Business Continuity Management: Unterschied zwischen den Versionen
| Zeile 3: | Zeile 3: | ||
== Beschreibung == | == Beschreibung == | ||
[[File:bcmUebersicht.png|mini|300px]] | [[File:bcmUebersicht.png|mini|300px]] | ||
* Sicherstellung des Fortbestands des Unternehmens | * Sicherstellung des Fortbestands des Unternehmens | ||
* [[Risiko|Risiken]] mit hohem Schadensausmaß | * [[Risiko|Risiken]] mit hohem Schadensausmaß | ||
Version vom 9. Mai 2024, 11:15 Uhr
Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)
Beschreibung
- Sicherstellung des Fortbestands des Unternehmens
- Risiken mit hohem Schadensausmaß
Strategien, Plänen und Handlungen erarbeiten
- Tätigkeiten oder Prozesse ermitteln
- deren Unterbrechung
- ernsthafte Schäden oder vernichtende Verluste zufügen würden
- etwa Betriebsstörungen
- Schützen und alternative Abläufe ermöglichen
BSI-Standard 200-4
- Business Continuity Management - BCM - 14. Juni 2023
- BSI-Standard 100-4 (Notfallmanagement) - 2008
- Prüfungen beim BSI
- BSI IT-Grundschutz-Berater, BSI-Auditteamleiter, ...
- Ab Juni 2023 auf der Basis des BSI-Standard 200-4
- BSI-Standard 200-4 zeigt eine Methode zur Etablierung eines Business Continuity Management
- Ein ISMS nach BSI IT-Grundschutz bietet eine solide Grundlage zur Nutzung von Synergieeffekten und bietet die Möglichkeit, auf bereits dokumentierte Informationen zurückgreifen zu können
- Eine Durchführung eines Business Impact Analyse gibt Aufschluss über die zeitkritischen Geschäftsprozesse und etwaige Abhängigkeiten sowie Parameter für Normal- und Notbetrieb
- Die durchzuführende Risikoanalyse lässt sich analog zur eingesetzten Methodik nach BSI-Standard 200-3 anwenden und kann somit aus dem ISMS adaptiert werden
- Fazit
- Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
- Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- allerdings führt der Baustein „DER.4 - Notfallmanagement“ im IT-Grundschutz-Kompendium sowie die konsequente Einbeziehung des Schutzziel „Verfügbarkeit“ erhebliche Abhängigkeiten und Schnittstellen auf
- Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
Sicherstellung des Fortbestands
- Sicherstellung des Fortbestands des Unternehmens
- im Sinne ökonomischer Nachhaltigkeit
- im Angesicht von Risiken mit hohem Schadensausmaß
- Betriebskontinuitätsmanagement
- Managementmethode
- Lebenszyklus-Modells
- Fortführung der Geschäftstätigkeit unter Krisenbedingungen
- oder zumindest unvorhersehbar erschwerten Bedingungen absichert
- Es besteht eine enge Verwandtschaft mit dem Risikomanagement
- Verwandschaften
In den deutschsprachigen Ländern wird das BKM
- bisweilen als verwandt mit der Informationssicherheit
- der IT-Notfallplanung und
- dem Facility Management
- Verbindungen bestehen auch zum Gedankengut der Corporate Governance
- Ursprung
- Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur (Sun Tzu, um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie Clausewitz.
- Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der industriellen Revolution auf das betriebliche Geschehen übertragen.
Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. (USA) civil defence, homeland security, (D) Zivilverteidigung, Katastrophenschutz.
- Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
- Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der Informationstechnologie, deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
- Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch „IT-Notfallplanung“.
- Gesamtbetrieb
In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) Sarbanes-Oxley Act 2002 und den (GB) Civil Contingencies Act 2004.
- Implizit ist das BKM u. a. nach (D) Kontroll- und Transparenzgesetz 1998, (D, A) Kodizes für Corporate Governance.
- Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, ISO 22301:2012, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des Basler Ausschusses hinsichtlich der Zweiten Basler Eigenkapitalverordnung, (D) Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk).
- Good Practice Guide
Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.
- Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
- Bundesamt für Sicherheit in der Informationstechnik
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.
- Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.
- Incident Management
Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.
- Primär Fragen
- Welche Prozesse müssen unbedingt aufrechterhalten werden?
- Welche Maßnahmen sind dafür notwendig?
- Prioritäten und Ressourcen
- Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
- Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.
Technische Betrachtung
- Business Continuity Management
- Aufbau und Betrieb eines Notfall- und Krisenmanagements
- Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
Dadurch soll erreicht werden, dass
- wichtige Geschäftsprozesse selbst in
- kritischen Situationen und
- in Notfällen
- nicht oder
- nur temporär
- unterbrochen werden und
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
- Ziel des Business-Continuity-Managements
- Generierung und Proklamation von Prozessdefinitionen und Dokumentation
- Eines betriebsbereiten und dokumentierten Notfallvorsorgeplans
- Exakt auf das individuelle Unternehmen abgestimmt ist
- sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
Business Continuity Management System
- Rahmenwerk für ein Business Continuity Management System (BCMS)
- Management von Notfällen und Krisen
- technisch
- nicht-technisch
- Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
- Gravierende Risiken frühzeitig erkennen und Maßnahmen dagegen etablieren
- Überleben der Einrichtung sichern
- Organisationen beliebiger Art, Größe und Branche
- Synergieeffekte
- Zahlreiche Synergieeffekte zum IT-Grundschutz
- Ressourcen schonen
- Zusammenhänge und Wechselwirkungen berücksichtigen
Notfallmanagement vs. Business Continuity Management
- Notfallmanagement
- Schäden vermeiden und eindämmen
- Notfälle verhindern und bewältigen
- Klassisches Notfallmanagement
- Brandschutz
- Arbeits- und Unfallschutz
- ...
- Business Continuity Management
- Wiederanlauf des Geschäftsbetriebs
- Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
Einbettung in die Organisationsstruktur
- Geplantes und organisiertes Vorgehen
- Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
- Auf Schadensereignisse angemessen reagieren
- Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
- Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
- systematische, geplante und organisierte Vorgehensweise
- das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
- BCMS ist kein Bestandteil eines ISMS
- Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
Rollen und Verantwortungsbereiche
Allgemeine Aufbauorganisation (AAO)
- Etablierte organisationsweite Hierarchie und Führungsstruktur
Besondere Aufbauorganisation (BAO)
- Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
Stufenmodell für Vorgehensweisen
| Option | Beschreibung |
|---|---|
| Reaktiv | |
| Aufbau | |
| Standard |
Reaktiv
- Schnelle Fähigkeit zur Notfallbewältigung
- Basis-Niveau
- Spart Ressourcen
- wenn keine „Notfälle“ eintreten würden
- Lücken in der Absicherung
- Bereiche, die nicht betrachtet
Aufbau
- Schrittweiser, ressourcenschonender Aufbau
- Kann für einen kleineren Teil des Scope gezielt eingesetzt
- Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
Standard
- Vollständige Absicherung/Resilienz der Institution
- Konformität ISO-22301
- Möglichkeit zur Zertifizierung nach ISO 22301
- Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
Vorgehensweisen
Planung eines organisationsspezifischen BCMS
- Vorgehensweisen
- Reaktiv
- Aufbau
- Standard
- Aufgabenbereiche
grenzen
umfassende
Aufgabenbereiche zur Planung und Umsetzung sowie zur Überwachung und zur kontinuierlichen Verbesserung des BCMS voneinander ab
- Aufgabenbereiche
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert und könnte daher als Basis für die Erstellung eines Projektplans für das BCMS optimal genutzt werden
Eskalationsstufen
- BSI-Standard 200-4 beschreibt
Interne Eskalation
- Drei Stufen
Extern Eskalation
- bei Zwischenfällen
- die bei jeder Organisation individuell voneinander abgegrenzt werden müssen
Katastrophenszenarien
- Art von Ereignissen (Incidents)
- IT/System-Ausfall
- Gebäudeausfall
- Ausfall von Personal (Pandemie, ...)
- Ausfall von Lieferanten/Partnern
- Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophenszenario reagieren
- Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
- Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
- Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
- Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.
Business Impact Analyse
- Umfassender pragmatischer Ansatz
- Ausführliche Vorbereitung
Dokumentation
- Referenzdokumente
Präventiv
- Leitlinie zum Business Continuity Management
- Notfallvorsorgekonzept
- Prozessbeschreibungen und Anweisungen
- Hilfsmittel
Reaktiv
- Notfallhandbuch
- Dokumentenstruktur
Dokumente zur Vorsorge
- beschreiben die Anforderungen an das BCMS und sind Elemente des BCMS sowie Teil der Notfallvorsorge
Dokumente zur Reaktion
- werden für die Notfallbewältigung erstellt und genutzt
Hinsichtlich der Dokumentenstruktur und der Bezeichnungen der Dokumente, wie beispielsweise „Notfallhandbuch“ oder „Notfallvorsorgekonzept“, sowie den erwähnten Dokumentenarten ist der BSI-Standard 200-4 nicht bindend und kann organisationsspezifisch angepasst werden
Übungen und Tests
- Übungen und Tests nehmen in BSI-Standard 200-4 einen hohen Stellenwert ein
- Ein spezifisches Kriterium für die Planung von Übungen und Tests
- soll insbesondere die Einbeziehung von besonderen Widrigkeiten im Geschäftsbetrieb darstellen
Der ISB und der Business Continuity Beauftragte sollten die Organisation dabei unterstützen einen umfassenden Übungsplan zu erstellen und dabei Verfahren zu mindestens folgenden Übungsarten konzipieren
- Übungsarten
| Übung | Beschreibung |
|---|---|
| Planbesprechung | Schreibtischtest |
| Stabsübung | |
| Stabsrahmenübung | |
| Alarmierungsübung | |
| Funktionstest |
Synergien
Business Continuity Management
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)
- Prozessual gesteuerte Kommunikation
- zwischen der IT, dem ISB und dem Business Continuity Beauftragten
- könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
- Synergien
BCMS und ISMS
- Weitere Managementsysteme
Beim IT-Grundschutz bei
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung