Zum Inhalt springen

BSI/200-4/11 Geschäftsfortführungsplanung: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
Dirkwagner (Diskussion | Beiträge)
Bürokraten, Oberflächenadministratoren, Administratoren
142.634 Bearbeitungen
VisuellWikitext
 
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 4: Zeile 4:
[[File:img-224-434.png|800px]]
[[File:img-224-434.png|800px]]


== Vorbereitung der GFP  ==
== Vorbereitung der [[GFP]] ==
; Effektive Vorbereitung
; Effektive Vorbereitung
Eine effektive Vorbereitung der GFPs ist die Voraussetzung dafür, dass
Eine effektive Vorbereitung der [[GFP]] ist die Voraussetzung dafür, dass
* die GFPs effizient, vergleichbar und valide erstellt werden können,
* die [[GFP]] effizient, vergleichbar und valide erstellt werden können,
* die Teilnehmenden optimal auf die Fragestellungen vorbereitet werden,
* die Teilnehmenden optimal auf die Fragestellungen vorbereitet werden,
* die Verfügbarkeit der Pläne im Notfall gewährleistet ist sowie
* die Verfügbarkeit der Pläne im Notfall gewährleistet ist sowie
* im Notfall die Leser die GFPs gut lesen und schnell anwenden können.
* im Notfall die Leser die [[GFP]] gut lesen und schnell anwenden können.


Es ist empfehlenswert, dass die Vorbereitung durch die Rolle BCB erfolgt, da diese über das notwendige Fachwissen zum BCM-Prozess verfügt und diesen zeitlich steuert.  
Es ist empfehlenswert, dass die Vorbereitung durch die Rolle BCB erfolgt, da diese über das notwendige Fachwissen zum BCM-Prozess verfügt und diesen zeitlich steuert.  
* Der oder die BCB kann vorbereitende Tätigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren, z. B. an lokale BCBs, BCKs oder ein BC-Vorsorgeteam.
* Der oder die BCB kann vorbereitende Tätigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren, z. B. an lokale BCBs, BCKs oder ein BC-Vorsorgeteam.


=== Aufteilung der GFPs ===
=== Aufteilung ===
; Struktur der Institution
; Struktur der Institution
Es ist wichtig, dass der oder die BCB festlegt, wie die GFPs im Hinblick auf die zugrundeliegende Struktur der Institution aufgeteilt werden sollen
Es ist wichtig, dass der oder die BCB festlegt, wie die [[GFP]] im Hinblick auf die zugrundeliegende Struktur der Institution aufgeteilt werden sollen
* Es gibt viele Möglichkeiten, wie Geschäftsfortführungspläne organisatorisch aufgeteilt werden könnten
* Es gibt viele Möglichkeiten, wie Geschäftsfortführungspläne organisatorisch aufgeteilt werden könnten
* So könnte ein GFP je Geschäftsprozess oder Organisationseinheit erstellt werden
* So könnte ein [[GFP]] je Geschäftsprozess oder Organisationseinheit erstellt werden
* Ferner könnten GFPs auch weiter anhand von Ausfallszenarien aufgeteilt werden
* Ferner könnten [[GFP]] auch weiter anhand von Ausfallszenarien aufgeteilt werden


; Anschauliche Übersicht
; Anschauliche Übersicht
Entscheidend für eine schnelle Reaktion ist jedoch, dass
Entscheidend für eine schnelle Reaktion ist jedoch, dass
* eine anschauliche Übersicht über die zeitkritischen Geschäftsprozesse und Ressourcen ermöglicht wird
* eine anschauliche Übersicht über die zeitkritischen Geschäftsprozesse und Ressourcen ermöglicht wird
* die Zuständigkeiten der im GFP beschriebenen Maßnahmen möglichst klar geregelt sind.
* die Zuständigkeiten der im [[GFP]] beschriebenen Maßnahmen möglichst klar geregelt sind.
Hierbei hat es sich in der Praxis bewährt, einen GFP je Organisationseinheit zu erstellen.
Hierbei hat es sich in der Praxis bewährt, einen [[GFP]] je Organisationseinheit zu erstellen.


Dieses Vorgehen bietet viele Vorteile
Dieses Vorgehen bietet viele Vorteile
* Die zuständigen Kontaktpersonen, die den GFP erstellen und aktualisieren, können eindeutig der Organisationseinheit zugeordnet werden
* Die zuständigen Kontaktpersonen, die den [[GFP]] erstellen und aktualisieren, können eindeutig der Organisationseinheit zugeordnet werden
* Zudem wird eine überschaubare Anzahl an Dokumenten erzeugt und die GFPs spiegeln die vertraute Organisationsstruktur wider
* Zudem wird eine überschaubare Anzahl an Dokumenten erzeugt und die [[GFP]] spiegeln die vertraute Organisationsstruktur wider
* Die GFPs lassen sich so leichter voneinander abgrenzen.
* Die [[GFP]] lassen sich so leichter voneinander abgrenzen.


Im Einzelfall kann es sinnvoll sein, von dieser Struktur abzuweichen
Im Einzelfall kann es sinnvoll sein, von dieser Struktur abzuweichen
Zeile 39: Zeile 39:


; Länderspezifische Anforderungen
; Länderspezifische Anforderungen
Zusätzlich können länderspezifische Anforderungen und Gegebenheiten unter Umständen dazu führen, dass für gleiche Geschäftsprozesse und Ressourcen im GFP unterschiedliche Notfallmaßnahmen an unterschiedlichen Standorten beschrieben werden müssen.
Zusätzlich können länderspezifische Anforderungen und Gegebenheiten unter Umständen dazu führen, dass für gleiche Geschäftsprozesse und Ressourcen im [[GFP]] unterschiedliche Notfallmaßnahmen an unterschiedlichen Standorten beschrieben werden müssen.


; Hinweis
; Hinweis
Ob die GFPs sinnvoll aufgeteilt und voneinander abgegrenzt wurden, kann mitunter erst im Rahmen der Erstellung der GFPs fundiert bewertet werden
Ob die [[GFP]] sinnvoll aufgeteilt und voneinander abgegrenzt wurden, kann mitunter erst im Rahmen der Erstellung der [[GFP]] fundiert bewertet werden
* Der oder die BCB sollte daher die Aufteilung der GFPs im Rahmen der Erstellung der GFPs mit den entsprechenden Kontaktpersonen diskutieren und gegebenenfalls den Geltungsbereich des GFP anpassen oder in mehrere GFPs aufteilen.
* Der oder die BCB sollte daher die Aufteilung der [[GFP]] im Rahmen der Erstellung der [[GFP]] mit den entsprechenden Kontaktpersonen diskutieren und gegebenenfalls den Geltungsbereich des [[GFP]] anpassen oder in mehrere [[GFP]] aufteilen.


=== Erstellung einer [[GFP]]-Dokumentvorlage ===
=== Erstellung einer Dokumentvorlage ===
Um die Geschäftsfortführung im Notfall zu erleichtern, sollte der oder die BCB sicherstellen, dass die [[GFP]]s einheitlich aufgebaut und nachvollziehbar dokumentiert sind
Um die Geschäftsfortführung im Notfall zu erleichtern, sollte der oder die BCB sicherstellen, dass die [[GFP]]s einheitlich aufgebaut und nachvollziehbar dokumentiert sind
* Hierzu sollte eine [[GFP]]-Dokumentvorlage erstellt werden
* Hierzu sollte eine [[GFP]]-Dokumentvorlage erstellt werden
Zeile 90: Zeile 90:
* Es muss sichergestellt werden, dass die Ablageorte entsprechend dem Schutzbedarf abgesichert und auch im Notfall zugänglich sind.
* Es muss sichergestellt werden, dass die Ablageorte entsprechend dem Schutzbedarf abgesichert und auch im Notfall zugänglich sind.


=== Vorausfüllen der GFPs ===
=== Vorausfüllen der [[GFP]] ===
Es ist empfehlenswert, dass die erstellte GFP-Vorlage mit den bereits bekannten Informa­tionen aus BIA und Soll-Ist-Vergleich je Geltungsbereich vorausgefüllt wird.  
Es ist empfehlenswert, dass die erstellte GFP-Vorlage mit den bereits bekannten Informa­tionen aus BIA und Soll-Ist-Vergleich je Geltungsbereich vorausgefüllt wird.  


Zeile 100: Zeile 100:
* zeitkritischen Ressourcen mit ihrer jeweiligen RTA, RTO sowie RPA und RPO
* zeitkritischen Ressourcen mit ihrer jeweiligen RTA, RTO sowie RPA und RPO


Um ursachenbasiert konkrete Notfallmaßnahmen zu beschreiben, bietet es sich in einem GFP an, die relevanten Informationen den Ressourcenkategorien zuzuordnen.  
Um ursachenbasiert konkrete Notfallmaßnahmen zu beschreiben, bietet es sich in einem [[GFP]] an, die relevanten Informationen den Ressourcenkategorien zuzuordnen.  
* Dies er­laubt einen schnellen Zugriff auf die Informationen im Notfall.
* Dies er­laubt einen schnellen Zugriff auf die Informationen im Notfall.


