbleiben.
Standard-BCMS
  • angemessene und vollständige Absicherung aller zeitkritischen Geschäftsprozesse ohne Lücken oder Defizite
  • Ermöglicht ganzheitliche, perfekt abgestimmte BC-Planung von Beginn an
  • höchster Ressourcenaufwand zu Beginn
    • finanziell
    • personell
    • zeitlich

Business Continuity Beauftragte

BC-Beauftragte ( BCB ) unterstützen die Institutionsleitung
  • Muss benannt werden
  • Hauptanlaufstelle für alle BCM-Fragen
  • koordinieren sämtliche BCM-Aufgaben
  • treiben das BCM innerhalb der Institution voran

Zusätzlich sollte für den oder die BCB eine qualifizierte Vertretung benannt werden

Bezeichnung für die Rolle
  • BCB
  • Notfallbeauftragte
  • Business Continuity Manager
  • Notfall-Manager oder -Managerin
Titel und Rollenverständnis

Aus diesen Titeln folgt aber auch manchmal ein anderes Rollenverständnis

  • Titel wie Notfall-Manager oder -Managerin führen oft dazu, dass fälschlicherweise angenommen wird, die Rolleninhabenden steuerten die Notfallbewältigung, obwohl die Rolle in der Regel innerhalb der Notfallvorsorge tätig ist
  • Im Standard wird daher diese Rolle durchgehend als BCB bezeichnet
Stabsstelle

Es ist empfehlenswert, die Position der Rolle BCB organisatorisch als Stabsstelle in der AAO einzurichten

  • also als eine direkt der Leitungsebene zugeordnete Position
  • die von keinen anderen Stellen Weisungen bekommt
  • direkte und jederzeitige Vorspracherecht bei der Institutionsleitung

Es wird davon abgeraten, die Rolle BCB in einer Organisationseinheit in der Linienorganisation zu verorten

  • IT-Abteilung oder Verwaltung
  • da hierbei leicht Interessenkonflikte entstehen können
Information
  • BCB muss über das Geschehen in der Institution, soweit es einen Bezug zur BCM-Tätigkeit hat, umfassend und frühzeitig unterrichtet werden

Zeitliche Ressourcen

Keine allgemeingültigen Vorgaben

  • Was angemessen ist, muss für jede Institution individuell entschieden werden

Sofern sich das BCMS noch im Aufbau befindet, besteht die Herausforderung, dass die Methoden, die Vorgaben und die Organisationsstruktur noch nicht definiert und etabliert sind

  • Zeitliche Aufwand während des Aufbaus des BCMS meist höher als im späteren Betrieb
Initiale Konzeption ist zeitaufwendig
  • Business-Impact-Analyse (BIA)
  • Geschäftsfortführungspläne (GPs)
Nach Etablierung sinkt der Aufwand
  • Angaben überprüfen
  • GPs aktualisieren
Schätzung der Aufwände durch die Institutionsleitung

„Wie oft bzw. wie viel Stunden soll sich der oder die BCB mit dem BCMS auseinandersetzen?“

  • beispielsweise drei Tag pro Woche oder kontinuierlich
BCB müssen über ausreichend zeitliche Ressourcen verfügen, um ihre Aufgaben erfüllen zu können
  • Für kleine Institutionen kann es nach erfolgreichem Aufbau des BCMS ausreichend sein, eine 50 %- BCB -Stelle für die Aufrechterhaltung und Weiterentwicklung des BCMS einzuplanen
  • Demgegenüber kann es in großen oder komplexen Institutionen auch erforderlich sein, mehrere Vollzeitstellen zur Unterstützung des oder der BCB , d. h. ein mehrköpfiges BCB -Team, einzusetzen, um das BCMS einzuführen und aufrechtzuerhalten
Frühzeitig mit der Ressourcenplanung auseinandersetzen
  • Rahmenbedingungen, Anforderungen, organisatorische und finanziellen Möglichkeiten berücksichtigen
  • Aus dem laufenden Betrieb des BCMS können zeitlichen Ressourcen sukzessiv konkretisiert und angepasst werden

Fachliche und persönliche Eigenschaften

Um den vielfältigen Aufgaben und Anforderungen im BCM gerecht zu werden, müssen BCB angemessene fachliche und persönliche Eigenschaften inklusive entsprechendem Fachwissen sowie Erfahrungen besitzen

  • Fehlende fachliche Eigenschaften sollten durch gezielte Maßnahmen aufgebaut werden.

Die Definition der BC-Aufbauorganisation decken die in der Praxis üblichen Aufgaben und Zuständigkeiten ab.

Fachlichen und persönlichen Fähigkeiten und Kenntnisse
  • Führung von Mitarbeitenden
  • Kommunikationsfähigkeiten
  • Themen zielgruppengerecht für die aufzubereiten
  • strategischen Entscheidungen vorbereiten und vorzutreiben
  • Kenntnisse allgemeiner und branchenspezifischer Vorgehensweisen und Methoden
    • BCM-Standards
    • in der Branche übliche Best Practices
    • spezifische BCM-Anforderungen einer Aufsichtsbehörde
  • Kenntnisse von anzuwendenden
    • Gesetzen
    • Vorschriften
    • Standards
    • weiteren Leitlinien
  • Kenntnisse zur Bewältigung von Notfällen und Krisen
    • allgemeines Vorgehen in Notfällen
    • Erfahrungen in der Stabsarbeit
  • Kenntnisse von den weiteren Sicherheits- und Risikomanagementaufgaben innerhalb der Institution
  • Selbstständig Richtlinien, Anweisungen, Handbücher und Verfahrensdokumentationen erstellen
  • gute Kenntnisse der Institution
    • Prozesse
    • Produkte
    • Services
    • Ziele der Institution
  • Kenntnisse zu Risiken über
    • den Geschäftsbetrieb der Institution
    • die spezifischen betrieblichen Auswirkungen von Notfällen
  • Wissen und Erfahrungen hinsichtlich möglicher Maßnahmen zum BCM


← Zurück
Weiter →

Anhang

Siehe auch

Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-4/03_Initiierung&oldid=167333