Business Continuity Management: Unterschied zwischen den Versionen

Aus Foxwiki
 
(266 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
; Business Continuity Management bezeichnet
Sicherstellung des Fortbestands von Einrichtungen
* in der [[Betriebswirtschaftslehre]]
* Bei [[Risiko|Risiken]] mit hohem Schadensausmaß
* die Entwicklung von Strategien, Plänen und Handlungen, um
* Tätigkeiten oder Prozesse,
* deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden
** (etwa [[Betriebsstörung]]en),
* zu schützen bzw. alternative Abläufe zu ermöglichen.


; Ziel
; Strategien, Plänen und Handlungen
Sicherstellung des Fortbestands des Unternehmens
{| class="wikitable options big"
* im Sinne ökonomischer [[Nachhaltigkeit]]
|-
* im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
| BCMS etablieren || Rahmenbedingungen, Aufbau- und Ablauforganisation
 
|-
; Betriebskontinuitätsmanagement
| Kritische Prozesse ermitteln || Prozesse mit ''ernsthafte Schäden'' oder ''vernichtenden Verlusten'' bei Unterbrechung
* bezeichnet zusammenfassend eine Managementmethode
|-
* die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert.
| Kritische Prozesse absichern || Schützen und alternative Abläufe ermöglichen
* Es besteht eine enge Verwandtschaft mit dem [[Risikomanagement]].
|}
* In den deutschsprachigen Ländern wird das BKM bisweilen als verwandt mit der [[Informationssicherheit]], der IT-Notfallplanung und dem [[Facilitymanagement|Facility Management]] angesehen.
* Verbindungen bestehen auch zum Gedankengut der [[Corporate Governance]].
 
; Ursprung
* Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur ([[Sunzi|Sun Tzu]], um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie [[Carl von Clausewitz|Clausewitz]].
* Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der [[Industrielle Revolution|industriellen Revolution]] auf das betriebliche Geschehen übertragen.


Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. ([[USA]]) civil defence, homeland security, ([[Deutschland|D]]) Zivilverteidigung, Katastrophenschutz.
=== Sicherstellung des Fortbestands ===
* Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
; Sicherstellung des Fortbestands einer Einrichtung
* Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der [[Informationstechnologie]], deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
Im Sinne ökonomischer [[Nachhaltigkeit]] im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
* Die Sicherstellung des IT-Betriebs erfolgt durch [[Disaster Recovery|IT Disaster Recovery]], deutsch „IT-Notfallplanung“.


; Gesamtbetrieb
; Begriffe
In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) [[Sarbanes-Oxley Act]] 2002 und den (GB) Civil Contingencies Act 2004.
* Betriebskontinuitätsmanagement
* Implizit ist das BKM u. a. nach (D) [[Kontroll- und Transparenzgesetz]] 1998, (D, A) Kodizes für Corporate Governance.
* Managementmethode
* Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, ISO 22301:2012, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des [[Basler Ausschuss]]es hinsichtlich der [[Basel II|Zweiten Basler Eigenkapitalverordnung]], (D) [[Mindestanforderungen an das Risikomanagement (BA)|Mindestanforderungen an das Risikomanagement für Kreditinstitute]] (MaRisk).
* Lebenszyklus-Modell
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
* Verwandtschaft mit [[Risikomanagement]]


; Good Practice Guide
; Good Practice Guide
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.
Methode und Rahmen des BKM sind im ''[[Good Practice Guid]]'' veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden


; Bundesamt für Sicherheit in der Informationstechnik
; Bundesamt für Sicherheit in der Informationstechnik
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt.
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet.
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet


; Incident Management
; Incident Management
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden.
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden


; Primär Fragen
; Primär Fragen
Zeile 53: Zeile 43:
; Prioritäten und Ressourcen
; Prioritäten und Ressourcen
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen
 
=== Business Continuity Management ===
[[Organisationseinheit]] eines [[Unternehmen|Unternehmens]]
* Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s
* Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
 
; Ziele
Wichtige [[Geschäftsprozess]]e selbst in
* kritischen Situationen und Notfällen
* nicht oder nur temporär
* unterbrochen werden
* die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt
 
; Ziel
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]]
* Betriebsbereiter dokumentierter Notfallvorsorgeplan
* Exakt auf die Organisation abgestimmt
* Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
 
=== BSI-Standard 200-4 ===
<div class="float">
{{:BSI/Uebersicht}}
</div>
 
Business Continuity Management - BCM (2023)
* ersetzt [[BSI/100-4|BSI-Standard 100-4 - Notfallmanagement (2008)]]
 