Zeile 106: Zeile 106:
; Workshops
; Workshops
Die Geschäftsfortführungsplanung kann weitestgehend analog zum Vorgehen in der BIA organisiert werden.  
Die Geschäftsfortführungsplanung kann weitestgehend analog zum Vorgehen in der BIA organisiert werden.  
* Insbesondere, wenn GFPs erstmalig erstellt werden, ist es empfehlenswert, dass der oder die BCB dies im Rahmen von Workshops durchführt.  
* Insbesondere, wenn [[GFP]] erstmalig erstellt werden, ist es empfehlenswert, dass der oder die BCB dies im Rahmen von Workshops durchführt.  
* Er oder sie kann hierbei die Methodik und die Inhal­te des GFP erläutern und den Workshop moderieren.
* Er oder sie kann hierbei die Methodik und die Inhal­te des [[GFP]] erläutern und den Workshop moderieren.


; Teilnehmer
; Teilnehmer
Zeile 114: Zeile 114:
* Der Teil­nehmendenkreis bleibt so überschaubar, kann jedoch bei Bedarf durch weitere Prozess- und Ressourcenfachleute ergänzt werden.
* Der Teil­nehmendenkreis bleibt so überschaubar, kann jedoch bei Bedarf durch weitere Prozess- und Ressourcenfachleute ergänzt werden.


== Erstellung der GFPs ==
== Erstellung der [[GFP]] ==
; Insbe­sondere müssen folgende Inhalte im GFP dokumentiert werden:
; Insbe­sondere müssen folgende Inhalte im [[GFP]] dokumentiert werden:
* Geltungsbereich des GFP
* Geltungsbereich des GFP
* Zweck und Zielsetzung des GFP
* Zweck und Zielsetzung des GFP
* Aktivierungsprozess des GFP
* Aktivierungsprozess des GFP
* gesonderte Rechte, Berechtigungen und Pflichten der Mitarbeitenden im Gel­tungsbereich des GFP im Notfall
* gesonderte Rechte, Berechtigungen und Pflichten der Mitarbeitenden im Gel­tungsbereich des [[GFP]] im Notfall
* zeitkritische Geschäftsprozesse und deren RTO im Geltungsbereich des GFP
* zeitkritische Geschäftsprozesse und deren RTO im Geltungsbereich des GFP
* identifizierte Abhängigkeiten zu den zeitkritischen Geschäftsprozessen des GFP
* identifizierte Abhängigkeiten zu den zeitkritischen Geschäftsprozessen des GFP
* für die zeitkritischen Geschäftsprozesse des GFP benötigten Ressourcen und de­ren RTO/RPO
* für die zeitkritischen Geschäftsprozesse des [[GFP]] benötigten Ressourcen und de­ren RTO/RPO
* organisatorische Notfallmaßnahmen zur Geschäftsfortführung
* organisatorische Notfallmaßnahmen zur Geschäftsfortführung
* im Notfall relevante Kontakte oder Referenzen auf diese
* im Notfall relevante Kontakte oder Referenzen auf diese


; Melde- und Berichtspflichten
; Melde- und Berichtspflichten
Zusätzlich ist es empfehlenswert, die Melde- und Berichtspflichten im Notfall im GFP zu dokumentieren
Zusätzlich ist es empfehlenswert, die Melde- und Berichtspflichten im Notfall im [[GFP]] zu dokumentieren
* Falls auf Informationen in anderen Dokumenten verwiesen wird, müssen diese Doku­mente im GFP nachvollziehbar referenziert werden.  
* Falls auf Informationen in anderen Dokumenten verwiesen wird, müssen diese Doku­mente im [[GFP]] nachvollziehbar referenziert werden.  
* Im GFP muss beschrieben werden, wie die relevanten Mitarbeitenden im Notfall alarmiert und informiert werden.
* Im [[GFP]] muss beschrieben werden, wie die relevanten Mitarbeitenden im Notfall alarmiert und informiert werden.


=== Übergreifender Maßnahmen ===
=== Übergreifender Maßnahmen ===
Zeile 135: Zeile 135:


Alarmierung und Information
Alarmierung und Information
In einem ersten Schritt muss die Organisationseinheit beschreiben, wie die relevanten Mitarbeitenden im Falle eines Notfalls alarmiert und informiert werden, nachdem der GFP durch den Stab formal aktiviert wurde
In einem ersten Schritt muss die Organisationseinheit beschreiben, wie die relevanten Mitarbeitenden im Falle eines Notfalls alarmiert und informiert werden, nachdem der [[GFP]] durch den Stab formal aktiviert wurde
* Die Organisationseinheit kann sich hierzu an den Erläuterungen des Kapitels Alarmierung der BAO (R+AS) ausrichten und den festgelegten Alarmierungs- und Eskalationspfad für die Organisationseinheit fortschreiben
* Die Organisationseinheit kann sich hierzu an den Erläuterungen des Kapitels Alarmierung der BAO (R+AS) ausrichten und den festgelegten Alarmierungs- und Eskalationspfad für die Organisationseinheit fortschreiben


Zeile 148: Zeile 148:
* Externe Fachleute
* Externe Fachleute
* Externe Stellen
* Externe Stellen
Die Kontaktlisten können als Anhang zum GFP hinterlegt werden, um personenbezogene oder vertrauliche Kontaktdaten ihrem Schutzbedarf entsprechend ablegen zu können.
Die Kontaktlisten können als Anhang zum [[GFP]] hinterlegt werden, um personenbezogene oder vertrauliche Kontaktdaten ihrem Schutzbedarf entsprechend ablegen zu können.


; Konstituierung und Auflösung der BAO
; Konstituierung und Auflösung der BAO
Innerhalb des Kapitels Konstituierung und Auflösung der BAO (AS) ist beschrieben, nach welchen Kriterien GFPs durch den Stab aktiviert werden
Innerhalb des Kapitels Konstituierung und Auflösung der BAO (AS) ist beschrieben, nach welchen Kriterien [[GFP]] durch den Stab aktiviert werden
* Innerhalb dieses Abschnitts im GFP werden diese Kriterien aufgegriffen und konkretisiert.
* Innerhalb dieses Abschnitts im [[GFP]] werden diese Kriterien aufgegriffen und konkretisiert.


; Besondere Rechte und Pflichten
; Besondere Rechte und Pflichten
Für die Dauer des Notfalls kann es notwendig sein, allen oder einzelnen Mitarbeitenden im Geltungsbereich des GFP besondere Rechte und Pflichten zuzuteilen
Für die Dauer des Notfalls kann es notwendig sein, allen oder einzelnen Mitarbeitenden im Geltungsbereich des [[GFP]] besondere Rechte und Pflichten zuzuteilen
* Diese beschreiben etwa, welche gesonderten Zuständigkeiten und Zugangs-, Zutritts- und Zugriffs-Rechte Mitarbeitenden im Notfall zugeteilt werden
* Diese beschreiben etwa, welche gesonderten Zuständigkeiten und Zugangs-, Zutritts- und Zugriffs-Rechte Mitarbeitenden im Notfall zugeteilt werden
* Gesonderte Rechte umfassen auch solche im Rahmen von Freigabeprozessen oder Führungsaufgaben
* Gesonderte Rechte umfassen auch solche im Rahmen von Freigabeprozessen oder Führungsaufgaben
* Die gesonderten Rechte gelten von dem Zeitpunkt an, ab dem der GFP aktiviert wurde bis zu dem Zeitpunkt, an dem der Notfall deeskaliert wird.
* Die gesonderten Rechte gelten von dem Zeitpunkt an, ab dem der [[GFP]] aktiviert wurde bis zu dem Zeitpunkt, an dem der Notfall deeskaliert wird.


; Melde- und Berichtspflichten
; Melde- und Berichtspflichten
Fallen Geschäftsprozesse innerhalb des Geltungsbereichs des GFPs aus, können besondere Melde- und Berichtspflichten an interne und externe Stellen bestehen
Fallen Geschäftsprozesse innerhalb des Geltungsbereichs des [[GFP]] aus, können besondere Melde- und Berichtspflichten an interne und externe Stellen bestehen
* Diese Meldepflichten sollten innerhalb des GFP dokumentiert werden, sofern sie von denen des Normalbetriebs abweichen und nur für die Dauer des Notfalls gelten
* Diese Meldepflichten sollten innerhalb des [[GFP]] dokumentiert werden, sofern sie von denen des Normalbetriebs abweichen und nur für die Dauer des Notfalls gelten
* Die besonderen Melde- und Berichtspflichten richten sich sowohl an interne als auch externe Interessengruppen
* Die besonderen Melde- und Berichtspflichten richten sich sowohl an interne als auch externe Interessengruppen
* Hierunter fallen etwa andere Organisationseinheiten der Institution, Aufsichtsbehörden, Kunden und Kundinnen sowie dienstleistende und zuliefernde Institutionen, die für die Dauer des Notfalls gesondert informiert werden
* Hierunter fallen etwa andere Organisationseinheiten der Institution, Aufsichtsbehörden, Kunden und Kundinnen sowie dienstleistende und zuliefernde Institutionen, die für die Dauer des Notfalls gesondert informiert werden
Zeile 184: Zeile 184:


