BSI/200-4/02 Einführung: Unterschied zwischen den Versionen
| (32 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
<noinclude> | |||
---- | |||
{{Navigation|BSI/200-4|BSI/200-4/02 Einführung}} | |||
---- | |||
</noinclude> | |||
'''BSI/200-4/02 Einführung''' | '''BSI/200-4/02 Einführung''' | ||
== Beschreibung == | == Beschreibung == | ||
[[File:img-013-002.png|mini|400px]] | [[File:img-013-002.png|mini|400px]] | ||
; Betriebskontinuitätsmanagement (BKM) | ; Betriebskontinuitätsmanagement ([[BKM]]) | ||
Sicherstellung des Fortbestands von Einrichtungen | Sicherstellung des Fortbestands von Einrichtungen | ||
* Bei [[Risiko|Risiken]] mit hohem Schadensausmaß | * Bei [[Risiko|Risiken]] mit hohem Schadensausmaß | ||
; Zeitkritischen Geschäftsprozesse | ; Zeitkritischen Geschäftsprozesse | ||
Im Fokus des BCM | Im Fokus des [[BCM]] | ||
* '''Zeitkritische Geschäftsprozesse''' | |||
* die gegen '''Ausfälle''' abgesichert werden sollen | |||
== Begriffe == | == Begriffe == | ||
Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen: | Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen: | ||
{| | |||
Ein '''Geschäftsprozess''' (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ('''OEs''') ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. | ! !! | ||
|- | |||
| Geschäftsprozess || | |||
|- | |||
| Zeitkritisch || | |||
|- | |||
| Allgemeine Aufbauorganisation || | |||
|- | |||
| Besondere Aufbauorganisation (BAO) || | |||
|} | |||
=== Geschäftsprozess === | |||
Ein '''Geschäftsprozess''' (Fachaufgaben) im Sinne des [[BCM]] ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ('''OEs''') ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. | |||
* Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger. | * Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger. | ||
Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend. | Für die im [[BCM]] betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend. | ||
* Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig. | * Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das [[BCM]] nicht notwendig. | ||
=== Zeitkritisch === | |||
Als '''zeitkritisch''' gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann. | Als '''zeitkritisch''' gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann. | ||
* So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen. | * So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen. | ||
| Zeile 26: | Zeile 45: | ||
* Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind. | * Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind. | ||
=== Allgemeine Aufbauorganisation ([[AAO]]) === | |||
Üblicherweise werden Schadensereignisse durch die '''Allgemeine Aufbauorganisation (AAO)''' im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt. | Üblicherweise werden Schadensereignisse durch die '''Allgemeine Aufbauorganisation ([[AAO]])''' im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt. | ||
* Die[[AAO]]ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs. | * Die [[AAO]] ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs. | ||
* Für die[[AAO]]sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt. | * Für die [[AAO]] sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt. | ||
=== Besondere Aufbauorganisation (BAO) === | |||
Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die[[AAO]]und deren Strukturen zu bewältigen sind. | Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die [[AAO]] und deren Strukturen zu bewältigen sind. | ||
* In diesem Fall wird in der Regel eine '''Besondere Aufbauorganisation (BAO)''' eingesetzt. | * In diesem Fall wird in der Regel eine '''Besondere Aufbauorganisation (BAO)''' eingesetzt. | ||
Die[[BAO]]ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann. | Die [[BAO]] ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann. | ||
* Innerhalb der[[BAO]]gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können. | * Innerhalb der [[BAO]] gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können. | ||
=== Störung, Notfall und Krise=== | |||
Um zu verdeutlichen, welche Schadensereignisse durch das [[BCM]] behandelt werden | |||
Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden | |||
; Störung | ; Abgrenzung: Störung - Notfall - Krise | ||
[[Datei:Img-018-016.png|700px]] | |||
==== Störung ==== | |||
Eine '''Störung''' ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen | Eine '''Störung''' ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen | ||