; Etablierung eines Business Continuity Management
[[ISMS]] nach BSI [[IT-Grundschutz]]
* Grundlage zur Nutzung von Synergieeffekten
* Auf bereits dokumentierte Informationen zurückgreifen
[[Business Impact Analyse]]
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten
* Parameter für Normal- und Notbetrieb
[[Risikoanalyse]]
* Methodik nach [[BSI-Standard 200-3]]
* kann aus dem ISMS ''adaptiert'' werden
 
; Hinweise
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
* siehe auch [[DER.4 Notfallmanagement]]
 
; ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der [[ISO 22301]] erreicht werden
 
=== Notfallmanagement ===
; Notfallmanagement
* Schäden vermeiden und eindämmen
* Notfälle verhindern und bewältigen
 
; Klassisches Notfallmanagement
* Brandschutz
* Arbeits- und Unfallschutz
* ...
 
; Business Continuity Management
* Wiederanlauf des Geschäftsbetriebs
* Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
 
== Business Continuity Management System ==
Rahmenwerk für ein Business Continuity Management System (BCMS)


== Technische Betrachtung ==
; Management von Notfällen und Krisen
Das '''Business Continuity Management''' ist die [[Organisationseinheit]] eines [[Unternehmen|Unternehmens]], die den Aufbau und Betrieb eines leistungsfähigen [[Notfall- und Krisenmanagement]]s zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen bearbeitet.
* technisch
* Dadurch soll erreicht werden, dass wichtige [[Geschäftsprozess]]e selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt.
* nicht-technisch


Ziel des Business-Continuity-Managements ist die Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] eines betriebsbereiten und dokumentierten Notfallvorsorgeplans, der exakt auf das individuelle Unternehmen abgestimmt ist, sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“.
; Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung


== Katastrophenszenarien ==
; Gravierende Risiken
* frühzeitig erkennen
* Maßnahmen dagegen etablieren
* Überleben der Einrichtung sichern
* Organisationen beliebiger Art, Größe und Branche
 
; Synergieeffekte
* Zahlreiche Synergieeffekte zum IT-Grundschutz
* Ressourcen schonen
* Zusammenhänge und Wechselwirkungen berücksichtigen
 
=== Einbettung in die Organisationsstruktur ===
; Geplantes und organisiertes Vorgehen
* Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
* Auf Schadensereignisse angemessen reagieren
* Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
 
; Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
* systematische, geplante und organisierte Vorgehensweise
* das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
 
; BCMS ist ''kein'' Bestandteil eines ISMS
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
 
===Aufbauorganisation ===
Rollen/Verantwortung
[[File:img-096-154.png|mini|400px]]
 
==== Allgemeine Aufbauorganisation ====
; Allgemeine Aufbauorganisation (AAO)
* Etablierte organisationsweite Hierarchie und Führungsstruktur
 
==== Besondere Aufbauorganisation ====
; Besondere Aufbauorganisation (BAO)
* Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
 
<br clear=all>
 
== Stufenmodell ==
; Stufenmodell für Vorgehensweisen
{| class="wikitable big options"
|-
! Option !! Beschreibung
|-
| [[#Reaktiv|Reaktiv]] || Schnelle Fähigkeit zur Notfallbewältigung
|-
| [[#Aufbau|Aufbau]] || Schrittweiser, ressourcenschonender Aufbau
|-
| [[#Standard|Standard]] || Vollständige Absicherung, Resilienz der Institution
|}
 
=== Reaktiv ===
; Basis-Niveau
Schnelle Fähigkeit zur Notfallbewältigung
* Spart Ressourcen
* Wenn keine „Notfälle“ eintreten würden
* Lücken in der Absicherung
* Nicht alle Bereiche werden betrachtet
 
=== Aufbau ===
Schrittweiser, ressourcenschonender Aufbau
* Kann für einen kleineren Teil des Scope gezielt eingesetzt
* Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
 
=== Standard ===
Vollständige Absicherung/Resilienz der Institution
* Konformität ISO-22301
* Möglichkeit zur Zertifizierung nach ISO 22301
* Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
 
== Organisationsspezifisches BCMS ==
[[File:img-045-062.png|mini|400px]]
Planung eines organisationsspezifischen BCMS
 
; Vorgehensweisen
* Reaktiv
* Aufbau
* Standard
 
; Aufgabenbereiche
* Planung und Umsetzung
* Überwachung
* kontinuierlichen Verbesserung
 
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>
 
 
 