; Anwendung der BC-Lösungen
; Anwendung der BC-Lösungen
In den GFPs sollte beschrieben werden, wie die BC-Lösungen im Notfall konkret angewendet werden
In den [[GFP]] sollte beschrieben werden, wie die BC-Lösungen im Notfall konkret angewendet werden
* Folgende Leitfragen können dabei helfen, die erforderlichen Notfallmaßnahmen zu ermitteln:
* Folgende Leitfragen können dabei helfen, die erforderlichen Notfallmaßnahmen zu ermitteln:
* Welche Informationen sollen an wen auf welche Weise weitergegeben werden?
* Welche Informationen sollen an wen auf welche Weise weitergegeben werden?
Zeile 216: Zeile 216:
Grundsätzlich besteht in diesem Fall kein weiterer Handlungsbedarf seitens der Organisationseinheit, um den Wiederanlauf in den Notbetrieb sicherzustellen
Grundsätzlich besteht in diesem Fall kein weiterer Handlungsbedarf seitens der Organisationseinheit, um den Wiederanlauf in den Notbetrieb sicherzustellen
* Es muss jedoch dokumentiert werden, dass die vorhandenen Maßnahmen geeignet sind, um die Ressourcen innerhalb der geforderten Zeit zur Verfügung stellen zu können
* Es muss jedoch dokumentiert werden, dass die vorhandenen Maßnahmen geeignet sind, um die Ressourcen innerhalb der geforderten Zeit zur Verfügung stellen zu können
* Falls dazu weitere Schritte im Notfall durch die Organisationseinheit erforderlich sind, müssen diese im GFP dokumentiert werden
* Falls dazu weitere Schritte im Notfall durch die Organisationseinheit erforderlich sind, müssen diese im [[GFP]] dokumentiert werden
* Wird im Notbetrieb eine Ersatzressource bereitgestellt, z. B. durch das Facility Management oder das ITSCM, dann muss die Organisationseinheit zusätzlich beschreiben, wie diese aus Sicht der Organisationseinheit eingebunden und genutzt werden kann
* Wird im Notbetrieb eine Ersatzressource bereitgestellt, z. B. durch das Facility Management oder das ITSCM, dann muss die Organisationseinheit zusätzlich beschreiben, wie diese aus Sicht der Organisationseinheit eingebunden und genutzt werden kann
* Sie muss beschreiben, welche Maßnahmen relevant sind, um den Notbetrieb zu erreichen, aufrechtzuerhalten sowie zurück in den Normalbetrieb zu überführen.
* Sie muss beschreiben, welche Maßnahmen relevant sind, um den Notbetrieb zu erreichen, aufrechtzuerhalten sowie zurück in den Normalbetrieb zu überführen.
Zeile 224: Zeile 224:
<!--
<!--
; <nowiki>Beispiel 1: Ausfall eines IT-Systems</nowiki>
; <nowiki>Beispiel 1: Ausfall eines IT-Systems</nowiki>
Im GFP wird durch die Organisationseinheit festgelegt, dass der Wiederanlauf eines ausgefallenen IT-Systems ohne weitere organisatorische Maßnahmen abgewartet wird
Im [[GFP]] wird durch die Organisationseinheit festgelegt, dass der Wiederanlauf eines ausgefallenen IT-Systems ohne weitere organisatorische Maßnahmen abgewartet wird
* Da die RTA zum Wiederanlauf des IT-Systems kleiner als die RTO ist und keine Einschränkungen der Leistung oder des Umfangs zu erwarten sind, könnte der Geschäftsprozess auch in einem Notbetrieb vollumfänglich ausgeführt werden
* Da die RTA zum Wiederanlauf des IT-Systems kleiner als die RTO ist und keine Einschränkungen der Leistung oder des Umfangs zu erwarten sind, könnte der Geschäftsprozess auch in einem Notbetrieb vollumfänglich ausgeführt werden
* Da die RTA jedoch nur geschätzt wurde und ein Funktionstest des IT-Systems erst zu einem späteren Zeitpunkt geplant ist, beruhen die Notfallmaßnahmen der Organisationseinheit auf einer Annahme
* Da die RTA jedoch nur geschätzt wurde und ein Funktionstest des IT-Systems erst zu einem späteren Zeitpunkt geplant ist, beruhen die Notfallmaßnahmen der Organisationseinheit auf einer Annahme
Zeile 320: Zeile 320:


Die Defizite sollten je Ressource als Verbesserungsbedarf im Maßnahmenplan dokumentiert werden
Die Defizite sollten je Ressource als Verbesserungsbedarf im Maßnahmenplan dokumentiert werden
* Zusätzlich sollte im GFP selbst dokumentiert werden, dass in diesem Fall die fachlichen Anforderungen nicht erfüllt werden, sodass in einem Notfall die BAO dieses Defizit direkt erfasst.
* Zusätzlich sollte im [[GFP]] selbst dokumentiert werden, dass in diesem Fall die fachlichen Anforderungen nicht erfüllt werden, sodass in einem Notfall die BAO dieses Defizit direkt erfasst.
-->
-->


; Fallunterscheidung für unterschiedlich schwere Ausfälle  
; Fallunterscheidung für unterschiedlich schwere Ausfälle  
Es kann hilfreich sein, die zeitkritischen Ressourcen gemäß BIA innerhalb eines GFP anhand unterschiedlich schwerer Ausfallszenarien zu betrachten.
Es kann hilfreich sein, die zeitkritischen Ressourcen gemäß BIA innerhalb eines [[GFP]] anhand unterschiedlich schwerer Ausfallszenarien zu betrachten.


<!--
<!--
Zeile 337: Zeile 337:
* falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind
* falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind
* Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die entsprechenden Textstellen in den bestehenden Dokumenten verwiesen werden
* Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die entsprechenden Textstellen in den bestehenden Dokumenten verwiesen werden
* Um schnell auf diese Textstellen zugreifen zu können, sollten alle im GFP aufgeführten Dokumente am Ende des GFP noch einmal in einer Gesamtliste namentlich aufgeführt werden
* Um schnell auf diese Textstellen zugreifen zu können, sollten alle im [[GFP]] aufgeführten Dokumente am Ende des [[GFP]] noch einmal in einer Gesamtliste namentlich aufgeführt werden
* Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
* Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
* Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und die Dokumente gleichzeitig im Notfall zugänglich sind.
* Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und die Dokumente gleichzeitig im Notfall zugänglich sind.
Zeile 346: Zeile 346:


=== Notfallmaßnahmen im Standard-BCMS (AS) ===
=== Notfallmaßnahmen im Standard-BCMS (AS) ===
Innerhalb der Erstellung der GFPs müssen Notfallmaßnahmen entwickelt und dokumentiert werden, um ausgefallene Geschäftsprozesse in einem definierten Notbetrieb wiederaufzunehmen
Innerhalb der Erstellung der [[GFP]] müssen Notfallmaßnahmen entwickelt und dokumentiert werden, um ausgefallene Geschäftsprozesse in einem definierten Notbetrieb wiederaufzunehmen
* Diese werden üblicherweise von den zuständigen Kontaktpersonen der GFPs erstellt
* Diese werden üblicherweise von den zuständigen Kontaktpersonen der [[GFP]] erstellt
* Hierzu muss beschrieben werden, wie auf Basis der festgelegten BC-Strategien und -Lösungen die Geschäftsprozesse innerhalb der erforderlichen Zeit und auf dem Notbetriebsniveau wiederaufgenommen werden sollen
* Hierzu muss beschrieben werden, wie auf Basis der festgelegten BC-Strategien und -Lösungen die Geschäftsprozesse innerhalb der erforderlichen Zeit und auf dem Notbetriebsniveau wiederaufgenommen werden sollen
* Im GFP sollten der Ablauf und die konkreten Tätigkeiten zur Wiederaufnahme der relevanten Geschäftsprozesse sowie die entsprechenden Zuständigkeiten dokumentiert werden
* Im [[GFP]] sollten der Ablauf und die konkreten Tätigkeiten zur Wiederaufnahme der relevanten Geschäftsprozesse sowie die entsprechenden Zuständigkeiten dokumentiert werden
* Die Notfallmaßnahmen sollten geeignet sein, die Geschäftsprozesse auf Notbetriebsniveau für die Dauer fortführen zu können, die in den BC-Strategien definiert ist.
* Die Notfallmaßnahmen sollten geeignet sein, die Geschäftsprozesse auf Notbetriebsniveau für die Dauer fortführen zu können, die in den BC-Strategien definiert ist.


Zeile 370: Zeile 370:
Für einen Gebäudeausfall wird den Organisationseinheiten im Rahmen der festgelegten BC-Strategie und -Lösung ein gleichwertiger Ausweichstandort zur Verfügung gestellt
Für einen Gebäudeausfall wird den Organisationseinheiten im Rahmen der festgelegten BC-Strategie und -Lösung ein gleichwertiger Ausweichstandort zur Verfügung gestellt
* Innerhalb des Wiederanlaufplans werden die Maßnahmen beschrieben, um den Ausweichstandort mit den benötigten Arbeitsmaterialien bereitzustellen
* Innerhalb des Wiederanlaufplans werden die Maßnahmen beschrieben, um den Ausweichstandort mit den benötigten Arbeitsmaterialien bereitzustellen
* Innerhalb der GFPs wird beschrieben, wie die Organisationseinheiten die zeitkritischen Mitarbeitenden an den Ausweichstandort entsenden und diese dort die Arbeit wiederaufnehmen
* Innerhalb der [[GFP]] wird beschrieben, wie die Organisationseinheiten die zeitkritischen Mitarbeitenden an den Ausweichstandort entsenden und diese dort die Arbeit wiederaufnehmen
* Die Erstellung der GFPs umfasst z.&nbsp;B.&nbsp;Transportmöglichkeiten abzustimmen, notwendige Zutrittsberechtigungen zu erteilen oder zu planen, wie die Mitarbeitenden auf die vorhandenen Notfallarbeitsplätze im Notfall verteilt werden.
* Die Erstellung der [[GFP]] umfasst z.&nbsp;B.&nbsp;Transportmöglichkeiten abzustimmen, notwendige Zutrittsberechtigungen zu erteilen oder zu planen, wie die Mitarbeitenden auf die vorhandenen Notfallarbeitsplätze im Notfall verteilt werden.