* Störungen werden in der Regel innerhalb des Normalbetriebs durch die[[AAO]]der Institution behoben | * Störungen werden in der Regel innerhalb des Normalbetriebs durch die [[AAO]] der Institution behoben | ||
* Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen. | * Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen. | ||
* Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards | * Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards | ||
| Zeile 50: | Zeile 71: | ||
Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können | Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können | ||
==== Notfall ==== | |||
Ein '''Notfall''' im Sinne dieses Standards ist eine Unterbrechung des Geschäftsbetriebs | Ein '''Notfall''' | ||
* im Sinne dieses Standards | |||
* ist eine Unterbrechung des Geschäftsbetriebs | |||
* die mindestens einen zeitkritischen Geschäftsprozess betrifft | |||
* der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann | |||
; Abgrenzung zur ''Störung'' | |||
Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine [[BAO]] benötigt | |||
; Abgrenzung zur ''Krise'' | |||
Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden | |||
; Ausrufung | |||
* Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können | * Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können | ||
* Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird | * Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird | ||
; Hinweis | ; Hinweis | ||
Der Begriff Notfall wird hier im Kontext BCM definiert | <blockquote> | ||
Der Begriff Notfall wird hier im Kontext [[BCM]] definiert | |||
* In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben | * In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben | ||
* Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint | * Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint | ||
</blockquote> | |||
==== Krise ==== | |||
; Schadensereignis | |||
* wirkt sich in erheblicher Weise negativ auf die Institution aus | |||
* Auswirkungen können nicht im Normalbetrieb bewältigt werden | |||
; Abgrenzung '' Notfall'' | |||
Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor | |||
* Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht | * Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht | ||
* Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der[[BAO]]bewältigt | * Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der [[BAO]] bewältigt | ||
; Entstehung von Kriesen | |||
Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren | Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren | ||
* Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der[[BAO]]operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement) | * Das [[BCM]] trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der [[BAO]] operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement) | ||
* Zudem können mithilfe der[[BAO]]auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen | * Zudem können mithilfe der [[BAO]] auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen | ||
; Eskalation | |||
Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken | Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken | ||
* In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr | * In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr | ||
| Zeile 77: | Zeile 116: | ||
* Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert | * Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert | ||
==== Katastrophe ==== | |||
'''[[Katastrophe]]''' wird in [[BSI/200-4]] nicht definiert | |||
* Legaldefinitionen der Länder und des Bundes | |||
** z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg | |||
** Definition gemäß [[BBK-Glossar]] | |||
; [[BCM]] behandelt die Auswirkung von Schadensereignissen auf die eigene Institution | |||
* Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden | * Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden | ||
== | == Managementsystem == | ||
[[File:img-021-024.png| | [[File:img-021-024.png|600px|BCMS-Bestandteile]] | ||
; Strategien, Plänen und Handlungen | ; Strategien, Plänen und Handlungen | ||
{| class="wikitable options" | {| class="wikitable options big" | ||
|- | |- | ||
| BCMS etablieren || Rahmenbedingungen, Aufbau- und Ablauforganisation | | BCMS etablieren || Rahmenbedingungen, Aufbau- und Ablauforganisation | ||
| Zeile 102: | Zeile 144: | ||
== Ablauf der Bewältigung == | == Ablauf der Bewältigung == | ||
=== Bewältigung mit und ohne BCM === | === Bewältigung mit und ohne BCM === | ||
; Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM | ; Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne [[BCM]] | ||
[[File:img-024-030.png| | [[File:img-024-030.png|700px]] | ||
<br clear=all> | <br clear=all> | ||
=== Bewältigung mit BCM === | === Bewältigung mit BCM === | ||
; Ablauf der Bewältigung mit BCM | ; Ablauf der Bewältigung mit [[BCM]] | ||
[[File:img-025-032.png| | [[File:img-025-032.png|700px]] | ||
<br clear=all> | <br clear=all> | ||
| Zeile 118: | Zeile 160: | ||
* Maßnahmen | * Maßnahmen | ||
* Notfallbewältigung | * Notfallbewältigung | ||
* Unterschiede zwischen dem BCM und der Informationssicherheit | * Unterschiede zwischen dem [[BCM]] und der Informationssicherheit | ||
=== ITSCM === | === [[ITSCM]] === | ||
=== Krisenmanagement === | === Krisenmanagement === | ||
| Zeile 129: | Zeile 171: | ||
BCM-Standards und korrespondierende Sicherheitsthemen | BCM-Standards und korrespondierende Sicherheitsthemen | ||
[[File:img-037-052.png| | [[File:img-037-052.png|500px]] | ||
=== ISO 22301 === | === ISO 22301 === | ||
| Zeile 144: | Zeile 186: | ||
* kontinuierlich verbessern | * kontinuierlich verbessern | ||
; Entwicklung | |||
Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999 | Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999 | ||
* Die [[ISO 22301]] wurde 2019 überarbeitet (ISO 22301:2019) | * Die [[ISO 22301]] wurde 2019 überarbeitet (ISO 22301:2019) | ||
Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene | BSI-Standard 200-4 ist kompatibel zu dieser Version | ||
* Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene | |||
; Ergänzende ISO-Standards der ISO-Reihe 22300 | ; Ergänzende ISO-Standards der ISO-Reihe 22300 | ||
Konkretisieren einzelne Aspekte oder Schnittstellen zum BCM | |||
{| class="wikitable options big" | {| class="wikitable options big" | ||
! Norm !! Titel | ! Norm !! Aktualisierung !! Titel | ||
|- | |- | ||
| ISO 22313 | | ISO 22313 || 2020 || Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301 | ||
|- | |- | ||
| ISO 22317 | | ISO 22317 || 2015 || Societal security – Business continuity management systems – Guidelines for business impact analysis | ||
|- | |- | ||
| ISO 22318 | | ISO 22318 || 2015 || Societal security – Business continuity management systems – Guidelines for supply chain continuity | ||
|- | |- | ||
| ISO 22398 | | ISO 22398 || 2013 || Societal security — Guidelines for exercises | ||
|} | |} | ||
=== BSI-Standards === | === BSI-Standards === | ||
{{:BSI/Standard}} | |||
=== Good Practice Guidelines === | === Good Practice Guidelines === | ||
| Zeile 191: | Zeile 220: | ||
Ziele | Ziele | ||
* Hohen Standard des BCM setzen | * Hohen Standard des [[BCM]] setzen | ||
* Kompetenz aufzubauen | * Kompetenz aufzubauen | ||
| Zeile 250: | Zeile 279: | ||
Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen | Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen | ||
* In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden | * In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden | ||
* Die[[BAO]]kann konkreter und bedarfsorientierter definiert werden | * Die [[BAO]] kann konkreter und bedarfsorientierter definiert werden | ||
; Umfang der Geschäftsprozesse (GP) | ; Umfang der Geschäftsprozesse (GP) | ||
Aktuelle Version vom 14. Juni 2026, 12:47 Uhr
BSI/200-4/02 Einführung
Beschreibung
- Betriebskontinuitätsmanagement (BKM)
Sicherstellung des Fortbestands von Einrichtungen
- Bei Risiken mit hohem Schadensausmaß
- Zeitkritischen Geschäftsprozesse
Im Fokus des BCM
- Zeitkritische Geschäftsprozesse
- die gegen Ausfälle abgesichert werden sollen
Begriffe
Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen:
| Geschäftsprozess | |
| Zeitkritisch | |
| Allgemeine Aufbauorganisation | |
| Besondere Aufbauorganisation (BAO) |
Geschäftsprozess
Ein Geschäftsprozess (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.
- Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger.
Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend.
- Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig.
Zeitkritisch
Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.
- So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen.
- Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden.
- Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind.
Allgemeine Aufbauorganisation (AAO)
Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt.
- Die AAO ist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs.
- Für die AAO sind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt.
Besondere Aufbauorganisation (BAO)
Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch die AAO und deren Strukturen zu bewältigen sind.
- In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt.
Die BAO ist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann.
- Innerhalb der BAO gelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können.
Störung, Notfall und Krise
Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden
- Abgrenzung
- Störung - Notfall - Krise
Störung
Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen
- Störungen werden in der Regel innerhalb des Normalbetriebs durch die AAO der Institution behoben
- Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen.
- Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards
Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können
Notfall
Ein Notfall
- im Sinne dieses Standards
- ist eine Unterbrechung des Geschäftsbetriebs
- die mindestens einen zeitkritischen Geschäftsprozess betrifft
- der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann
- Abgrenzung zur Störung
Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine BAO benötigt
- Abgrenzung zur Krise
Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden
- Ausrufung
- Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können
- Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird
- Hinweis
Der Begriff Notfall wird hier im Kontext BCM definiert
- In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben
- Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint
Krise
- Schadensereignis
- wirkt sich in erheblicher Weise negativ auf die Institution aus
- Auswirkungen können nicht im Normalbetrieb bewältigt werden
- Abgrenzung Notfall
Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor
- Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht
- Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen der BAO bewältigt
- Entstehung von Kriesen
Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren
- Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der BAO operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement)
- Zudem können mithilfe der BAO auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen
- Eskalation
Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken
- In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr
- Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben
- Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert
Katastrophe
Katastrophe wird in BSI/200-4 nicht definiert
- Legaldefinitionen der Länder und des Bundes
- z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg
- Definition gemäß BBK-Glossar
- BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution
- Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden
Managementsystem
- Strategien, Plänen und Handlungen
| BCMS etablieren | Rahmenbedingungen, Aufbau- und Ablauforganisation |
| Kritische Prozesse ermitteln | Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung |
| Kritische Prozesse absichern | Schützen und alternative Abläufe ermöglichen |
- PDCA-Zyklus eines Managementsystems
Ablauf der Bewältigung
Bewältigung mit und ohne BCM
- Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM
Bewältigung mit BCM
- Ablauf der Bewältigung mit BCM
Abgrenzung und Synergien
Informationssicherheit
- Strukturanalyse
- Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse
- Risikoanalyse und -behandlung
- Maßnahmen
- Notfallbewältigung
- Unterschiede zwischen dem BCM und der Informationssicherheit
Krisenmanagement
Outsourcing sowie Lieferketten
Normen und Standards
BCM-Standards und korrespondierende Sicherheitsthemen
ISO 22301
- Security and resilience – Business continuity management systems – Requirements
Erster internationaler Standard zum BCM, der eine Zertifizierung ermöglicht
- Unterstützt Institutionen, Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren
Beschreibt Anforderungen an ein BCMS
- planen
- einrichten
- betreiben
- überwachen
- überprüfen
- kontinuierlich verbessern
- Entwicklung
Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999
- Die ISO 22301 wurde 2019 überarbeitet (ISO 22301:2019)
BSI-Standard 200-4 ist kompatibel zu dieser Version
- Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene
- Ergänzende ISO-Standards der ISO-Reihe 22300
Konkretisieren einzelne Aspekte oder Schnittstellen zum BCM
| Norm | Aktualisierung | Titel |
|---|---|---|
| ISO 22313 | 2020 | Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301 |
| ISO 22317 | 2015 | Societal security – Business continuity management systems – Guidelines for business impact analysis |
| ISO 22318 | 2015 | Societal security – Business continuity management systems – Guidelines for supply chain continuity |
| ISO 22398 | 2013 | Societal security — Guidelines for exercises |
BSI-Standards
BSI/Standard - Vom BSI veröffentlichte Standards
Beschreibung
| Standards | |
|---|---|
| 200-1 | Anforderungen an ein ISMS |
| 200-2 | Umsetzung der Anforderungen |
| 200-3 | Risikoanalyse |
| 200-4 | Business Continuity Management |
| Kompendium | |
| Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
| Kapitel 2 | Schichtenmodell / Modellierung |
| Elementare Gefährdungen |
Elementare Gefährdungen |
| Schichten | Prozesse Systeme |
Version 200
Status: Standard
| Standard | Titel | Beschreibung |
|---|---|---|
| 200-1 | Managementsysteme für Informationssicherheit |
|
| 200-2 | Vorgehensweise|IT-Grundschutz-Methodik |
|
| 200-3 | Risikomanagement |
|
| 200-4 | Business Continuity Management | BCM und Informationssicherheit haben zahlreiche Schnittstellen
|
Version 100
| Standard | Titel | Status | Beschreibung |
|---|---|---|---|
| Veraltet | Information Security Management System | ||
| Veraltet | Vorgehensweisen | ||
| Veraltet | Risikoanalyse | ||
| Veraltet | Business Continuity Management |
Good Practice Guidelines
- Umsetzungshilfen
Good Practice Guidelines (GPG)
- Herausgegeben vom Business Continuity Institute
- Erstmal im Jahre 2002
- Regelmäßig aktualisiert und optimiert
- In mehrere Sprachen übersetzt
Ziele
- Hohen Standard des BCM setzen
- Kompetenz aufzubauen
Leitfaden Krisenkommunikation
- Leitfaden Krisenkommunikation des Bundesministeriums des Innern
Interne und externe Krisenkommunikation
- planen
- aufzubauen
- optimieren
Krisenkommunikation analysieren und Krisenkommunikationsplan erarbeiten
ITIL
- ITIL (Information Technology Infrastructure Library)
Von AXELOS herausgegeben, gepflegt und weiterentwickelt
- Erläutert, wie Institutionen anhand von Technologien und Werkzeugen das Servicemanagement digital transformieren können
- Berücksichtigt aktuelle Trends wie Agile Softwareentwicklung, DevOps und Lean IT-Management
Wenn ein IT-Betrieb an ITIL ausgerichtet ist, kann auf diese Strukturen zurückgegriffen werden
- Incident Management
- IT-Service Continuity Management
Leitfäden der Bundesländer
Verschiedene Bundesländer veröffentlichen länderspezifische Leitfäden zum Krisenmanagement
Stufenmodell
Vergleich der BCMS-Stufen
| Eigenschaft | Reaktiv-BCMS | Aufbau-BCMS | Standard-BCMS |
|---|---|---|---|
| Vorteile | Schnelle Fähigkeit zur Notfallbewältigung | Schrittweiser, ressourcenschonender Aufbau | Vollständige Absicherung, gesteigerte Resilienz |
| Nachteile | Lücken in der Absicherung (Bereiche die nicht/teilweise betrachtet werden) | Bereiche, die in der Absicherung der Institution nicht betrachtet werden | Größerer Ressourcenbedarf |
- Reaktiv-BCMS
- Vereinfachte Methodik
- Detaillierteren Analysen zeitlich zurückstellen
- Rahmenbedingungen und Notfallvorsorge
- Aufbau- und Standard-BCMS
- Detaillierte Analysen
- Vollständigen Methodik
- Berücksichtigen Notfallvorsorge und Notfallbewältigung
Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen
- In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden
- Die BAO kann konkreter und bedarfsorientierter definiert werden
- Umfang der Geschäftsprozesse (GP)
- Im Rahmen der Initiierung des BCMS wird dessen Geltungsbereich festgelegt
Reaktiv- und Aufbau-BCMS
- Innerhalb des Geltungsbereichs des BCMS kann der Aufwand durch einen eingeschränkten GP-Umfang zunächst reduziert werden
- Ziel: Standard-BCMS
- Anschließend kann der GP-Umfang mit jedem weiteren Zyklus schrittweise gesteigert werden, bis alle Geschäftsprozesse im Geltungsbereich des BCMS betrachtet werden
BCMS-Prozess
PDCA-Struktur
Gesamtübersicht
Umsetzungsreihenfolge der Do-Phase
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang