Business Continuity Management: Unterschied zwischen den Versionen
(204 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Sicherstellung des Fortbestands von Einrichtungen | |||
* Bei [[Risiko|Risiken]] mit hohem Schadensausmaß | |||
* | |||
; Strategien, Plänen und Handlungen | ; Strategien, Plänen und Handlungen | ||
{| class="wikitable options big" | |||
|- | |||
| BCMS etablieren || Rahmenbedingungen, Aufbau- und Ablauforganisation | |||
|- | |||
| Kritische Prozesse ermitteln || Prozesse mit ''ernsthafte Schäden'' oder ''vernichtenden Verlusten'' bei Unterbrechung | |||
|- | |||
| Kritische Prozesse absichern || Schützen und alternative Abläufe ermöglichen | |||
|} | |||
=== Sicherstellung des Fortbestands === | === Sicherstellung des Fortbestands === | ||
; Sicherstellung des Fortbestands | ; Sicherstellung des Fortbestands einer Einrichtung | ||
Im Sinne ökonomischer [[Nachhaltigkeit]] im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß | |||
; Betriebskontinuitätsmanagement | ; Begriffe | ||
* Betriebskontinuitätsmanagement | |||
* Managementmethode | * Managementmethode | ||
* Lebenszyklus- | * Lebenszyklus-Modell | ||
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen | * Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern | ||
* | * Verwandtschaft mit [[Risikomanagement]] | ||
; Good Practice Guide | ; Good Practice Guide | ||
Methode und Rahmen des BKM sind im | Methode und Rahmen des BKM sind im ''[[Good Practice Guid]]'' veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird | ||
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden | * Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden | ||
; Bundesamt für Sicherheit in der Informationstechnik | ; Bundesamt für Sicherheit in der Informationstechnik | ||
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt | Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt | ||
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet | * Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet | ||
; Incident Management | ; Incident Management | ||
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden | Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden | ||
; Primär Fragen | ; Primär Fragen | ||
Zeile 82: | Zeile 43: | ||
; Prioritäten und Ressourcen | ; Prioritäten und Ressourcen | ||
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden | * Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden | ||
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen | * Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen | ||
=== Business Continuity Management === | |||
[[Organisationseinheit]] eines [[Unternehmen|Unternehmens]] | |||
* Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s | |||
* Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen | * Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen | ||
; Ziele | |||
Wichtige [[Geschäftsprozess]]e selbst in | |||
* kritischen Situationen und Notfällen | |||
* nicht oder nur temporär | |||
* unterbrochen werden | |||
* die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt | |||
; Ziel | ; Ziel | ||
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | * Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | ||
* | * Betriebsbereiter dokumentierter Notfallvorsorgeplan | ||
* Exakt auf | * Exakt auf die Organisation abgestimmt | ||
* | * Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“ | ||
=== BSI-Standard 200-4 === | |||
<div class="float"> | |||
{{:BSI/Uebersicht}} | |||
</div> | |||
Business Continuity Management - BCM (2023) | |||
* ersetzt [[BSI/100-4|BSI-Standard 100-4 - Notfallmanagement (2008)]] | |||
; Etablierung eines Business Continuity Management | |||
[[ISMS]] nach BSI [[IT-Grundschutz]] | |||
* Grundlage zur Nutzung von Synergieeffekten | |||
* Auf bereits dokumentierte Informationen zurückgreifen | |||
[[Business Impact Analyse]] | |||
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten | |||
* Parameter für Normal- und Notbetrieb | |||
[[Risikoanalyse]] | |||
* Methodik nach [[BSI-Standard 200-3]] | |||
* kann aus dem ISMS ''adaptiert'' werden | |||
; Hinweise | |||
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus | |||