Darüber hinaus wird festgelegt, welche Maßnahmen für die Dauer des Notbetriebs am Ausweichstandort wichtig sind, z.&nbsp;B.&nbsp;Regelungen dazu,
Darüber hinaus wird festgelegt, welche Maßnahmen für die Dauer des Notbetriebs am Ausweichstandort wichtig sind, z.&nbsp;B.&nbsp;Regelungen dazu,
Zeile 381: Zeile 381:
* Dies umfasst z.&nbsp;B.&nbsp;Mitarbeitende wieder auf die regulären Arbeitsplätze zu verteilen, den vertraulichen Transport von im Notbetrieb erstellten Dokumenten zu beauftragen oder temporäre Zutrittsberechtigungen zu löschen.
* Dies umfasst z.&nbsp;B.&nbsp;Mitarbeitende wieder auf die regulären Arbeitsplätze zu verteilen, den vertraulichen Transport von im Notbetrieb erstellten Dokumenten zu beauftragen oder temporäre Zutrittsberechtigungen zu löschen.


Sofern aus Sicht der Organisationseinheit der Geschäftsbetrieb durch zusätzliche Notfallmaßnahmen noch weiter abgesichert werden kann und die Maßnahmen leicht umsetzbar sind, ist es empfehlenswert, diese mit in den GFP zu übernehmen
Sofern aus Sicht der Organisationseinheit der Geschäftsbetrieb durch zusätzliche Notfallmaßnahmen noch weiter abgesichert werden kann und die Maßnahmen leicht umsetzbar sind, ist es empfehlenswert, diese mit in den [[GFP]] zu übernehmen
* So können neben den hauptsächlich anzuwenden Maßnahmen auch alternative Varianten aufgeführt werden.
* So können neben den hauptsächlich anzuwenden Maßnahmen auch alternative Varianten aufgeführt werden.


Der Detailgrad der beschriebenen Maßnahmen sollte so gewählt sein, dass eine fachkundige dritte Person in der Lage wäre, die Geschäftsfortführung anhand des GFP umzusetzen.
Der Detailgrad der beschriebenen Maßnahmen sollte so gewählt sein, dass eine fachkundige dritte Person in der Lage wäre, die Geschäftsfortführung anhand des [[GFP]] umzusetzen.


; Hinweis  
; Hinweis  
Um die Notfallmaßnahmen strukturiert abarbeiten zu können, ist es empfehlenswert, diese anhand von Checklisten zu dokumentieren.
Um die Notfallmaßnahmen strukturiert abarbeiten zu können, ist es empfehlenswert, diese anhand von Checklisten zu dokumentieren.


Werden Notfallmaßnahmen definiert, so kann es hilfreich sein, innerhalb eines GFP die zeitkritischen Ressourcen anhand unterschiedlich schwerer Ausfallszenarien zu betrachten
Werden Notfallmaßnahmen definiert, so kann es hilfreich sein, innerhalb eines [[GFP]] die zeitkritischen Ressourcen anhand unterschiedlich schwerer Ausfallszenarien zu betrachten
* Ein Gebäudeausfall kann den Ausfall eines gesamten Standortes, eines einzelnen Gebäudes oder lediglich einzelner Gebäudeteile bedeuten
* Ein Gebäudeausfall kann den Ausfall eines gesamten Standortes, eines einzelnen Gebäudes oder lediglich einzelner Gebäudeteile bedeuten
* Bei einem gesamten Standortausfall könnte es notwendig sein, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
* Bei einem gesamten Standortausfall könnte es notwendig sein, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
Zeile 403: Zeile 403:
Nicht alle Notfallmaßnahmen müssen neu dokumentiert werden, falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind
Nicht alle Notfallmaßnahmen müssen neu dokumentiert werden, falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind
* Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die jeweiligen Textstellen in den bestehenden Dokumenten verwiesen werden
* Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die jeweiligen Textstellen in den bestehenden Dokumenten verwiesen werden
* Um schnell auf die entsprechenden Textstellen zugreifen zu können, sollten alle im GFP aufgeführten Dokumente am Ende des GFP noch einmal in einer Gesamtliste namentlich aufgeführt werden
* Um schnell auf die entsprechenden Textstellen zugreifen zu können, sollten alle im [[GFP]] aufgeführten Dokumente am Ende des [[GFP]] noch einmal in einer Gesamtliste namentlich aufgeführt werden
* Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
* Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
* Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und gleichzeitig die Dokumente auch im Notfall zugänglich sind.
* Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und gleichzeitig die Dokumente auch im Notfall zugänglich sind.


== Qualitätssicherung und Freigabe  ==
== Qualitätssicherung und Freigabe  ==
Um sicherzustellen, dass alle Vorgaben zur Geschäftsfortführungsplanung eingehalten wurden, sollten die erstellten GFPs formal qualitätsgesichert werden
Um sicherzustellen, dass alle Vorgaben zur Geschäftsfortführungsplanung eingehalten wurden, sollten die erstellten [[GFP]] formal qualitätsgesichert werden


Dabei sollten die folgenden Aspekte berücksichtigt werden:
Dabei sollten die folgenden Aspekte berücksichtigt werden:
* '''Vollständigkeit''': Wurde die GFP-Dokumentvorlage verwendet und bilden die Inhalte alle vorgegebenen Punkte ab? Wurden alle relevanten Inhalte der BIA innerhalb des GFP erfasst und sind Notfallmaßnahmen dazu beschrieben? Sind die Inhalte des GFP aktuell? Unvollständige oder nicht aktuelle GFPs können dazu führen, dass diese im Notfall nicht oder nur begrenzt einsetzbar sind.
* '''Vollständigkeit''': Wurde die GFP-Dokumentvorlage verwendet und bilden die Inhalte alle vorgegebenen Punkte ab? Wurden alle relevanten Inhalte der BIA innerhalb des [[GFP]] erfasst und sind Notfallmaßnahmen dazu beschrieben? Sind die Inhalte des [[GFP]] aktuell? Unvollständige oder nicht aktuelle [[GFP]] können dazu führen, dass diese im Notfall nicht oder nur begrenzt einsetzbar sind.
* '''Plausibilität''': Sind die beschriebenen Maßnahmen widerspruchsfrei und die getroffenen Annahmen für die Institution realistisch? Sind sowohl die Angaben innerhalb des GFP als auch die beschriebenen Abhängigkeiten zu anderen GFPs oder WAPs plausibel dargestellt?
* '''Plausibilität''': Sind die beschriebenen Maßnahmen widerspruchsfrei und die getroffenen Annahmen für die Institution realistisch? Sind sowohl die Angaben innerhalb des [[GFP]] als auch die beschriebenen Abhängigkeiten zu anderen [[GFP]] oder WAPs plausibel dargestellt?
* '''Aktualität''': Sind die referenzierten Dokumente in der jeweils aktuellen Version hinterlegt? Wurden die relevanten Kontaktpersonen auf Basis einer aktuellen Kontaktliste dokumentiert? Veraltete Informationen können dazu führen, dass die beschriebenen Maßnahmen wirkungslos sind oder nicht umgesetzt werden können und der GFP in Gänze nicht oder nur begrenzt einsetzbar ist.
* '''Aktualität''': Sind die referenzierten Dokumente in der jeweils aktuellen Version hinterlegt? Wurden die relevanten Kontaktpersonen auf Basis einer aktuellen Kontaktliste dokumentiert? Veraltete Informationen können dazu führen, dass die beschriebenen Maßnahmen wirkungslos sind oder nicht umgesetzt werden können und der [[GFP]] in Gänze nicht oder nur begrenzt einsetzbar ist.


Ferner können durch die Qualitätssicherung der Detailgrad und die sprachliche Verständlichkeit der GFPs überprüft und aufeinander abgestimmt werden.
Ferner können durch die Qualitätssicherung der Detailgrad und die sprachliche Verständlichkeit der [[GFP]] überprüft und aufeinander abgestimmt werden.


; Hinweis
; Hinweis
Zeile 421: Zeile 421:
Die Qualitätssicherung dient zu diesem Zeitpunkt lediglich dazu, sicherzustellen, dass die Vorgaben eingehalten wurden
Die Qualitätssicherung dient zu diesem Zeitpunkt lediglich dazu, sicherzustellen, dass die Vorgaben eingehalten wurden


Ob die in den GFPs beschriebenen Notfallmaßnahmen angemessen, vollständig und wirksam sind, kann erst anhand von Übungen und Tests ermittelt werden.
Ob die in den [[GFP]] beschriebenen Notfallmaßnahmen angemessen, vollständig und wirksam sind, kann erst anhand von Übungen und Tests ermittelt werden.
</blockquote>
</blockquote>


Nachdem die GFPs qualitätsgesichert wurden, müssen diese offiziell freigegeben werden.
Nachdem die [[GFP]] qualitätsgesichert wurden, müssen diese offiziell freigegeben werden.
* Dies kann beispielsweise durch die Leitungen der Organisationseinheiten erfolgen
* Dies kann beispielsweise durch die Leitungen der Organisationseinheiten erfolgen
* Dieser Schritt signalisiert, dass die Maßnahmen und Verfahren bestätigt wurden und der Plan offiziell in einem Notfall verwendet werden kann.
* Dieser Schritt signalisiert, dass die Maßnahmen und Verfahren bestätigt wurden und der Plan offiziell in einem Notfall verwendet werden kann.