=== Szenarien ===
; Art von Ereignissen (Incidents)
; Art von Ereignissen (Incidents)
* IT/System-Ausfall
* IT/System-Ausfall
Zeile 68: Zeile 211:
* Ausfall von Lieferanten/Partnern
* Ausfall von Lieferanten/Partnern


; Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophen[[Szenario-Technik|szenario]] reagieren
; Notfallszenario
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
Je nach Ereignis wird das Unternehmen mit einem spezifischen [[Szenario-Technik|Notfallszenario]] reagieren
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen
 
== Business Impact Analyse ==
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
* Zusammen mit Risikoanalysen
 
; Ermittlung
* Prozesse mit hohem Schadenspotential
* Zugrundeliegende Ressourcen
* Abhängigkeiten zwischen Prozessen
* Auswirkungen von Ausfällen
* Wiederanlaufpläne


== Gesellschaftliche Sicherheit ==
siehe [[BCMS/Business Impact Analyse]]
; ISO TC 223 „Societal Security“
Im September 2007 wurde durch das ISO TC 223 „Societal Security“ der internationale Standard ISO/PAS 22399 „Societal security – Guideline for incident preparedness and operational continuity management“ veröffentlicht.
* Er wurde von allen 50 darin vertretenen Staaten verabschiedet und basiert konkret auf den Best Practices (bzw. Standards) aus fünf Nationen: dem amerikanischen NFPA 1600, dem britischen [[BS 25999|BS 25999-1:2006]], dem australischen HB 211:2004, dem israelischen INS 24001:2007 sowie japanischen Vorschriften.


; IPOCM
== Dokumentation ==
Das Akronym IPOCM steht dabei für ''Incident Preparedness and Operational (Business) Continuity Management''.
[[File:img-083-128.png|mini|400px]]
* IPOCM wird dabei als Erweiterung des BKM verstanden.
* Während BKM Unternehmen fokussiert, bezieht IPOCM darüber hinaus sowohl private als auch öffentliche Organisationen sowie Verwaltungen mit ein und legt den Fokus auf die Aufrechterhaltung bzw. den Wiederaufbau lebenswichtiger Infrastrukturen unabhängig von der Art des Ereignisses.


; ISO
=== Referenzdokumente ===
Die [[Internationale Organisation für Normung]] (ISO) hat Mitte Mai 2012 den neuen Standard [[ISO 22301]]:2012 mit dem Namen „Societal security – Business continuity management systems – Requirements“ final verabschiedet und veröffentlicht.
; Präventiv
* Der Standard dient Unternehmen bei der Implementierung eines Business Continuity Management Systems und kann als Grundlage für eine Zertifizierung dienen.
Dokumente zur Vorsorge
* Wie der Qualitätsstandard [[ISO 9001]] kann auch diese Norm auf Unternehmen aller Größen und Branchen angewandt werden.
* Anforderungen an das BCMS
* Elemente des BCMS
* Teil der Notfallvorsorge


; ISO/TC 292 Security
Beispiele
Das 2014 gebildete technische Komitee ''ISO/TC 292 Security'' konzentriert sich auf das Thema Sicherheit und beschäftigt sich mit den Themen Sicherheitsmanagement, betriebliches Kontinuitätsmanagement, Belastbarkeits- und Notfallmanagement, Schutz- und Kontrollmaßnahmen gegen Betrug, Sicherheitsdienste und Heimatschutz.
* Leitlinie zum Business Continuity Management
* Das Komitee wird vom ISO-Mitglied für Schweden, SIS (Swedish Standards Institute), geleitet und das erste Meeting fand im März 2015 in Japan zur UN Weltkonferenz zur Katastrophenrisikominderung (WCDRR-Konferenz) statt.
* Notfallvorsorgekonzept
* Prozessbeschreibungen und Anweisungen
* Hilfsmittel


<noinclude>
; Reaktiv
Dokumente zur Reaktion
* Notfallbewältigung
 
Beispiel
* Notfallhandbuch
 
== Tests und Übungen ==
Tests und Übungen sind im Business Continuity Management besonders wichtig
* Hohen Stellenwert in BSI-Standard 200-4
 
; Planung von Übungen und Tests
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
* Wichtiges Kriterium für die Planung von Übungen und Tests
 
; ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten


== Anhang ==
; Übungsarten
{| class="wikitable options big"
|-
! Übung !! Beschreibung
|-
| Planbesprechung || Besprechung von Maßnahmenplänen
|-
| Stabsübung || BCM-Prozess Beteiligte simulieren einen Notfall
|-
| Stabsrahmenübung || Auch externe Stellen werden an der Simulation beteiligt
|-
| Alarmierungsübung || Testen der vorgesehenen Alarmierungsketten
|-
| Funktionstest || Funktion von relevanten Funktionen testen (z.&nbsp;B.&nbsp;Restore oder Notstrom)
|}


=== Siehe auch ===
== Synergien ==
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
=== Business Continuity Management ===
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)


==== Links ====
; Prozessual gesteuerte Kommunikation
===== Projekt =====
* zwischen der IT, dem ISB und dem Business Continuity Beauftragten
* verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS


===== Weblinks =====
; Beispiel
# https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement
:''Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann''
# [http://www.iso.org/iso/catalogue_detail?csnumber=50038 Link zur ISO-Norm 22301:2012 "Societal security - Business continuity management systems - Requirements" (englisch, zurückgezogen, ersetzt durch die ISO 22301:2019)]
# [https://www.iso.org/standard/75106.html Link zur ISO-Norm 22301:2019 "Security and resilience — Business continuity management systems — Requirements" (englisch)]
# [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html Bundesamt für Sicherheit in der Informationstechnik – Standard 100-4 Notfallmanagement]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Standard 200-4 Business Continuity Management - Community Draft]
# {{Webarchiv | url=https://www-304.ibm.com/software/brandcatalog/ismlibrary/details?catalog.label=1TW10BC01 | wayback=20160201031027 | text=Fallstudie zu Tivoli Business Continuity Process Manager Tool}}
# [http://www.compliance-net.de/tags/bcm Compliance-Seite mit nützlichen Informationen zu BCM]
# [http://www.bcm-tools.com/ Marktübersicht BCM-Tools]
# [https://www.bcm-news.de BCM-News]


[[Kategorie:Business Continuity Management]]
; Synergien
[[BCMS]] und [[ISMS]]


= TMP =
[[IT-Grundschutz]]
== Business Continuity Management ==
* Strukturanalyse
; Geschäftskontinuität
* Schutzbedarfsfeststellung
Das Business Continuity Management ([[Business Continuity Planning|BCM]]) befasst sich mit Vorkehrungen, die darauf abzielen, die kritischen Geschäftsfunktionen einer Organisation vor Unterbrechungen aufgrund von Zwischenfällen zu schützen oder zumindest die Auswirkungen zu minimieren.
* Modellierung


BCM ist für jede Organisation unerlässlich, um die Technologie und das Geschäft mit den aktuellen Bedrohungen für die Fortführung des Geschäftsbetriebs in Einklang zu bringen.
Weitere Managementsysteme
* [[Datenschutzmanagement]]
* [[IT-Service-Continuity-Management]]
* [[IT-Risikomanagement]]
*


Das BCM sollte in den [[Risikoanalyse]]-Plan einer Organisation aufgenommen werden, um sicherzustellen, dass alle erforderlichen Geschäftsfunktionen über die notwendigen Mittel verfügen, um im Falle einer Bedrohung einer beliebigen Geschäftsfunktion weiterarbeiten zu können.
=== Baustein DER.4 Notfallmanagement ===
[[DER.4 Notfallmanagement]]


