Business Continuity Management: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 26: | Zeile 26: | ||
; Good Practice Guide | ; Good Practice Guide | ||
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird | Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird | ||
* Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden | * Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden | ||
; Bundesamt für Sicherheit in der Informationstechnik | ; Bundesamt für Sicherheit in der Informationstechnik | ||
Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt | Das deutsche [[Bundesamt für Sicherheit in der Informationstechnik]] (BSI) hat den Standard [[BSI 100-4]] „Notfallmanagement“ als Ergänzung zum [[IT-Grundschutz]] entwickelt | ||
* Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet | * Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger [[BSI 200-4]] gearbeitet | ||
; Incident Management | ; Incident Management | ||
Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden | Um bei Vorfällen (siehe auch [[Incident Management]]) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können ('''Business Continuity''') müssen Analysen und Planungen vorgenommen werden | ||
; Primär Fragen | ; Primär Fragen | ||
| Zeile 42: | Zeile 42: | ||
; Prioritäten und Ressourcen | ; Prioritäten und Ressourcen | ||
* Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden | * Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden | ||
* Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen | * Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das [[Disaster Recovery]] dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen | ||
=== Business Continuity Management === | === Business Continuity Management === | ||
| Zeile 51: | Zeile 51: | ||
; Ziele | ; Ziele | ||
Wichtige [[Geschäftsprozess]]e selbst in | Wichtige [[Geschäftsprozess]]e selbst in | ||
* kritischen Situationen und Notfällen | * kritischen Situationen und Notfällen | ||
* nicht oder nur temporär | * nicht oder nur temporär | ||
* unterbrochen werden | * unterbrochen werden | ||
* die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt | * die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt | ||
| Zeile 60: | Zeile 60: | ||
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | * Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]] | ||
* Betriebsbereiter dokumentierter Notfallvorsorgeplan | * Betriebsbereiter dokumentierter Notfallvorsorgeplan | ||
* Exakt auf die Organisation abgestimmt | * Exakt auf die Organisation abgestimmt | ||
* Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“ | * Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“ | ||
| Zeile 72: | Zeile 72: | ||
* Grundlage zur Nutzung von Synergieeffekten | * Grundlage zur Nutzung von Synergieeffekten | ||
* Auf bereits dokumentierte Informationen zurückgreifen | * Auf bereits dokumentierte Informationen zurückgreifen | ||
[[Business Impact Analyse]] | [[Business Impact Analyse]] | ||
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten | * Zeitkritischen Geschäftsprozesse und Abhängigkeiten | ||
* Parameter für Normal- und Notbetrieb | * Parameter für Normal- und Notbetrieb | ||
| Zeile 97: | Zeile 97: | ||
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung | ||
; Gravierende Risiken | ; Gravierende Risiken | ||
* frühzeitig erkennen | * frühzeitig erkennen | ||
* Maßnahmen dagegen etablieren | * Maßnahmen dagegen etablieren | ||
| Zeile 114: | Zeile 114: | ||
; Klassisches Notfallmanagement | ; Klassisches Notfallmanagement | ||
* Brandschutz | * Brandschutz | ||
* Arbeits- und Unfallschutz | * Arbeits- und Unfallschutz | ||
* | * | ||
; Business Continuity Management | ; Business Continuity Management | ||
| Zeile 174: | Zeile 174: | ||
=== Aufbau === | === Aufbau === | ||
; Schrittweiser, ressourcenschonender Aufbau | ; Schrittweiser, ressourcenschonender Aufbau | ||
* Kann für einen kleineren Teil des Scope gezielt eingesetzt | * Kann für einen kleineren Teil des Scope gezielt eingesetzt | ||
* Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden | * Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden | ||
| Zeile 193: | Zeile 193: | ||
; Aufgabenbereiche | ; Aufgabenbereiche | ||
* Planung und Umsetzung | * Planung und Umsetzung | ||
* Überwachung | * Überwachung | ||
* kontinuierlichen Verbesserung | * kontinuierlichen Verbesserung | ||
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert | BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert | ||
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all> | * Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all> | ||
| Zeile 232: | Zeile 232: | ||
! Schritt !! | ! Schritt !! | ||
|- | |- | ||
| 1 || Geschäftsprozesse erheben | | 1 || Geschäftsprozesse erheben | ||
|- | |- | ||
| 2 || Parameter und Zeithorizonte festlegen | | 2 || Parameter und Zeithorizonte festlegen | ||
| Zeile 305: | Zeile 305: | ||
! Übung !! Beschreibung | ! Übung !! Beschreibung | ||
|- | |- | ||
| Planbesprechung || | | Planbesprechung || | ||
|- | |- | ||
| Stabsübung || | | Stabsübung || | ||
|- | |- | ||
| Stabsrahmenübung || | | Stabsrahmenübung || | ||
|- | |- | ||
| Alarmierungsübung || | | Alarmierungsübung || | ||
| Zeile 321: | Zeile 321: | ||
; Prozessual gesteuerte Kommunikation | ; Prozessual gesteuerte Kommunikation | ||
* zwischen der IT, dem ISB und dem Business Continuity Beauftragten | * zwischen der IT, dem ISB und dem Business Continuity Beauftragten | ||
* könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“ | * könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“ | ||
| Zeile 329: | Zeile 329: | ||
[[IT-Grundschutz]] | [[IT-Grundschutz]] | ||
* Strukturanalyse | * Strukturanalyse | ||
* Schutzbedarfsfeststellung | * Schutzbedarfsfeststellung | ||
* Modellierung | * Modellierung | ||
Weitere Managementsysteme | Weitere Managementsysteme | ||
| Zeile 336: | Zeile 336: | ||
* [[IT-Service-Continuity-Management]] | * [[IT-Service-Continuity-Management]] | ||
* [[IT-Risikomanagement]] | * [[IT-Risikomanagement]] | ||
* | * | ||
=== Baustein DER.4 Notfallmanagement === | === Baustein DER.4 Notfallmanagement === | ||
| Zeile 354: | Zeile 354: | ||
[[Kategorie:BCMS]] | [[Kategorie:BCMS]] | ||
</noinclude> | </noinclude> | ||
Version vom 15. August 2024, 16:25 Uhr
Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)
Beschreibung
- Sicherstellung des Fortbestands von Einrichtungen
- Risiken mit hohem Schadensausmaß
- Strategien, Plänen und Handlungen
| BCM etablieren | Rahmenbedingungen, Aufbau- und Ablauforganisation |
| Kritische Prozesse ermitteln | Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung |
| Kritische Prozesse absichern | Schützen und alternative Abläufe ermöglichen |
Sicherstellung des Fortbestands
- Sicherstellung des Fortbestands einer Einrichtung
- Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß
- Betriebskontinuitätsmanagement
- Managementmethode
- Lebenszyklus-Modell
- Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
- Verwandtschaft mit Risikomanagement
- Good Practice Guide
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird
- Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden
- Bundesamt für Sicherheit in der Informationstechnik
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt
- Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet
- Incident Management
Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden
- Primär Fragen
- Welche Prozesse müssen unbedingt aufrechterhalten werden?
- Welche Maßnahmen sind dafür notwendig?
- Prioritäten und Ressourcen
- Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
- Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen
Business Continuity Management
- Aufbau und Betrieb eines Notfall- und Krisenmanagements
Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
- Ziele
Wichtige Geschäftsprozesse selbst in
- kritischen Situationen und Notfällen
- nicht oder nur temporär
- unterbrochen werden
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt
- Ziel
- Generierung und Proklamation von Prozessdefinitionen und Dokumentation
- Betriebsbereiter dokumentierter Notfallvorsorgeplan
- Exakt auf die Organisation abgestimmt
- Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
BSI-Standard 200-4
| Standards | |
|---|---|
| 200-1 | Anforderungen an ein ISMS |
| 200-2 | Umsetzung der Anforderungen |
| 200-3 | Risikoanalyse |
| 200-4 | Business Continuity Management |
| Kompendium | |
| Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
| Kapitel 2 | Schichtenmodell / Modellierung |
| Elementare Gefährdungen |
Elementare Gefährdungen |
| Schichten | Prozesse Systeme |
Business Continuity Management - BCM (2023)
- Etablierung eines Business Continuity Management
ISMS nach BSI IT-Grundschutz
- Grundlage zur Nutzung von Synergieeffekten
- Auf bereits dokumentierte Informationen zurückgreifen
- Zeitkritischen Geschäftsprozesse und Abhängigkeiten
- Parameter für Normal- und Notbetrieb
- Methodik nach BSI-Standard 200-3
- kann aus dem ISMS adaptiert werden
- Hinweise
- Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
- Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- siehe auch DER.4 Notfallmanagement
- ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
Business Continuity Management System
Rahmenwerk für ein Business Continuity Management System (BCMS)
- Management von Notfällen und Krisen
- technisch
- nicht-technisch
- Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
- Gravierende Risiken
- frühzeitig erkennen
- Maßnahmen dagegen etablieren
- Überleben der Einrichtung sichern
- Organisationen beliebiger Art, Größe und Branche
- Synergieeffekte
- Zahlreiche Synergieeffekte zum IT-Grundschutz
- Ressourcen schonen
- Zusammenhänge und Wechselwirkungen berücksichtigen
Notfallmanagement vs. Business Continuity Management
- Notfallmanagement
- Schäden vermeiden und eindämmen
- Notfälle verhindern und bewältigen
- Klassisches Notfallmanagement
- Brandschutz
- Arbeits- und Unfallschutz