Nachdem die GFPs sowie die im folgenden Kapitel beschriebenen WAPs erstellt, qualitätsgesichert und freigegeben sind, ist es wesentlich transparenter, in welchem Maße die BC-Strategien und -Lösungen durch die Organisationseinheiten anwendbar sind und welcher tatsächliche Ressourcenbedarf für die Notfallmaßnahmen erforderlich ist
Nachdem die [[GFP]] sowie die im folgenden Kapitel beschriebenen WAPs erstellt, qualitätsgesichert und freigegeben sind, ist es wesentlich transparenter, in welchem Maße die BC-Strategien und -Lösungen durch die Organisationseinheiten anwendbar sind und welcher tatsächliche Ressourcenbedarf für die Notfallmaßnahmen erforderlich ist
* Es ist daher empfehlenswert, dass der oder die BCB die aktualisierten Informationen der Institutionsleitung und dem Risikomanagement mitteilt
* Es ist daher empfehlenswert, dass der oder die BCB die aktualisierten Informationen der Institutionsleitung und dem Risikomanagement mitteilt
* Hierdurch kann der Institutionsleitung ein realistischeres Bild über die Risikosituation vermittelt werden als es zu einem früheren Zeitpunkt möglich war.
* Hierdurch kann der Institutionsleitung ein realistischeres Bild über die Risikosituation vermittelt werden als es zu einem früheren Zeitpunkt möglich war.


<noinclude>
<noinclude>
----
{{Navigation|BSI/200-4/10 Business-Continuity-Strategie|BSI/200-4/12 Wiederanlauf}}
{{Navigation|BSI/200-4/10 Business-Continuity-Strategie|BSI/200-4/12 Wiederanlauf}}
----


== Anhang ==
== Anhang ==

Aktuelle Version vom 6. Juni 2026, 11:51 Uhr

BSI/200-4/11 Geschäftsfortführungsplanung

Beschreibung

Vorbereitung der GFP

Effektive Vorbereitung

Eine effektive Vorbereitung der GFP ist die Voraussetzung dafür, dass

  • die GFP effizient, vergleichbar und valide erstellt werden können,
  • die Teilnehmenden optimal auf die Fragestellungen vorbereitet werden,
  • die Verfügbarkeit der Pläne im Notfall gewährleistet ist sowie
  • im Notfall die Leser die GFP gut lesen und schnell anwenden können.

Es ist empfehlenswert, dass die Vorbereitung durch die Rolle BCB erfolgt, da diese über das notwendige Fachwissen zum BCM-Prozess verfügt und diesen zeitlich steuert.

  • Der oder die BCB kann vorbereitende Tätigkeiten ganz oder teilweise an weitere Rollen im BCM delegieren, z. B. an lokale BCBs, BCKs oder ein BC-Vorsorgeteam.

Aufteilung

Struktur der Institution

Es ist wichtig, dass der oder die BCB festlegt, wie die GFP im Hinblick auf die zugrundeliegende Struktur der Institution aufgeteilt werden sollen

  • Es gibt viele Möglichkeiten, wie Geschäftsfortführungspläne organisatorisch aufgeteilt werden könnten
  • So könnte ein GFP je Geschäftsprozess oder Organisationseinheit erstellt werden
  • Ferner könnten GFP auch weiter anhand von Ausfallszenarien aufgeteilt werden
Anschauliche Übersicht

Entscheidend für eine schnelle Reaktion ist jedoch, dass

  • eine anschauliche Übersicht über die zeitkritischen Geschäftsprozesse und Ressourcen ermöglicht wird
  • die Zuständigkeiten der im GFP beschriebenen Maßnahmen möglichst klar geregelt sind.

Hierbei hat es sich in der Praxis bewährt, einen GFP je Organisationseinheit zu erstellen.

Dieses Vorgehen bietet viele Vorteile

  • Die zuständigen Kontaktpersonen, die den GFP erstellen und aktualisieren, können eindeutig der Organisationseinheit zugeordnet werden
  • Zudem wird eine überschaubare Anzahl an Dokumenten erzeugt und die GFP spiegeln die vertraute Organisationsstruktur wider
  • Die GFP lassen sich so leichter voneinander abgrenzen.

Im Einzelfall kann es sinnvoll sein, von dieser Struktur abzuweichen

  • Dies ist etwa der Fall, wenn
    • Verantwortungs- und Tätigkeitsbereiche nicht klar voneinander abgrenzbar sind, z. B. in einer Matrix-Organisation, oder
    • Organisationseinheiten standortübergreifend agieren und auf unterschiedliche Ressourcen zugreifen.
Länderspezifische Anforderungen

Zusätzlich können länderspezifische Anforderungen und Gegebenheiten unter Umständen dazu führen, dass für gleiche Geschäftsprozesse und Ressourcen im GFP unterschiedliche Notfallmaßnahmen an unterschiedlichen Standorten beschrieben werden müssen.

Hinweis

Ob die GFP sinnvoll aufgeteilt und voneinander abgegrenzt wurden, kann mitunter erst im Rahmen der Erstellung der GFP fundiert bewertet werden

  • Der oder die BCB sollte daher die Aufteilung der GFP im Rahmen der Erstellung der GFP mit den entsprechenden Kontaktpersonen diskutieren und gegebenenfalls den Geltungsbereich des GFP anpassen oder in mehrere GFP aufteilen.

Erstellung einer Dokumentvorlage

Um die Geschäftsfortführung im Notfall zu erleichtern, sollte der oder die BCB sicherstellen, dass die GFPs einheitlich aufgebaut und nachvollziehbar dokumentiert sind

  • Hierzu sollte eine GFP-Dokumentvorlage erstellt werden

Aspekte der Dokumentvorlage

Geltungsbereich

Beschreibt den organisatorischen und räumlichen Bereich, in welchem die Maßnahmen und Verfahren eines GFP gelten

  • Die Beschreibung des Geltungsbereichs stellt sicher, dass der GFP sowie die darin beschriebenen Maßnahmen ausschließlich in dem für ihn vorgesehenen Umfeld eingesetzt werden
  • Es könnte z. B. vorkommen, dass die beschriebenen Maßnahmen nicht in anderen Organisationseinheiten oder Standorten eingesetzt werden können oder den dort notwendigen Maßnahmen widersprechen.
Zielstellung

Beschreibt, was durch den GFP erreicht werden soll und was explizit nicht durch den GFP forciert wird

  • Die Beschreibung der Zielstellung stellt sicher, dass der GFP nur zu seinem gedachten Zweck eingesetzt wird und nicht etwa im Rahmen des Normalbetriebs zweckentfremdet oder mit anderen Themen vermischt wird.
Aktivierungsprozess

Beschreibt die gesonderten Rechte und Pflichten der Mitarbeitenden sowie die besonderen Melde- und Berichtspflichten werden in Kapitel 11.2.1 Festlegung übergreifender Maßnahmen (R+AS) näher erläutert.

Zeitkritische Geschäftsprozesse

Innerhalb des GFP müssen alle zeitkritischen Geschäftsprozesse einer Organisationseinheit sowie deren MTPD und RTO dokumentiert werden

  • Die Dokumentation hat zum Ziel, dem Stab im Notfall eine Übersicht über die zeitkritischen Geschäftsprozesse im Geltungsbereich sowie deren MTPD und RTO zu verschaffen
  • Die Auflistung schafft Transparenz über die bestehenden zeitkritischen Geschäftsprozesse sowie über die zeitliche Reihenfolge, in welcher diese wieder in einem Notbetrieb anlaufen müssen.
Abhängigkeiten

Zusätzlich müssen die identifizierten Abhängigkeiten zwischen zeitkritischen Geschäftsprozessen dokumentiert werden

  • Hierunter fallen auch prozessuale Abhängigkeiten, die etwa zwischen Organisationseinheiten bestehen
  • Dadurch ist es möglich, im Notfall schnell festzustellen, welche Geschäftsprozesse durch einen vor- oder nachgelagerten oder parallelen Prozessausfall betroffen sind
  • Die Tätigkeiten im Notbetrieb können so leichter institutionsweit priorisiert werden.

Alle zeitkritischen Ressourcen der betrachteten Organisationseinheit sowie die identifizierten RTAs und RTOs sowie die RPOs und RPAs müssen innerhalb des GFP dokumentiert werden

  • Aufgeteilt nach möglichem Ressourcenausfall müssen innerhalb des GFP Notfallmaßnahmen abgeleitet werden, wie die Organisationseinheit mit den im Rahmen der Wiederanlaufplanung bereitgestellten Ressourcen arbeitet
  • Die Notfallmaßnahmen zielen darauf ab, die Geschäftsprozesse bei Ausfall der Ressourcen innerhalb der RTO auf dem vorgegebenen Notbetriebsniveau fortzuführen.
Kontakte

Innerhalb des GFP müssen sämtliche internen sowie externen Kontakte dokumentiert werden, die im Rahmen der Geschäftsfortführung relevant sind, vor allem im Notfall erreichbare Telefonnummern

  • Dies sind z. B. die Kontaktdaten von Mitarbeitenden aus anderen Fachbereichen, von internen oder externen Fachleuten sowie von innerhalb der Organisationseinheit benötigten Dienstleistungsunternehmen
  • Die Dokumentation der relevanten Kontakte ermöglicht einen schnellen Zugriff auf die entsprechenden Stellen sowie eine Unabhängigkeit von anderen, möglicherweise nicht verfügbaren Kontakt-Quellen wie digitalen Telefonbüchern
  • Sofern die Kontakt-Informationen bereits ausfallsicher an anderer Stelle dokumentiert sind, genügt es, im GFP die Kontakt-Informationen zu referenzieren und im Notfall verfügbar zu machen.
Relevanten Dokumente

Innerhalb des GFP sollten alle zur Geschäftsfortführung relevanten Dokumente sowie ihre jeweiligen Ablageorte notiert werden

  • Mögliche Dokumente sind etwa Prozessbeschreibungen oder Handlungsanweisungen
  • In einem Notfall kann durch die zielgerichteten Verweise schnell auf die relevante Information in den jeweiligen Dokumenten zugegriffen werden
  • Voraussetzung ist, dass die für die Notfallbewältigung benötigten Dokumente schnell zu erfassen sind und konkrete Notfallmaßnahmen leicht daraus abgeleitet werden können
  • Es muss sichergestellt werden, dass die Ablageorte entsprechend dem Schutzbedarf abgesichert und auch im Notfall zugänglich sind.