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements | |||
* siehe auch [[DER.4 Notfallmanagement]] | |||
; ISO 22301 | |||
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der [[ISO 22301]] erreicht werden | |||
=== Notfallmanagement === | |||
; Notfallmanagement | |||
* Schäden vermeiden und eindämmen | |||
* Notfälle verhindern und bewältigen | |||
; Klassisches Notfallmanagement | |||
* Brandschutz | |||
* Arbeits- und Unfallschutz | |||
* ... | |||
; Business Continuity Management | |||
* Wiederanlauf des Geschäftsbetriebs | |||
* Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien | |||
== Business Continuity Management System == | == Business Continuity Management System == | ||
Rahmenwerk für ein Business Continuity Management System (BCMS) | |||
; Management von Notfällen und Krisen | ; Management von Notfällen und Krisen | ||
Zeile 116: | Zeile 114: | ||
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | ||
; Gravierende Risiken frühzeitig erkennen | ; Gravierende Risiken | ||
* frühzeitig erkennen | |||
* Maßnahmen dagegen etablieren | |||
* Überleben der Einrichtung sichern | * Überleben der Einrichtung sichern | ||
* Organisationen beliebiger Art, Größe und Branche | * Organisationen beliebiger Art, Größe und Branche | ||
Zeile 124: | Zeile 124: | ||
* Ressourcen schonen | * Ressourcen schonen | ||
* Zusammenhänge und Wechselwirkungen berücksichtigen | * Zusammenhänge und Wechselwirkungen berücksichtigen | ||
=== Einbettung in die Organisationsstruktur === | === Einbettung in die Organisationsstruktur === | ||
Zeile 153: | Zeile 139: | ||
* Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen | * Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen | ||
=== | ===Aufbauorganisation === | ||
Rollen/Verantwortung | |||
[[File:img-096-154.png|mini|400px]] | [[File:img-096-154.png|mini|400px]] | ||
; Allgemeine Aufbauorganisation (AAO) | ==== Allgemeine Aufbauorganisation ==== | ||
; Allgemeine Aufbauorganisation (AAO) | |||
* Etablierte organisationsweite Hierarchie und Führungsstruktur | * Etablierte organisationsweite Hierarchie und Führungsstruktur | ||
; Besondere Aufbauorganisation (BAO) | ==== Besondere Aufbauorganisation ==== | ||
; Besondere Aufbauorganisation (BAO) | |||
* Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren | * Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren | ||
= | <br clear=all> | ||
{| class="wikitable | == Stufenmodell == | ||
; Stufenmodell für Vorgehensweisen | |||
{| class="wikitable big options" | |||
|- | |- | ||
! Option !! Beschreibung | ! Option !! Beschreibung | ||
|- | |- | ||
| [[#Reaktiv|Reaktiv]] || | | [[#Reaktiv|Reaktiv]] || Schnelle Fähigkeit zur Notfallbewältigung | ||
|- | |- | ||
| [[#Aufbau|Aufbau]] || | | [[#Aufbau|Aufbau]] || Schrittweiser, ressourcenschonender Aufbau | ||
|- | |- | ||
| [[#Standard|Standard]] || | | [[#Standard|Standard]] || Vollständige Absicherung, Resilienz der Institution | ||
|} | |} | ||
=== Reaktiv === | === Reaktiv === | ||
; Basis-Niveau | ; Basis-Niveau | ||
Schnelle Fähigkeit zur Notfallbewältigung | |||
* Spart Ressourcen | * Spart Ressourcen | ||
* | * Wenn keine „Notfälle“ eintreten würden | ||
* Lücken in der Absicherung | * Lücken in der Absicherung | ||
* Bereiche | * Nicht alle Bereiche werden betrachtet | ||
=== Aufbau === | === Aufbau === | ||
Schrittweiser, ressourcenschonender Aufbau | |||
* Kann für einen kleineren Teil des Scope gezielt eingesetzt | * Kann für einen kleineren Teil des Scope gezielt eingesetzt | ||
* Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden | * Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden | ||
=== Standard === | === Standard === | ||
Vollständige Absicherung/Resilienz der Institution | |||
* Konformität ISO-22301 | * Konformität ISO-22301 | ||
* Möglichkeit zur Zertifizierung nach ISO 22301 | * Möglichkeit zur Zertifizierung nach ISO 22301 | ||
* Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen | * Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen | ||
== | == Organisationsspezifisches BCMS == | ||
[[File:img-045-062.png|mini|400px]] | [[File:img-045-062.png|mini|400px]] | ||
Planung eines organisationsspezifischen BCMS | Planung eines organisationsspezifischen BCMS | ||