- Business Continuity Management
- Wiederanlauf des Geschäftsbetriebs
- Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
Einbettung in die Organisationsstruktur
- Geplantes und organisiertes Vorgehen
- Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
- Auf Schadensereignisse angemessen reagieren
- Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
- Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
- systematische, geplante und organisierte Vorgehensweise
- das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
- BCMS ist kein Bestandteil eines ISMS
- Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
Aufbauorganisation
Rollen/Verantwortung
Allgemeine Aufbauorganisation
- Allgemeine Aufbauorganisation (AAO)
- Etablierte organisationsweite Hierarchie und Führungsstruktur
Besondere Aufbauorganisation
- Besondere Aufbauorganisation (BAO)
- Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
Stufenmodell
- Stufenmodell für Vorgehensweisen
| Option | Beschreibung |
|---|---|
| Reaktiv | Schnelle Fähigkeit zur Notfallbewältigung |
| Aufbau | Schrittweiser, ressourcenschonender Aufbau |
| Standard | Vollständige Absicherung, Resilienz der Institution |
Reaktiv
- Schnelle Fähigkeit zur Notfallbewältigung
- Basis-Niveau
- Spart Ressourcen
- Wenn keine „Notfälle“ eintreten würden
- Lücken in der Absicherung
- Nicht alle Bereiche werden betrachtet
Aufbau
- Schrittweiser, ressourcenschonender Aufbau
- Kann für einen kleineren Teil des Scope gezielt eingesetzt
- Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
Standard
- Vollständige Absicherung/Resilienz der Institution
- Konformität ISO-22301
- Möglichkeit zur Zertifizierung nach ISO 22301
- Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
Organisationsspezifisches BCMS
Planung eines organisationsspezifischen BCMS
- Vorgehensweisen
- Reaktiv
- Aufbau
- Standard
- Aufgabenbereiche
- Planung und Umsetzung
- Überwachung
- kontinuierlichen Verbesserung
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
- Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden
Szenarien
- Art von Ereignissen (Incidents)
- IT/System-Ausfall
- Gebäudeausfall
- Ausfall von Personal (Pandemie, ...)
- Ausfall von Lieferanten/Partnern
- Notfallszenario
Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren
- Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
- Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
- Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
- Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen
Business Impact Analyse
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
- Zusammen mit Risikoanalysen
- Ermittlung von
- Prozessen mit hohem Schadenspotential
- Zugrundeliegenden Ressourcen
- Abhängigkeiten zwischen Prozessen
- Auswirkungen von Ausfällen
- Wiederanlaufplänen
Vorbereitung
| Schritt | |
|---|---|
| 1 | Geschäftsprozesse erheben |
| 2 | Parameter und Zeithorizonte festlegen |
| 3 | Ressourcenkategorien und -cluster festlegen |
| 4 | Organisatorische Planung |
| 5 | Hilfsmittel vorbereiten |
Durchführung
| Schritt | Beschreibung |
|---|---|
| 1 | Zeitkritische Prozesse erfassen |
| 2 | Prozessabhängigkeiten erfassen |
| 3 | Ressourcenabhängigkeiten erfassen |
| 4 | Single Points of Failure erfassen |
Auswertung
| Schritt |
|---|
| Qulitätssicherung und Gesamtübersicht |
Dokumentation
Referenzdokumente
- Präventiv
Dokumente zur Vorsorge
- Anforderungen an das BCMS
- Elemente des BCMS
- Teil der Notfallvorsorge
Beispiele
- Leitlinie zum Business Continuity Management
- Notfallvorsorgekonzept
- Prozessbeschreibungen und Anweisungen
- Hilfsmittel
- Reaktiv
Dokumente zur Reaktion
- Notfallbewältigung
Beispiel
- Notfallhandbuch
Tests und Übungen
Tests und Übungen sind im Business Continuity Management besonders wichtig
- Hohen Stellenwert in BSI-Standard 200-4
- Planung von Übungen und Tests
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
- Wichtiges Kriterium für die Planung von Übungen und Tests
- ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
- Verfahren zu mindestens folgenden Übungsarten ausarbeiten
- Übungsarten
| Übung | Beschreibung |
|---|---|
| Planbesprechung | |
| Stabsübung | |
| Stabsrahmenübung | |
| Alarmierungsübung | |
| Funktionstest |
Synergien
Business Continuity Management
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)
- Prozessual gesteuerte Kommunikation
- zwischen der IT, dem ISB und dem Business Continuity Beauftragten
- könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
- Synergien
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung
Weitere Managementsysteme
Baustein DER.4 Notfallmanagement
Anhang
Siehe auch
- BCM/BIA-Vorfilter und BIA
- BCMS/BAO
- BCMS/BCMS-Prozess und Stufenmodell
- BCMS/BIA-Vorfilter und BIA
- BCMS/Hilfsmittel
- BCMS/Initiierung, Planung und Aufbau
- BCMS/Leistungsüberprüfung und Kennzahlen
- BCMS/Notfallplanung
- BCMS/Prüfungsvorbereitung
- BCMS/Risikoanalyse
- BCMS/Standards und regulatorische Grundlagen
- BCMS/Uebersicht
- BCMS/Üben und Testen
Links
Weblinks