Vorausfüllen der GFP

Es ist empfehlenswert, dass die erstellte GFP-Vorlage mit den bereits bekannten Informa­tionen aus BIA und Soll-Ist-Vergleich je Geltungsbereich vorausgefüllt wird.

Be­reits bekannten Informationen
  • Geltungsbereich des GFP
  • zeitkritischen Geschäftsprozesse in diesem Geltungsbereich
  • Abhängigkeiten zu diesen zeitkritischen Geschäftsprozessen
  • MTPD, die RTO und das Notbetriebsniveau jedes gelisteten Geschäftsprozesses
  • zeitkritischen Ressourcen mit ihrer jeweiligen RTA, RTO sowie RPA und RPO

Um ursachenbasiert konkrete Notfallmaßnahmen zu beschreiben, bietet es sich in einem GFP an, die relevanten Informationen den Ressourcenkategorien zuzuordnen.

  • Dies er­laubt einen schnellen Zugriff auf die Informationen im Notfall.

Planung der GFP-Erstellung

Workshops

Die Geschäftsfortführungsplanung kann weitestgehend analog zum Vorgehen in der BIA organisiert werden.

  • Insbesondere, wenn GFP erstmalig erstellt werden, ist es empfehlenswert, dass der oder die BCB dies im Rahmen von Workshops durchführt.
  • Er oder sie kann hierbei die Methodik und die Inhal­te des GFP erläutern und den Workshop moderieren.
Teilnehmer

Es ist empfehlenswert, dass die gleichen Personen wie in den vorangegangenen Schrit­ten zur BIA am Workshop teilnehmen.

  • Dieser Personenkreis verfügt in der Regel über umfangreiches Wissen über die Geschäftsprozesse und die dafür benötigten Ressourcen und kann entsprechend qualitative Aussagen zur Geschäftsfortführung tätigen.
  • Der Teil­nehmendenkreis bleibt so überschaubar, kann jedoch bei Bedarf durch weitere Prozess- und Ressourcenfachleute ergänzt werden.

Erstellung der GFP

Insbe­sondere müssen folgende Inhalte im GFP dokumentiert werden
  • Geltungsbereich des GFP
  • Zweck und Zielsetzung des GFP
  • Aktivierungsprozess des GFP
  • gesonderte Rechte, Berechtigungen und Pflichten der Mitarbeitenden im Gel­tungsbereich des GFP im Notfall
  • zeitkritische Geschäftsprozesse und deren RTO im Geltungsbereich des GFP
  • identifizierte Abhängigkeiten zu den zeitkritischen Geschäftsprozessen des GFP
  • für die zeitkritischen Geschäftsprozesse des GFP benötigten Ressourcen und de­ren RTO/RPO
  • organisatorische Notfallmaßnahmen zur Geschäftsfortführung
  • im Notfall relevante Kontakte oder Referenzen auf diese
Melde- und Berichtspflichten

Zusätzlich ist es empfehlenswert, die Melde- und Berichtspflichten im Notfall im GFP zu dokumentieren

  • Falls auf Informationen in anderen Dokumenten verwiesen wird, müssen diese Doku­mente im GFP nachvollziehbar referenziert werden.
  • Im GFP muss beschrieben werden, wie die relevanten Mitarbeitenden im Notfall alarmiert und informiert werden.

Übergreifender Maßnahmen

Die Festlegung übergreifender Maßnahmen beinhaltet alle übergreifenden Aspekte, die nicht dazu dienen, die Geschäftsfortführung einzelner Geschäftsprozesse zu regeln.

Alarmierung und Information In einem ersten Schritt muss die Organisationseinheit beschreiben, wie die relevanten Mitarbeitenden im Falle eines Notfalls alarmiert und informiert werden, nachdem der GFP durch den Stab formal aktiviert wurde

  • Die Organisationseinheit kann sich hierzu an den Erläuterungen des Kapitels Alarmierung der BAO (R+AS) ausrichten und den festgelegten Alarmierungs- und Eskalationspfad für die Organisationseinheit fortschreiben
Organisationseinheit legt intern fest
  • welche Personen bzw. Funktionen in Kenntnis gesetzt werden sollen,
  • über welche Kommunikationsmittel die Alarmierung im Notfall erfolgen soll sowie
  • welche weiteren Schritte sich aus der Alarmierung ergeben.
Zu alarmierende Kontaktpersonen
  • Mitglieder des Bewältigungsteams
  • Weitere Mitarbeitende
  • Externe Fachleute
  • Externe Stellen

Die Kontaktlisten können als Anhang zum GFP hinterlegt werden, um personenbezogene oder vertrauliche Kontaktdaten ihrem Schutzbedarf entsprechend ablegen zu können.

Konstituierung und Auflösung der BAO

Innerhalb des Kapitels Konstituierung und Auflösung der BAO (AS) ist beschrieben, nach welchen Kriterien GFP durch den Stab aktiviert werden

  • Innerhalb dieses Abschnitts im GFP werden diese Kriterien aufgegriffen und konkretisiert.
Besondere Rechte und Pflichten

Für die Dauer des Notfalls kann es notwendig sein, allen oder einzelnen Mitarbeitenden im Geltungsbereich des GFP besondere Rechte und Pflichten zuzuteilen

  • Diese beschreiben etwa, welche gesonderten Zuständigkeiten und Zugangs-, Zutritts- und Zugriffs-Rechte Mitarbeitenden im Notfall zugeteilt werden
  • Gesonderte Rechte umfassen auch solche im Rahmen von Freigabeprozessen oder Führungsaufgaben
  • Die gesonderten Rechte gelten von dem Zeitpunkt an, ab dem der GFP aktiviert wurde bis zu dem Zeitpunkt, an dem der Notfall deeskaliert wird.
Melde- und Berichtspflichten

Fallen Geschäftsprozesse innerhalb des Geltungsbereichs des GFP aus, können besondere Melde- und Berichtspflichten an interne und externe Stellen bestehen

  • Diese Meldepflichten sollten innerhalb des GFP dokumentiert werden, sofern sie von denen des Normalbetriebs abweichen und nur für die Dauer des Notfalls gelten
  • Die besonderen Melde- und Berichtspflichten richten sich sowohl an interne als auch externe Interessengruppen
  • Hierunter fallen etwa andere Organisationseinheiten der Institution, Aufsichtsbehörden, Kunden und Kundinnen sowie dienstleistende und zuliefernde Institutionen, die für die Dauer des Notfalls gesondert informiert werden
  • Dies kann beispielsweise häufigere Meldungen oder Berichte umfassen oder gesonderte Inhalte der Meldungen
Informationen
  • Stelle, an die gemeldet oder berichtet werden soll
  • Rolle, die melden oder berichten soll
  • Medium, über das gemeldet oder berichtet werden soll
  • Inhalt, der gemeldet oder berichtet werden soll
  • Zeitpunkt oder Häufigkeit, zu dem oder in der gemeldet oder berichtet werden soll

Notfallmaßnahmen im Reaktiv-BCMS (R)

Notfallmaßnahmen entwickeln

Innerhalb der GFP-Workshops muss die Organisationseinheit Notfallmaßnahmen entwickeln und dokumentieren

  • Diese sollten den Wiederanlauf sowie den Notbetrieb ausgefallener Geschäftsprozesse ermöglichen, soweit dies im Reaktiv-BCMS mit bereits vorhandenen oder einfach umsetzbaren BC-Lösungen möglich ist
Maßnahmenplan
  • Einfache BC-Lösungen, die im Rahmen des Reaktiv-BCMS umgesetzt werden, sollten als Maßnahmen im Maßnahmenplan dokumentiert werden und im Rahmen des Reaktiv-BCMS umgesetzt werden
  • Sie sollten dort entsprechend der Vorlage mit einer Umsetzungsfrist aufgenommen und innerhalb dieses Zeitrahmens umgesetzt werden
Anwendung der BC-Lösungen

In den GFP sollte beschrieben werden, wie die BC-Lösungen im Notfall konkret angewendet werden

  • Folgende Leitfragen können dabei helfen, die erforderlichen Notfallmaßnahmen zu ermitteln:
  • Welche Informationen sollen an wen auf welche Weise weitergegeben werden?
  • Welche Notfallmaßnahmen müssen eingeleitet werden, um den gewünschten Zustand zu erreichen (z. B. Notbetriebsniveau)?
  • Wie lange wird die Durchführung der Notfallmaßnahmen dauern?
  • Welche Voraussetzungen müssten gegeben sein, um die Notfallmaßnahmen durchführen zu können?
  • Welche Reaktionen werden von anderen erwartet?
Definierte Notbetriebsniveau

Die BC-Lösungen und Notfallmaßnahmen sollten nach Möglichkeit geeignet sein, das definierte Notbetriebsniveau und die RTO zu erreichen

  • Hierbei handelt es sich um zwei Dimensionen, die innerhalb einer idealen BC-Planung beide gleichzeitig erfüllt werden sollten.
Notbetriebsniveaus

In der Bandbreite sind hinsichtlich des definierten Notbetriebsniveaus zwei Extreme möglich:

  • In manchen Fällen kann möglicherweise durch Ausweich- oder Ersatzressourcen dieselbe Funktionalität und Leistungsfähigkeit wie im Normalbetrieb erreicht werden, z. B. anhand von Redundanzkonzepten für die IT.
  • In anderen Fällen kann möglicherweise das Notbetriebsniveau nicht sichergestellt werden, da ein Reaktiv-BCMS ausschließlich auf bereits vorhandene Ressourcen und Möglichkeiten der Institution aufbaut.
RTO

Hier sind in der Bandbreite auch zwei Extreme möglich:

  • In manchen Fällen können möglicherweise Ausweich- oder Ersatzressourcen innerhalb der geforderten RTO tatsächlich zur Verfügung gestellt werden.
  • In anderen Fällen können aufgrund unzureichender oder fehlender BC-Lösungen möglicherweise Ausweich- oder Ersatzressourcen erst in einem deutlich längeren Zeitraum als die RTO zur Verfügung gestellt werden.

Aus dem Endergebnis des Soll-Ist-Vergleichs lassen sich zwei Fälle ableiten, auf die im Nachfolgenden weiter eingegangen wird.

Fall 1: RTO wird auf Notbetriebsniveau erreicht

Die zugesicherte Wiederanlaufzeit der Ressource ist kürzer oder gleich der geforderten Wiederanlaufzeit (RTA ≤ RTO)

  • Zusätzlich erreicht die wieder angelaufene Ressource in dieser Zeit das Notbetriebsniveau.

RTA ≤ RTO und das Notbetriebsniveau wird erreicht

Grundsätzlich besteht in diesem Fall kein weiterer Handlungsbedarf seitens der Organisationseinheit, um den Wiederanlauf in den Notbetrieb sicherzustellen

  • Es muss jedoch dokumentiert werden, dass die vorhandenen Maßnahmen geeignet sind, um die Ressourcen innerhalb der geforderten Zeit zur Verfügung stellen zu können
  • Falls dazu weitere Schritte im Notfall durch die Organisationseinheit erforderlich sind, müssen diese im GFP dokumentiert werden
  • Wird im Notbetrieb eine Ersatzressource bereitgestellt, z. B. durch das Facility Management oder das ITSCM, dann muss die Organisationseinheit zusätzlich beschreiben, wie diese aus Sicht der Organisationseinheit eingebunden und genutzt werden kann
  • Sie muss beschreiben, welche Maßnahmen relevant sind, um den Notbetrieb zu erreichen, aufrechtzuerhalten sowie zurück in den Normalbetrieb zu überführen.

Da infolge der Einschränkungen des Notbetriebs mit Arbeitsrückständen zu rechnen ist, ist es empfehlenswert, dass die Organisationseinheit zusätzlich Maßnahmen beschreibt, die diese Nacharbeiten identifizieren und behandeln.


Fall 2: Die vorgegebenen Parameter werden nicht erreicht

In diesem Fall ist die zugesicherte Wiederanlaufzeit länger als die RTO oder das geforderte Notbetriebsniveau wird nicht erreicht

  • Im ungünstigsten Fall werden beide Parameter gleichzeitig nicht erfüllt.

Die Abbildung zeigt den Fall, dass zwar die RTA erreicht wird, jedoch nicht das geforderte Notbetriebsniveau

  • Dies tritt bei Ersatzressourcen auf, die gegenüber der ausgefallenen Originalressource über einen stark eingeschränkten Funktions- und Leistungsumfang verfügen, der auch nicht im zeitlichen Verlauf auf das geforderte Notbetriebsniveau gesteigert werden kann:
Beispiel: Nichterreichen des Notbetriebsniveaus

Im Falle eines Gebäudeausfalls wurde der Organisationseinheit zugesichert, innerhalb der RTO eine Ausweichlokation zu erhalten

  • In der Ausweichlokation stehen jedoch nicht genügend Arbeitsplätze für alle Mitarbeitenden mit zeitkritischen Aufgaben zur Verfügung.

Folgende Abbildung zeigt den Fall, dass zwar das Notbetriebsniveau erreicht wird, jedoch die zugesicherte Wiederanlaufzeit länger ist als die RTO

  • Dies tritt bei Ersatzressourcen ein, die zwar grundsätzlich über das nötige Notbetriebsniveau verfügen, die jedoch länger für den Wiederanlauf benötigen als gefordert.
Beispiel: RTA > RTO

Im Falle eines Gebäudeausfalls wurde der Organisationseinheit eine Ausweichlokation zugesichert

  • Die Ausweichlokation steht jedoch erst einen Tag nach Ablauf der RTO zur Verfügung.

Mischformen

Beispiel: RTA > RTO und Nichterreichen des Notbetriebsniveaus

Im Falle eines Produktionsausfalls wurde der Organisationseinheit zugesichert, dass eine der beiden für das Notbetriebsniveau erforderlichen Produktionsstraßen nach einem Zeitraum, der länger als die RTO ist, zur Verfügung steht. In allen Ausprägungen des Falls 2 existiert ein erhöhter Schaden, falls die betrachtete Ressource und damit der Geschäftsprozess ausfällt

  • Die Anforderungen des BCMS werden an dieser Stelle nicht erfüllt

Grundsätzlich gibt es folgende Möglichkeiten, mit dieser Situation umzugehen
  1. Behebung durch Workarounds und Quickfixes
  2. Risikoakzeptanz mit Behebung im Aufbau- oder Standard-BCMS
Behebung durch Workarounds und Quickfixes

In vielen Fällen lassen sich das Notbetriebsniveau und die geforderte Wiederanlaufzeit durch überschaubare Investitionen oder schnelle Workarounds erreichen, die nicht vollständig auf den vorhandenen Mitteln aufbauen, jedoch auch nicht einen solchen Umfang wie vollumfängliche BC-Strategien umfassen.

Hierbei ist es grundsätzlich empfehlenswert, Typ-2-Fälle möglichst durch Workarounds und Quickfixes zu behandeln und somit zu Typ-1-Fällen zu transformieren, die die Anforderungen des BCMS erfüllen

  • Die dazu erforderlichen Vorsorgemaßnahmen sollten im BCM-Maßnahmenplan (siehe 15.2 Ableitung von Korrektur- und Verbesserungs-maßnahmen (R+AS)) beschrieben werden.
Risikoakzeptanz mit Behebung im Aufbau- oder Standard-BCMS

In der Praxis werden in der Regel im Reaktiv-BCMS eine Reihe von Fällen bestehen, in denen die Anforderungen nicht in der geforderten Zeit oder auf dem geforderten Niveau erreicht werden können und gleichzeitig auch keine einfachen Möglichkeiten für Workarounds bestehen

  • Alternativ kann die Situation eintreten, dass zwar Workarounds möglich sind und auch angewendet werden, aber die die Anforderungen dennoch nicht vollständig erfüllt werden können.


Fallunterscheidung für unterschiedlich schwere Ausfälle

Es kann hilfreich sein, die zeitkritischen Ressourcen gemäß BIA innerhalb eines GFP anhand unterschiedlich schwerer Ausfallszenarien zu betrachten.


Nicht alle Notfallmaßnahmen müssen neu dokumentiert werden
  • falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind
  • Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die entsprechenden Textstellen in den bestehenden Dokumenten verwiesen werden
  • Um schnell auf diese Textstellen zugreifen zu können, sollten alle im GFP aufgeführten Dokumente am Ende des GFP noch einmal in einer Gesamtliste namentlich aufgeführt werden
  • Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
  • Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und die Dokumente gleichzeitig im Notfall zugänglich sind.

Schwachstellen und Verbesserungsbedarfe, die innerhalb der Geschäftsfortführungsplanung identifiziert werden, sowie getroffene Annahmen und Lücken, die sich aus der Natur des Reaktiv-BCMS ergeben, müssen an die Rolle BCB gemeldet werden

  • Diese muss die identifizierten Lücken und Schwachstellen sowie Annahmen und Verbesserungsbedarfe in einem Maßnahmenplan vorhalten
  • Dadurch kann sichergestellt werden, dass keine Aspekte verloren gehen und alle in einem Aufbau- oder Standard-BCMS wieder aufgegriffen und behandelt werden.

Notfallmaßnahmen im Standard-BCMS (AS)

Innerhalb der Erstellung der GFP müssen Notfallmaßnahmen entwickelt und dokumentiert werden, um ausgefallene Geschäftsprozesse in einem definierten Notbetrieb wiederaufzunehmen

  • Diese werden üblicherweise von den zuständigen Kontaktpersonen der GFP erstellt
  • Hierzu muss beschrieben werden, wie auf Basis der festgelegten BC-Strategien und -Lösungen die Geschäftsprozesse innerhalb der erforderlichen Zeit und auf dem Notbetriebsniveau wiederaufgenommen werden sollen
  • Im GFP sollten der Ablauf und die konkreten Tätigkeiten zur Wiederaufnahme der relevanten Geschäftsprozesse sowie die entsprechenden Zuständigkeiten dokumentiert werden
  • Die Notfallmaßnahmen sollten geeignet sein, die Geschäftsprozesse auf Notbetriebsniveau für die Dauer fortführen zu können, die in den BC-Strategien definiert ist.