Zeile 205: | Zeile 195: | ||
; Aufgabenbereiche | ; Aufgabenbereiche | ||
* Planung und Umsetzung | |||
* Überwachung | |||
* kontinuierlichen Verbesserung | |||
Planung und | |||
Umsetzung | |||
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert | |||
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all> | |||
* | |||
=== Szenarien === | |||
== | |||
; Art von Ereignissen (Incidents) | ; Art von Ereignissen (Incidents) | ||
* IT/System-Ausfall | * IT/System-Ausfall | ||
Zeile 237: | Zeile 211: | ||
* Ausfall von Lieferanten/Partnern | * Ausfall von Lieferanten/Partnern | ||
; Je nach Ereignis wird das Unternehmen mit einem spezifischen | ; Notfallszenario | ||
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal | Je nach Ereignis wird das Unternehmen mit einem spezifischen [[Szenario-Technik|Notfallszenario]] reagieren | ||
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken | * Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal | ||
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln | * Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken | ||
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen | * Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln | ||
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen | |||
== Business Impact Analyse == | == Business Impact Analyse == | ||
[[ | Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen | ||
* Zusammen mit Risikoanalysen | |||
; Ermittlung | |||
* Prozesse mit hohem Schadenspotential | |||
* Zugrundeliegende Ressourcen | |||
* Abhängigkeiten zwischen Prozessen | |||
* Auswirkungen von Ausfällen | |||
* Wiederanlaufpläne | |||
siehe [[BCMS/Business Impact Analyse]] | |||
== Dokumentation == | == Dokumentation == | ||
[[File:img-083-128.png|mini| | [[File:img-083-128.png|mini|400px]] | ||
=== Referenzdokumente === | |||
; Präventiv | |||
Dokumente zur Vorsorge | |||
* Anforderungen an das BCMS | |||
* Elemente des BCMS | |||
* Teil der Notfallvorsorge | |||
Beispiele | |||
* Leitlinie zum Business Continuity Management | * Leitlinie zum Business Continuity Management | ||
* Notfallvorsorgekonzept | * Notfallvorsorgekonzept | ||
Zeile 258: | Zeile 247: | ||
* Hilfsmittel | * Hilfsmittel | ||
Reaktiv | ; Reaktiv | ||
Dokumente zur Reaktion | Dokumente zur Reaktion | ||
* | * Notfallbewältigung | ||
Beispiel | |||
* Notfallhandbuch | |||
== Übungen | == Tests und Übungen == | ||
Tests und Übungen sind im Business Continuity Management besonders wichtig | |||
* Hohen Stellenwert in BSI-Standard 200-4 | |||
* | ; Planung von Übungen und Tests | ||
Besondere Widrigkeiten im eigenen Geschäftsbetrieb | |||
* Wichtiges Kriterium für die Planung von Übungen und Tests | |||
; ISB und Business Continuity Beauftragte | |||
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen | |||
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten | |||
; Übungsarten | ; Übungsarten | ||
{| class="wikitable | {| class="wikitable options big" | ||
|- | |- | ||
! Übung !! Beschreibung | ! Übung !! Beschreibung | ||
|- | |- | ||
| Planbesprechung || | | Planbesprechung || Besprechung von Maßnahmenplänen | ||
|- | |- | ||
| Stabsübung || | | Stabsübung || BCM-Prozess Beteiligte simulieren einen Notfall | ||
|- | |- | ||
| Stabsrahmenübung || | | Stabsrahmenübung || Auch externe Stellen werden an der Simulation beteiligt | ||
|- | |- | ||
| Alarmierungsübung || | | Alarmierungsübung || Testen der vorgesehenen Alarmierungsketten | ||
|- | |- | ||
| Funktionstest || | | Funktionstest || Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom) | ||
|} | |} | ||
== Synergien == | == Synergien == | ||
=== Business Continuity Management === | |||
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS) | |||
; Prozessual gesteuerte Kommunikation | |||
* zwischen der IT, dem ISB und dem Business Continuity Beauftragten | * zwischen der IT, dem ISB und dem Business Continuity Beauftragten | ||
* | * verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS | ||
: | |||
; Beispiel | |||
:''Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann'' | |||
; Synergien | ; Synergien | ||
BCMS und ISMS | [[BCMS]] und [[ISMS]] | ||
