BSI/200-4: Unterschied zwischen den Versionen
| (90 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''BSI | '''BSI/200-4''' - [[BSI]]-Standard zum [[Business Continuity Management]] | ||
[[File:bsi200-4.png|mini|200px|BSI-Standart 200-4]] | |||
== Beschreibung == | == Beschreibung == | ||
; | ; [[Business Continuity Management System]] | ||
[[Business Continuity Management System]] in Institutionen aufbauen und etablieren | |||
* Praxisnahe Anleitung | |||
* Leichter Einstieg | |||
* Normativer Anforderungskatalog für erfahrene AnwenderInnen | |||
; Resilienz | |||
[[Datei:Img-013-002.png|600px]] | |||
== Zielsetzung == | |||
=== Herausforderung === | |||
Behörden und Unternehmen stehen vor der Herausforderung, immer effizienter und möglichst zu jeder Zeit Leistungen zu erbringen | |||
=== Entwicklungen und Trends === | |||
* | ; Steigende Anforderungen | ||
* | * Globalen Wettbewerb | ||
* | * Fortschreitende Digitalisierung | ||
* Interessengruppen (Aufsichtsbehörden, Kunden, Öffentlichkeit, ...) | |||
=== Abhängigkeiten === | |||
Institutionen werden immer abhängiger von | |||
* Informationstechnik (IT) | |||
* funktionierenden Lieferketten | |||
* Leistungen von Drittanbietenden wie beispielsweise Dienstleistungs-, Zulieferungs- und Versorgungsunternehmen | |||
Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution | |||
==== | === Existenzbedrohenden Schäden === | ||
; | Gleichzeitig nehmen Risiken zu, die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können, gegen die sich Institutionen nicht komplett schützen können | ||
Standard 200-4 | * Cyber-Angriffe | ||
* Naturereignisse | |||
=== Ausfall kritischer Geschäftsprozesse === | |||
Obwohl Institutionen sich mit Informationssicherheit bzw. Cybersicherheit sowie mit IT-Service Continuity Management (ITSCM) zu schützen versuchen, führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse | |||
* Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt. | |||
=== Effizienzsteigerung von Geschäftsprozessen === | |||
Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür, dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden | |||
* Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen | |||
=== Zeitfenster === | |||
Infolgedessen verkleinern sich in der Praxis die Zeitfenster, innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können | |||
* Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC) | |||
=== Angemessenen Business-Continuity-Management === | |||
Mit Hilfe eines angemessenen Business-Continuity-Managements (BCM) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können | |||
* Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann | |||
* Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen | |||
=== Synergien === | |||
* Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern | |||
* Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS) | |||
=== BSI-Standard 200-4 === | |||
Der BSI-Standard 200-4 erleichtert den Einstieg in ein BCM, indem ein Stufenmodell mit Einstiegsstufen angeboten wird | |||
Darüber hinaus bietet dieser BSI-Standard eine Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM | |||
* einzuführen | |||
* aufrechtzuerhalten | |||
* zu verbessern | |||
Erfahrene Anwendende, die gegebenenfalls mit einem bereits existierenden BCM arbeiten, können den Anforderungskatalog nutzen, um sich auf schnelle und effektive Weise nach diesem Standard auszurichten | |||
=== Business-Continuity-Management-Systems (BCMS) === | |||
BCM ist kein einmaliges Projekt, sondern bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS), das sich fortlaufend weiterentwickelt | |||
* Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden | |||
* So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen | |||
=== Organisatorische Resilienz === | |||
Die organisatorische Resilienz einer Institution ist die Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen | |||
* Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren | |||
* Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für interne als auch für externe Veränderungen | |||
=== Managementsysteme === | |||