Folgende Leitfragen können dabei helfen, die erforderlichen Notfallmaßnahmen zu ermitteln:

  • Welche Informationen sollen an wen auf welche Weise weitergegeben werden?
  • Welche Notfallmaßnahmen müssen eingeleitet werden, um den gewünschten Zustand zu erreichen (z. B. Notbetriebsniveau)?
  • Wie lange würde die Durchführung der Notfallmaßnahmen dauern?
  • Welche Voraussetzungen müssten gegeben sein, um die Notfallmaßnahmen durchführen zu können?
  • Welche Reaktionen würden von anderen erwartet?

Darüber hinaus sollten die Notfallmaßnahmen mit der aktuellen Wiederanlaufplanung der Ressourcen abgestimmt werden

  • Abschließend sollte beschrieben werden, wie die Geschäftsprozesse vom Notbetrieb in den Normalbetrieb überführt werden sollen und wie mit notwendigen Nacharbeiten, beispielsweise Arbeitsrückständen, verfahren werden soll.

Es wird empfohlen, die Notfallmaßnahmen am Ablauf der Notfallbewältigung auszurichten:

  • Maßnahmen, um den Notbetrieb zu erreichen (Wiederanlauf in den Notbetrieb)
  • Maßnahmen für die Geschäftsfortführung (Arbeiten im Notbetrieb)
  • Maßnahmen zur Rückführung in den Normalbetrieb (inklusive Nacharbeiten)
Beispiel

Für einen Gebäudeausfall wird den Organisationseinheiten im Rahmen der festgelegten BC-Strategie und -Lösung ein gleichwertiger Ausweichstandort zur Verfügung gestellt

  • Innerhalb des Wiederanlaufplans werden die Maßnahmen beschrieben, um den Ausweichstandort mit den benötigten Arbeitsmaterialien bereitzustellen
  • Innerhalb der GFP wird beschrieben, wie die Organisationseinheiten die zeitkritischen Mitarbeitenden an den Ausweichstandort entsenden und diese dort die Arbeit wiederaufnehmen
  • Die Erstellung der GFP umfasst z. B. Transportmöglichkeiten abzustimmen, notwendige Zutrittsberechtigungen zu erteilen oder zu planen, wie die Mitarbeitenden auf die vorhandenen Notfallarbeitsplätze im Notfall verteilt werden.

Darüber hinaus wird festgelegt, welche Maßnahmen für die Dauer des Notbetriebs am Ausweichstandort wichtig sind, z. B. Regelungen dazu,

  • wie mit vertraulichen Dokumenten am Ausweichstandort umgegangen wird,
  • wie Informationen auf Papier, z. B. Postsendungen, nachgesendet werden und
  • wie alternative, vor Ort befindliche Geräte, Maschinen oder Anlagen eingesetzt werden.

Abschließend wird beschrieben, wie die Organisationseinheiten vom Notbetrieb wieder in den Normalbetrieb zurückkehren können

  • Dies umfasst z. B. Mitarbeitende wieder auf die regulären Arbeitsplätze zu verteilen, den vertraulichen Transport von im Notbetrieb erstellten Dokumenten zu beauftragen oder temporäre Zutrittsberechtigungen zu löschen.

Sofern aus Sicht der Organisationseinheit der Geschäftsbetrieb durch zusätzliche Notfallmaßnahmen noch weiter abgesichert werden kann und die Maßnahmen leicht umsetzbar sind, ist es empfehlenswert, diese mit in den GFP zu übernehmen

  • So können neben den hauptsächlich anzuwenden Maßnahmen auch alternative Varianten aufgeführt werden.

Der Detailgrad der beschriebenen Maßnahmen sollte so gewählt sein, dass eine fachkundige dritte Person in der Lage wäre, die Geschäftsfortführung anhand des GFP umzusetzen.

Hinweis

Um die Notfallmaßnahmen strukturiert abarbeiten zu können, ist es empfehlenswert, diese anhand von Checklisten zu dokumentieren.

Werden Notfallmaßnahmen definiert, so kann es hilfreich sein, innerhalb eines GFP die zeitkritischen Ressourcen anhand unterschiedlich schwerer Ausfallszenarien zu betrachten

  • Ein Gebäudeausfall kann den Ausfall eines gesamten Standortes, eines einzelnen Gebäudes oder lediglich einzelner Gebäudeteile bedeuten
  • Bei einem gesamten Standortausfall könnte es notwendig sein, sämtliche Tätigkeiten oder eine vorhandene Produktion an einen Ausweichstandort zu verlagern
  • Fallen hingegen nur einzelne Gebäudeteile aus, kann die Verlagerung der Arbeitsplätze oder der Produktion innerhalb des Gebäudes oder Standortes ausreichend sein.
Beispiel

Für die Ressource Gebäude besteht in einer Institution die BC-Strategie, Mitarbeitende an eine Aufweichlokation oder in das Home-Offices zu verlagern

  • Um die Notfallmaßnahme für das Szenario eines Gebäudeausfalls besser umsetzen zu können, entscheidet sich die Organisationseinheit, das Szenario eines Gebäudeausfalls aufzuteilen
  • Für den Fall, dass nur einzelne Gebäudeteile ausfallen, verlagert sie die entsprechenden Mitarbeitenden an den Ausweichstandort
  • Für den Fall, dass das gesamte Gebäude ausfällt, verlagert sie Mitarbeitende, die mobil arbeiten können, in Home-Offices, da die Kapazität des Ausweichstandorts begrenzt ist
  • Mitarbeitende,die nicht mobil arbeiten können, werden an den festgelegten Ausweichstandort verlagert.

Nicht alle Notfallmaßnahmen müssen neu dokumentiert werden, falls diese bereits leicht verständlich in anderen Dokumenten beschrieben sind

  • Wenn bereits zutreffende Prozessbeschreibungen oder Arbeitsanweisungen der AAO existieren, kann auf die jeweiligen Textstellen in den bestehenden Dokumenten verwiesen werden
  • Um schnell auf die entsprechenden Textstellen zugreifen zu können, sollten alle im GFP aufgeführten Dokumente am Ende des GFP noch einmal in einer Gesamtliste namentlich aufgeführt werden
  • Zusätzlich sollten je Dokument der jeweils relevante Abschnitt sowie der Ablageort referenziert werden
  • Es muss auch sichergestellt werden, dass die Ablageorte dem Schutzbedarf der Dokumente entsprechen und gleichzeitig die Dokumente auch im Notfall zugänglich sind.

Qualitätssicherung und Freigabe

Um sicherzustellen, dass alle Vorgaben zur Geschäftsfortführungsplanung eingehalten wurden, sollten die erstellten GFP formal qualitätsgesichert werden

Dabei sollten die folgenden Aspekte berücksichtigt werden:

  • Vollständigkeit: Wurde die GFP-Dokumentvorlage verwendet und bilden die Inhalte alle vorgegebenen Punkte ab? Wurden alle relevanten Inhalte der BIA innerhalb des GFP erfasst und sind Notfallmaßnahmen dazu beschrieben? Sind die Inhalte des GFP aktuell? Unvollständige oder nicht aktuelle GFP können dazu führen, dass diese im Notfall nicht oder nur begrenzt einsetzbar sind.
  • Plausibilität: Sind die beschriebenen Maßnahmen widerspruchsfrei und die getroffenen Annahmen für die Institution realistisch? Sind sowohl die Angaben innerhalb des GFP als auch die beschriebenen Abhängigkeiten zu anderen GFP oder WAPs plausibel dargestellt?
  • Aktualität: Sind die referenzierten Dokumente in der jeweils aktuellen Version hinterlegt? Wurden die relevanten Kontaktpersonen auf Basis einer aktuellen Kontaktliste dokumentiert? Veraltete Informationen können dazu führen, dass die beschriebenen Maßnahmen wirkungslos sind oder nicht umgesetzt werden können und der GFP in Gänze nicht oder nur begrenzt einsetzbar ist.

Ferner können durch die Qualitätssicherung der Detailgrad und die sprachliche Verständlichkeit der GFP überprüft und aufeinander abgestimmt werden.

Hinweis

Die Qualitätssicherung dient zu diesem Zeitpunkt lediglich dazu, sicherzustellen, dass die Vorgaben eingehalten wurden

Ob die in den GFP beschriebenen Notfallmaßnahmen angemessen, vollständig und wirksam sind, kann erst anhand von Übungen und Tests ermittelt werden.

Nachdem die GFP qualitätsgesichert wurden, müssen diese offiziell freigegeben werden.

  • Dies kann beispielsweise durch die Leitungen der Organisationseinheiten erfolgen
  • Dieser Schritt signalisiert, dass die Maßnahmen und Verfahren bestätigt wurden und der Plan offiziell in einem Notfall verwendet werden kann.

Nachdem die GFP sowie die im folgenden Kapitel beschriebenen WAPs erstellt, qualitätsgesichert und freigegeben sind, ist es wesentlich transparenter, in welchem Maße die BC-Strategien und -Lösungen durch die Organisationseinheiten anwendbar sind und welcher tatsächliche Ressourcenbedarf für die Notfallmaßnahmen erforderlich ist

  • Es ist daher empfehlenswert, dass der oder die BCB die aktualisierten Informationen der Institutionsleitung und dem Risikomanagement mitteilt
  • Hierdurch kann der Institutionsleitung ein realistischeres Bild über die Risikosituation vermittelt werden als es zu einem früheren Zeitpunkt möglich war.


← Zurück
Weiter →

Anhang

Siehe auch

Projekt

Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-4/11_Geschäftsfortführungsplanung&oldid=164828