[[IT-Grundschutz]] | |||
* Strukturanalyse | |||
* Schutzbedarfsfeststellung | |||
* Modellierung | |||
Weitere Managementsysteme | Weitere Managementsysteme | ||
* Datenschutzmanagement | * [[Datenschutzmanagement]] | ||
* IT-Service-Continuity-Management | * [[IT-Service-Continuity-Management]] | ||
* IT-Risikomanagement | * [[IT-Risikomanagement]] | ||
* | * | ||
=== Baustein DER.4 Notfallmanagement === | === Baustein DER.4 Notfallmanagement === | ||
[[DER.4 Notfallmanagement]] | [[DER.4 Notfallmanagement]] | ||
<noinclude> | <noinclude> | ||
Zeile 346: | Zeile 314: | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/ | {{Special:PrefixIndex/BCM}} | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
# https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement | # [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia] | ||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Website zum BCM] | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/BSI-Standard-200-4_Hilfsmittel/BSI_Standard_200_4_Hilfsmittel_node.html BSI BCM Hilfsmittel] | |||
# [https://www.bsi.bund.de/DE/Themen/ | |||
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/ | [[Kategorie:BCMS]] | ||
</noinclude> | </noinclude> | ||
Aktuelle Version vom 9. Oktober 2024, 07:15 Uhr
Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)
Beschreibung
Sicherstellung des Fortbestands von Einrichtungen
- Bei Risiken mit hohem Schadensausmaß
- Strategien, Plänen und Handlungen
BCMS etablieren | Rahmenbedingungen, Aufbau- und Ablauforganisation |
Kritische Prozesse ermitteln | Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung |
Kritische Prozesse absichern | Schützen und alternative Abläufe ermöglichen |
Sicherstellung des Fortbestands
- Sicherstellung des Fortbestands einer Einrichtung
Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß
- Begriffe
- Betriebskontinuitätsmanagement
- Managementmethode
- Lebenszyklus-Modell
- Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
- Verwandtschaft mit Risikomanagement
- Good Practice Guide
Methode und Rahmen des BKM sind im Good Practice Guid veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird
- Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden
- Bundesamt für Sicherheit in der Informationstechnik
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt
- Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet
- Incident Management
Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden
- Primär Fragen
- Welche Prozesse müssen unbedingt aufrechterhalten werden?
- Welche Maßnahmen sind dafür notwendig?
- Prioritäten und Ressourcen
- Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
- Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen
Business Continuity Management
Organisationseinheit eines Unternehmens
- Aufbau und Betrieb eines Notfall- und Krisenmanagements
- Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
- Ziele
Wichtige Geschäftsprozesse selbst in
- kritischen Situationen und Notfällen
- nicht oder nur temporär
- unterbrochen werden
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt
- Ziel
- Generierung und Proklamation von Prozessdefinitionen und Dokumentation
- Betriebsbereiter dokumentierter Notfallvorsorgeplan
- Exakt auf die Organisation abgestimmt
- Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
BSI-Standard 200-4
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Business Continuity Management - BCM (2023)
- Etablierung eines Business Continuity Management
ISMS nach BSI IT-Grundschutz
- Grundlage zur Nutzung von Synergieeffekten
- Auf bereits dokumentierte Informationen zurückgreifen
- Zeitkritischen Geschäftsprozesse und Abhängigkeiten
- Parameter für Normal- und Notbetrieb
- Methodik nach BSI-Standard 200-3
- kann aus dem ISMS adaptiert werden
- Hinweise
- Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
- Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- siehe auch DER.4 Notfallmanagement
- ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
Notfallmanagement
- Notfallmanagement
- Schäden vermeiden und eindämmen
- Notfälle verhindern und bewältigen
- Klassisches Notfallmanagement
- Brandschutz
- Arbeits- und Unfallschutz
- ...
