BSI/200-4 - BSI-Standard zum Business Continuity Management

Business Continuity Management System

Business Continuity Management System in Institutionen aufbauen und etablieren

• Praxisnahe Anleitung
• Leichter Einstieg
• Normativer Anforderungskatalog für erfahrene AnwenderInnen

Resilienz

Leistungen erbringen

• immer effizienter
• möglichst zu jeder Zeit

Entwicklungen und Trends

Steigende Anforderungen

• Globalen Wettbewerb
• Fortschreitende Digitalisierung
• Interessengruppen (Aufsichtsbehörden, Kunden, Öffentlichkeit, ...)

Abhängigkeiten

Steigende Abhängigkeiten

• Informationstechnik (IT)
• Lieferketten
• Drittanbietenden
  • Dienstleistungs-
  • Zulieferungs-
  • Versorgungsunternehmen

Die Verfügbarkeit der Geschäftsprozesse oder Fachaufgaben ist eine Existenzfrage für Institution

Existenzbedrohenden Schäden

Gleichzeitig nehmen Risiken zu

• die den Geschäftsbetrieb oder die Aufgabenerfüllung einer Institution in hohem Maße beeinträchtigen und sogar zu einem existenzbedrohenden Schaden führen können
• gegen die sich Institutionen nicht komplett schützen können
• Cyber-Angriffe
• Naturereignisse

Ausfall kritischer Geschäftsprozesse

Obwohl

• Institutionen sich mit Informationssicherheit bzw. Cybersicherheit
• sowie mit IT-Service Continuity Management ( ITSCM )
• zu schützen versuchen
• führten Cyber-Angriffe immer wieder zu Ausfällen kritischer Geschäftsprozesse
• Insbesondere Ransomware-Angriffe haben sich zu einer allgegenwärtigen Bedrohung entwickelt

Effizienzsteigerung von Geschäftsprozessen

Zudem sorgt die fortschreitende Effizienzsteigerung von Geschäftsprozessen dafür

• dass Leerlauf- und Pufferzeiten auf ein Minimum reduziert werden
• Darüber hinaus werden auch in der Logistik und der Produktion benötigte Ressourcen auf ein Mindestmaß reduziert, um Lagerflächen einzusparen

Zeitfenster

Dadurch verkleinern sich in der Praxis die Zeitfenster innerhalb derer auf Ausfälle der Geschäftsprozesse angemessen reagiert und unmittelbare Folgewirkungen eingedämmt werden können

Notwendigkeit der Vorsorge

• Entsprechend steigt die Notwendigkeit, gegen Ausfälle des Geschäftsbetriebs umfassend vorzusorgen sowie für den Schadensfall angemessene Möglichkeiten zur Geschäftsfortführung vorzubereiten (engl. Business Continuity oder BC)

Angemessenes Business-Continuity-Management

Mit Hilfe eines angemessenen Business-Continuity-Managements ([BCM]) können sich Institutionen vor den Auswirkungen solcher Schadensereignisse schützen, die den Geschäftsbetrieb in nicht akzeptablem bis hin zu existenzbedrohendem Maße beeinträchtigen können

• Ziel des BCM ist es sicherzustellen, dass der Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einer Unterbrechung in angemessener Zeit auf einem definierten Mindestniveau fortgeführt werden kann
• Das BCM umfasst organisatorische, technische, bauliche und personelle Maßnahmen

Synergien

• Institutionen können dabei teilweise auf vorhandene Sicherheitsmaßnahmen weiterer Managementsysteme zurückgreifen und diese gegebenenfalls erweitern
• Synergien ergeben sich z. B. mit dem Managementsystem für Informationssicherheit (ISMS)

Erleichtert den Einstieg in ein BCM

• indem ein Stufenmodell mit Einstiegsstufen angeboten wird

Anleitung, um ein vollständiges, zur Norm ISO 22301:2019 konformes BCM

• einzuführen
• aufrechtzuerhalten
• zu verbessern

Anforderungskatalog

Für erfahrene Anwendende

• bereits existierendes BCM
• schnell und effektiv nach BSI-Standard 200-4 auszurichten

Business-Continuity-Management-Systems (BCMS)

BCM ist kein einmaliges Projekt

• Bedarf eines zielgerichteten Business-Continuity-Management-Systems (BCMS)
• das fortlaufend weiterentwickelt wird

Aufbau und Verbesserung

Ein BCMS muss

• Kontinuierliche Verbesserung
• an die sich stetig verändernden Rahmenbedingungen der Institution angepassen

Dauerhafter Prozess

So wird ein dauerhafter Prozess geschaffen

• um organisatorische Resilienz (Widerstandsfähigkeit) aufzubauen

Auf Veränderungen reagieren und anzupassen

Organisatorische Resilienz ist die Fähigkeit, auf Veränderungen zu reagieren und sich diesen Veränderungen anzupassen

Resilienz

Je „resilienter“ eine Institution ist

• umso besser kann sie
• Risiken und Chancen durch Veränderungen
  • erkennen
  • flexibel darauf reagieren
• Dies gilt für Veränderungen
  • plötzliche und allmähliche
  • interne und externe

Organisatorische Resilienz

• wird nicht durch ein einzelnes Managementsystem aufgebaut
• sondern entsteht erst durch das Zusammenspiel verschiedener Management-Disziplinen

Eckpfeiler, die gemeinsam Resilienz schaffen können

• Informationssicherheit
• Business Continuity Management
• Krisenbewältigung
• IT-Service Continuity

BSI/200-4/Einführung

BSI/200-4/Initiierung

BSI/200-4/Konzeption und Planung

BSI/200-4/Aufbau und Befähigung

BSI/200-4/Voranalyse

BSI/200-4/Business Impact Analyse

BSI/200-4/Soll-Ist-Vergleich

BSI/200-4/Risikoanalyse

BSI/200-4/Business-Continuity-Strategie

BSI/200-4/Geschäftsfortführungsplanung

BSI/200-4/Wiederanlauf

BSI/200-4/Üben und Testen

BSI/200-4/Leistungsüberprüfung und Berichterstattung

BSI/200-4/Aufrechterhaltung und Verbesserung

BSI/200-4/Anhang

• Standard 200-4 BCM Anforderungskatalog

1. Hilfsmittel zum BSI-Standard 200-4
2. Weiterführende Aspekte zur Bewältigung
3. Dokumentvorlage für Wiederanlaufpläne
4. Verinice/Business Continuity Management