; Sie umfasst
<noinclude>
* Analyse der Anforderungen, z.B. Identifizierung kritischer Geschäftsfunktionen, Abhängigkeiten und potenzieller Fehlerpunkte, potenzieller Bedrohungen und somit Vorfälle oder Risiken, die für die Organisation von Bedeutung sind;
* Spezifikation, z.B. maximal tolerierbare Ausfallzeiten; Wiederherstellungspunktziele (maximal akzeptable Zeiten für Datenverluste);
* Architektur und Design, z.B. eine geeignete Kombination von Ansätzen, einschließlich der Ausfallsicherheit (z.B. Entwicklung von IT-Systemen und -Prozessen für hohe Verfügbarkeit), Vermeidung oder Vorbeugung von Situationen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten), Störungs- und Notfallmanagement (z.B. Evakuierung von Räumlichkeiten, Anruf bei den Notdiensten, Triage/Situationsbewertung und Aufrufen von Wiederherstellungsplänen)
* Bewertung der Situation und Aufrufen von Wiederherstellungsplänen), Wiederherstellung (z.B. Wiederaufbau) und Notfallmanagement (allgemeine Fähigkeiten zur positiven Bewältigung von Ereignissen mit allen verfügbaren Ressourcen);
* Implementierung, z.B. Konfiguration und Planung von Backups, Datenübertragungen usw., Duplizierung und Verstärkung kritischer Elemente; Vertragsabschluss mit Dienstleistungs- und Ausrüstungsanbietern;
* Testen, z.B. Übungen zur Geschäftskontinuität verschiedener Arten, Kosten und Sicherheitsstufen;
* Management, z.B. Definition von Strategien, Festlegung von Zielen und Vorgaben, Planung und Leitung der Arbeit, Zuweisung von Mitteln, Personal und anderen Ressourcen, Festlegung von Prioritäten im Verhältnis zu anderen Aktivitäten, Teambildung, Führung, Kontrolle, Motivation und Koordinierung mit anderen Unternehmensfunktionen und -aktivitäten (z.B. IT, Einrichtungen, Personalwesen, Risikomanagement, Informationsrisiko und -sicherheit, Betrieb); Überwachung der Situation, Überprüfung und Aktualisierung der Vorkehrungen, wenn sich die Dinge ändern; Reifung des Ansatzes durch kontinuierliche Verbesserung, Lernen und angemessene Investitionen;
* Gewährleistung, z.B. Testen anhand festgelegter Anforderungen; Messen, Analysieren und Berichten von Schlüsselparametern; Durchführen zusätzlicher Tests, Überprüfungen und Audits, um das Vertrauen zu stärken, dass die Vorkehrungen bei Inanspruchnahme wie geplant funktionieren.


Während BCM einen umfassenden Ansatz zur Minimierung katastrophenbedingter Risiken verfolgt, indem es sowohl die Wahrscheinlichkeit als auch die Schwere von Vorfällen reduziert, konzentriert sich ein [[Disaster Recovery Plan]] (DRP) speziell darauf, den Geschäftsbetrieb nach einer Katastrophe so schnell wie möglich wieder aufzunehmen.
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/BCM}}


Ein Disaster-Recovery-Plan, der kurz nach einer Katastrophe aufgerufen wird, legt die Schritte fest, die zur Wiederherstellung kritischer [[Informations- und Kommunikationstechnologie]] (IKT)-Infrastruktur erforderlich sind.
==== Links ====
===== Weblinks =====
# [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Website zum BCM]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI BCM Hilfsmittel]


Die Wiederherstellungsplanung im Katastrophenfall umfasst die Einrichtung einer Planungsgruppe, die Durchführung einer Risikobewertung, die Festlegung von Prioritäten, die Entwicklung von Wiederherstellungsstrategien, die Erstellung von Inventaren und die Dokumentation des Plans, die Entwicklung von Überprüfungskriterien und -verfahren und schließlich die Umsetzung des Plans.
[[Kategorie:BCMS]]


</noinclude>
</noinclude>

Aktuelle Version vom 9. Oktober 2024, 07:15 Uhr

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

Sicherstellung des Fortbestands von Einrichtungen

  • Bei Risiken mit hohem Schadensausmaß
Strategien, Plänen und Handlungen
BCMS etablieren Rahmenbedingungen, Aufbau- und Ablauforganisation
Kritische Prozesse ermitteln Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung
Kritische Prozesse absichern Schützen und alternative Abläufe ermöglichen

Sicherstellung des Fortbestands

Sicherstellung des Fortbestands einer Einrichtung

Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß

Begriffe
  • Betriebskontinuitätsmanagement
  • Managementmethode
  • Lebenszyklus-Modell
  • Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
  • Verwandtschaft mit Risikomanagement
Good Practice Guide

Methode und Rahmen des BKM sind im Good Practice Guid veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird

  • Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden
Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt

  • Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet
Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden

Primär Fragen
  • Welche Prozesse müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
Prioritäten und Ressourcen
  • Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
  • Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen

Business Continuity Management

Organisationseinheit eines Unternehmens

Ziele

Wichtige Geschäftsprozesse selbst in

  • kritischen Situationen und Notfällen
  • nicht oder nur temporär
  • unterbrochen werden
  • die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt
Ziel
  • Generierung und Proklamation von Prozessdefinitionen und Dokumentation
  • Betriebsbereiter dokumentierter Notfallvorsorgeplan
  • Exakt auf die Organisation abgestimmt
  • Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

BSI-Standard 200-4

Business Continuity Management - BCM (2023)

Etablierung eines Business Continuity Management

ISMS nach BSI IT-Grundschutz

  • Grundlage zur Nutzung von Synergieeffekten
  • Auf bereits dokumentierte Informationen zurückgreifen