- Business Continuity Management
- Wiederanlauf des Geschäftsbetriebs
- Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
Business Continuity Management System
Rahmenwerk für ein Business Continuity Management System (BCMS)
- Management von Notfällen und Krisen
- technisch
- nicht-technisch
- Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
- Gravierende Risiken
- frühzeitig erkennen
- Maßnahmen dagegen etablieren
- Überleben der Einrichtung sichern
- Organisationen beliebiger Art, Größe und Branche
- Synergieeffekte
- Zahlreiche Synergieeffekte zum IT-Grundschutz
- Ressourcen schonen
- Zusammenhänge und Wechselwirkungen berücksichtigen
Einbettung in die Organisationsstruktur
- Geplantes und organisiertes Vorgehen
- Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
- Auf Schadensereignisse angemessen reagieren
- Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
- Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
- systematische, geplante und organisierte Vorgehensweise
- das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
- BCMS ist kein Bestandteil eines ISMS
- Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
Aufbauorganisation
Rollen/Verantwortung
Allgemeine Aufbauorganisation
- Allgemeine Aufbauorganisation (AAO)
- Etablierte organisationsweite Hierarchie und Führungsstruktur
Besondere Aufbauorganisation
- Besondere Aufbauorganisation (BAO)
- Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
Stufenmodell
- Stufenmodell für Vorgehensweisen
Option | Beschreibung |
---|---|
Reaktiv | Schnelle Fähigkeit zur Notfallbewältigung |
Aufbau | Schrittweiser, ressourcenschonender Aufbau |
Standard | Vollständige Absicherung, Resilienz der Institution |
Reaktiv
- Basis-Niveau
Schnelle Fähigkeit zur Notfallbewältigung
- Spart Ressourcen
- Wenn keine „Notfälle“ eintreten würden
- Lücken in der Absicherung
- Nicht alle Bereiche werden betrachtet
Aufbau
Schrittweiser, ressourcenschonender Aufbau
- Kann für einen kleineren Teil des Scope gezielt eingesetzt
- Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
Standard
Vollständige Absicherung/Resilienz der Institution
- Konformität ISO-22301
- Möglichkeit zur Zertifizierung nach ISO 22301
- Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
Organisationsspezifisches BCMS
Planung eines organisationsspezifischen BCMS
- Vorgehensweisen
- Reaktiv
- Aufbau
- Standard
- Aufgabenbereiche
- Planung und Umsetzung
- Überwachung
- kontinuierlichen Verbesserung
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
- Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden
Szenarien
- Art von Ereignissen (Incidents)
- IT/System-Ausfall
- Gebäudeausfall
- Ausfall von Personal (Pandemie, ...)
- Ausfall von Lieferanten/Partnern
- Notfallszenario
Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren
- Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
- Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
- Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
- Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen
Business Impact Analyse
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
- Zusammen mit Risikoanalysen
- Ermittlung
- Prozesse mit hohem Schadenspotential
- Zugrundeliegende Ressourcen
- Abhängigkeiten zwischen Prozessen
- Auswirkungen von Ausfällen
- Wiederanlaufpläne
siehe BCMS/Business Impact Analyse
Dokumentation
Referenzdokumente
- Präventiv
Dokumente zur Vorsorge
- Anforderungen an das BCMS
- Elemente des BCMS
- Teil der Notfallvorsorge
Beispiele
- Leitlinie zum Business Continuity Management
- Notfallvorsorgekonzept
- Prozessbeschreibungen und Anweisungen
- Hilfsmittel
- Reaktiv
Dokumente zur Reaktion
- Notfallbewältigung
Beispiel
- Notfallhandbuch
Tests und Übungen
Tests und Übungen sind im Business Continuity Management besonders wichtig
- Hohen Stellenwert in BSI-Standard 200-4
- Planung von Übungen und Tests
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
- Wichtiges Kriterium für die Planung von Übungen und Tests
- ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
- Verfahren zu mindestens folgenden Übungsarten ausarbeiten
- Übungsarten
Übung | Beschreibung |
---|---|
Planbesprechung | Besprechung von Maßnahmenplänen |
Stabsübung | BCM-Prozess Beteiligte simulieren einen Notfall |
Stabsrahmenübung | Auch externe Stellen werden an der Simulation beteiligt |
Alarmierungsübung | Testen der vorgesehenen Alarmierungsketten |
Funktionstest | Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom) |
Synergien
Business Continuity Management
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)
- Prozessual gesteuerte Kommunikation
- zwischen der IT, dem ISB und dem Business Continuity Beauftragten
- verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS
- Beispiel
- Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann
- Synergien
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung
Weitere Managementsysteme
Baustein DER.4 Notfallmanagement
Anhang
Siehe auch
- BCM/BIA-Vorfilter und BIA
- BCMS/BAO
- BCMS/BCMS-Prozess und Stufenmodell
- BCMS/BIA-Vorfilter und BIA
- BCMS/Hilfsmittel
- BCMS/Initiierung, Planung und Aufbau
- BCMS/Leistungsüberprüfung und Kennzahlen
- BCMS/Notfallplanung
- BCMS/Prüfungsvorbereitung
- BCMS/Risikoanalyse
- BCMS/Standards und regulatorische Grundlagen
- BCMS/Uebersicht
- BCMS/Üben und Testen
Links
Weblinks