Organisatorische Resilienz wird nicht durch ein einzelnes Managementsystem aufgebaut, sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen | |||
* Der BSI-Standard 200-4 berücksichtigt die Informationssicherheit, das Business Continuity Management, die Krisenbewältigung und IT-Service Continuity als Eckpfeiler, die gemeinsam Resilienz schaffen können. | |||
== Modernisierung des Standards 100-4 == | |||
; Umstrukturierung | |||
* Neue Kapitelstruktur | |||
* Umfang reduziert | * Umfang reduziert | ||
* | * Übersichtleichtigkeit verbesserst | ||
* Redundanzen entfernt | * Redundanzen entfernt | ||
; Aufbau pro Prozessschritt | |||
* statt anhand der Stufen Reaktiv-, Aufbau- und Standard | |||
* Kapitelüberschriften zeigen Stufen | * Kapitelüberschriften zeigen Stufen | ||
** Stufen gut erkennbar | |||
** die jeweiligen Kapitel benötigt werden | ** die jeweiligen Kapitel benötigt werden | ||
; Methodik im Wesentlichen unverändert | ; Methodik im Wesentlichen unverändert | ||
Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden -Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. | * Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden -Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. | ||
* Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit schon begonnene Dokumentation leicht fortgeführt werden kann. | * Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit schon begonnene Dokumentation leicht fortgeführt werden kann. | ||
; Outsourcing | ; Outsourcing | ||
Die Inhalte des Kapitels 7 | Die Inhalte des Kapitels 7 " im Rahmen des Outsourcings und von Lieferketten" aus dem ersten sind größtenteils in das Hilfsmittel -Strategien (wird derzeit überarbeitet) verschoben. | ||
* Sie stehen dort gleichwertig neben anderen -Strategien im Fall von zeitkritischen Dienstleistungen. | * Sie stehen dort gleichwertig neben anderen -Strategien im Fall von zeitkritischen Dienstleistungen. | ||
* Im Standard 200-4 selbst ist das Thema in den -Prozessen an geeigneten Stellen integriert (-Strategien, Soll-Ist-Vergleich, Überprüfungen, | * Im Standard 200-4 selbst ist das Thema in den -Prozessen an geeigneten Stellen integriert (-Strategien, Soll-Ist-Vergleich, Überprüfungen, und weitere), sodass das ursprüngliche Kapitel 7 " im Rahmen des Outsourcings und von Lieferketten" entfallen konnte. | ||
;Updates zum Standard 200-4 | ; Updates zum Standard 200-4 | ||
* https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html | * https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Newsletter-bestellen/newsletter-bestellen_node.html | ||
; | ; ''BSI-Standard 100-4'' gültig bis zur finalen Veröffentlichung von ''200-4'' | ||
* Anwender und Anwenderinnen können ihr bereits an den aktuellen des -Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden. | * Anwender und Anwenderinnen können ihr bereits an den aktuellen des -Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden. | ||
<noinclude> | <noinclude> | ||
---- | |||
{{Navigation|Business Continuity Management System|BSI/200-4/02 Einführung}} | |||
---- | |||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | {{Special:PrefixIndex/{{BASEPAGENAME}}/}} | ||
=== Links === | |||
==== Projekt ==== | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Standard 200-4 Business Continuity Management] | |||
==== Weblinks ==== | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI-Standard 200-4: Hilfsmittel] | |||
[[Kategorie:BSI/200-4]] | |||
</noinclude> | </noinclude> | ||
Aktuelle Version vom 7. Juni 2026, 10:46 Uhr
BSI/200-4 - BSI-Standard zum Business Continuity Management
Beschreibung
Business Continuity Management System in Institutionen aufbauen und etablieren
- Praxisnahe Anleitung
- Leichter Einstieg
- Normativer Anforderungskatalog für erfahrene AnwenderInnen
- Resilienz
Zielsetzung
Herausforderung
Behörden und Unternehmen stehen vor der Herausforderung, immer effizienter und möglichst zu jeder Zeit Leistungen zu erbringen
Entwicklungen und Trends
- Steigende Anforderungen
- Globalen Wettbewerb
- Fortschreitende Digitalisierung
- Interessengruppen (Aufsichtsbehörden, Kunden, Öffentlichkeit, ...)