Business Impact Analyse

  • Zeitkritischen Geschäftsprozesse und Abhängigkeiten
  • Parameter für Normal- und Notbetrieb

Risikoanalyse

Hinweise
  • Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
  • Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
  • siehe auch DER.4 Notfallmanagement
ISO 22301

Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Notfallmanagement

Notfallmanagement
  • Schäden vermeiden und eindämmen
  • Notfälle verhindern und bewältigen
Klassisches Notfallmanagement
  • Brandschutz
  • Arbeits- und Unfallschutz
  • ...
Business Continuity Management
  • Wiederanlauf des Geschäftsbetriebs
  • Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen
  • technisch
  • nicht-technisch
Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken
  • frühzeitig erkennen
  • Maßnahmen dagegen etablieren
  • Überleben der Einrichtung sichern
  • Organisationen beliebiger Art, Größe und Branche
Synergieeffekte
  • Zahlreiche Synergieeffekte zum IT-Grundschutz
  • Ressourcen schonen
  • Zusammenhänge und Wechselwirkungen berücksichtigen

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen
  • Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
  • Auf Schadensereignisse angemessen reagieren
  • Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

  • systematische, geplante und organisierte Vorgehensweise
  • das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
BCMS ist kein Bestandteil eines ISMS
  • Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Aufbauorganisation

Rollen/Verantwortung

Allgemeine Aufbauorganisation

Allgemeine Aufbauorganisation (AAO)
  • Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation

Besondere Aufbauorganisation (BAO)
  • Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Stufenmodell

Stufenmodell für Vorgehensweisen
Option Beschreibung
Reaktiv Schnelle Fähigkeit zur Notfallbewältigung
Aufbau Schrittweiser, ressourcenschonender Aufbau
Standard Vollständige Absicherung, Resilienz der Institution

Reaktiv

Basis-Niveau

Schnelle Fähigkeit zur Notfallbewältigung

  • Spart Ressourcen
  • Wenn keine „Notfälle“ eintreten würden
  • Lücken in der Absicherung
  • Nicht alle Bereiche werden betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau

  • Kann für einen kleineren Teil des Scope gezielt eingesetzt
  • Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution

  • Konformität ISO-22301
  • Möglichkeit zur Zertifizierung nach ISO 22301
  • Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Organisationsspezifisches BCMS

Planung eines organisationsspezifischen BCMS

Vorgehensweisen
  • Reaktiv
  • Aufbau
  • Standard
Aufgabenbereiche
  • Planung und Umsetzung
  • Überwachung
  • kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

  • Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden


Szenarien

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Business Impact Analyse

Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen

  • Zusammen mit Risikoanalysen
Ermittlung
  • Prozesse mit hohem Schadenspotential
  • Zugrundeliegende Ressourcen
  • Abhängigkeiten zwischen Prozessen
  • Auswirkungen von Ausfällen
  • Wiederanlaufpläne

siehe BCMS/Business Impact Analyse

Dokumentation

Referenzdokumente

Präventiv

Dokumente zur Vorsorge

  • Anforderungen an das BCMS
  • Elemente des BCMS
  • Teil der Notfallvorsorge

Beispiele

  • Leitlinie zum Business Continuity Management
  • Notfallvorsorgekonzept
  • Prozessbeschreibungen und Anweisungen
  • Hilfsmittel
Reaktiv

Dokumente zur Reaktion

  • Notfallbewältigung

Beispiel

  • Notfallhandbuch

Tests und Übungen

Tests und Übungen sind im Business Continuity Management besonders wichtig

  • Hohen Stellenwert in BSI-Standard 200-4
Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

  • Wichtiges Kriterium für die Planung von Übungen und Tests
ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

  • Verfahren zu mindestens folgenden Übungsarten ausarbeiten
Übungsarten
Übung Beschreibung
Planbesprechung Besprechung von Maßnahmenplänen
Stabsübung BCM-Prozess Beteiligte simulieren einen Notfall
Stabsrahmenübung Auch externe Stellen werden an der Simulation beteiligt
Alarmierungsübung Testen der vorgesehenen Alarmierungsketten
Funktionstest Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom)

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation
  • zwischen der IT, dem ISB und dem Business Continuity Beauftragten
  • verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS
Beispiel
Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann
Synergien

BCMS und ISMS

IT-Grundschutz

  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung

Weitere Managementsysteme

Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement


Anhang

Siehe auch

Links

Weblinks
  1. Wikipedia
  2. BSI-Website zum BCM
  3. BSI BCM Hilfsmittel