Abhängigkeiten
Institutionen werden immer abhängiger von
- Informationstechnik (IT)
- funktionierenden Lieferketten
- Leistungen von Drittanbietenden wie beispielsweise Dienstleistungs-, Zulieferungs- und Versorgungsunternehmen
Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution
Existenzbedrohenden Schäden
Gleichzeitig nehmen Risiken zu, die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können, gegen die sich Institutionen nicht komplett schützen können
- Cyber-Angriffe
- Naturereignisse
Ausfall kritischer Geschäftsprozesse
Obwohl Institutionen sich mit Informationssicherheit bzw. Cybersicherheit sowie mit IT-Service Continuity Management (ITSCM) zu schützen versuchen, führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse
- Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt.
Effizienzsteigerung von Geschäftsprozessen
Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür, dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden
- Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen
Zeitfenster
Infolgedessen verkleinern sich in der Praxis die Zeitfenster, innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können
- Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC)
Angemessenen Business-Continuity-Management
Mit Hilfe eines angemessenen Business-Continuity-Managements (BCM) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können
- Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann
- Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen
Synergien
- Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern
- Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS)
BSI-Standard 200-4
Der BSI-Standard 200-4 erleichtert den Einstieg in ein BCM, indem ein Stufenmodell mit Einstiegsstufen angeboten wird
Darüber hinaus bietet dieser BSI-Standard eine Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM
- einzuführen
- aufrechtzuerhalten
- zu verbessern
Erfahrene Anwendende, die gegebenenfalls mit einem bereits existierenden BCM arbeiten, können den Anforderungskatalog nutzen, um sich auf schnelle und effektive Weise nach diesem Standard auszurichten
Business-Continuity-Management-Systems (BCMS)
BCM ist kein einmaliges Projekt, sondern bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS), das sich fortlaufend weiterentwickelt
- Ein BCMS muss kontinuierlich verbessert und an die sich stetig verändernden Rahmenbedingungen der Institution angepasst werden
- So wird ein dauerhafter Prozess geschaffen, um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen
Organisatorische Resilienz
Die organisatorische Resilienz einer Institution ist die Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen
- Je „resilienter“ eine Institution ist, umso besser kann sie Risiken und Chancen durch Veränderungen erkennen und flexibel darauf reagieren
- Dies gilt sowohl für plötzliche als auch für allmähliche, sowohl für interne als auch für externe Veränderungen
Managementsysteme
Organisatorische Resilienz wird nicht durch ein einzelnes Managementsystem aufgebaut, sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen
- Der BSI-Standard 200-4 berücksichtigt die Informationssicherheit, das Business Continuity Management, die Krisenbewältigung und IT-Service Continuity als Eckpfeiler, die gemeinsam Resilienz schaffen können.
Modernisierung des Standards 100-4
- Umstrukturierung
- Neue Kapitelstruktur
- Umfang reduziert
- Übersichtleichtigkeit verbesserst
- Redundanzen entfernt
- Aufbau pro Prozessschritt
- statt anhand der Stufen Reaktiv-, Aufbau- und Standard
- Kapitelüberschriften zeigen Stufen
- Stufen gut erkennbar
- die jeweiligen Kapitel benötigt werden
- Methodik im Wesentlichen unverändert
- Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden -Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert.
- Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit schon begonnene Dokumentation leicht fortgeführt werden kann.
- Outsourcing
Die Inhalte des Kapitels 7 " im Rahmen des Outsourcings und von Lieferketten" aus dem ersten sind größtenteils in das Hilfsmittel -Strategien (wird derzeit überarbeitet) verschoben.
- Sie stehen dort gleichwertig neben anderen -Strategien im Fall von zeitkritischen Dienstleistungen.
- Im Standard 200-4 selbst ist das Thema in den -Prozessen an geeigneten Stellen integriert (-Strategien, Soll-Ist-Vergleich, Überprüfungen, und weitere), sodass das ursprüngliche Kapitel 7 " im Rahmen des Outsourcings und von Lieferketten" entfallen konnte.
- Updates zum Standard 200-4
- BSI-Standard 100-4 gültig bis zur finalen Veröffentlichung von 200-4
- Anwender und Anwenderinnen können ihr bereits an den aktuellen des -Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden.
Anhang
Siehe auch
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 WiederanlaufVorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang
Links
Projekt
Weblinks