BSI/200-4/04 Konzeption und Planung: Unterschied zwischen den Versionen

BSI/200-4/04 Konzeption und Planung

Überschneidungen und Berührungspunkte mit anderen Managementsystemen

• ISMS
• ITSCM
• Krisenmanagement
• Risikomanagement

Existierende Prozesse zur Prävention, Detektion und Bewältigung von Sicherheits- und Schadensereignissen identifizieren

• Werkschutz
• Brandschutz
• Arbeitsschutz
• Wachschutz
• Haustechnik
• IT Incident Management
• IT Service Continuity Management
• Safety
• Health
• Environment

Prüfen, inwiefern vorhandene Managementsysteme Aspekte des BCM behandeln

Begriffe definieren und abstimmen

• Störung
• Notfall
• Krise

Zuständigkeiten klären

Kriterien festgelegt werden, wie bei der möglichen Eskalation eines Schadensereignisses die Zuständigkeit von einer Management-Disziplin an eine andere übertragen werden kann

Beispiele interner Interessengruppen

Beispiele externer Interessengruppen

Mögliche Schnittstellen eines BCMS

Risikomanagement

Dokumentenstruktur

Festlegung von Dokumentinformationen (AS)

Dokumente im BCM sollten mindestens mit den folgenden Eigenschaften gekennzeichnet werden:

• eindeutiger Titel
• eindeutige Versionsnummer (falls relevant)
• Dokumentenart
• Autor, Autorin
• Freigabedatum und -person
• Datum der nächsten geplanten Überarbeitung (für Dokumente, die Änderungen unterliegen können)
• Geltungsbereich des Dokuments (sofern für die Dokumentenart erforderlich)
• Klassifizierung
• Zielgruppe
• Ablage
• Aufbewahrungszeitraum (falls erforderlich)
• Änderungshistorie

Überprüfung und Aktualisierung von Dokumenten (AS)

Dokumentenmatrix

Der Ressourcenbedarf ist unter anderem von folgenden Faktoren abhängig:

• Geltungsbereich und Ziele des BCMS
• zeitliche Vorgaben, z. B. Meilensteine oder Fristen zur Erreichung eines definierten Zustands des BCMS
• ausgewählte Stufe des BCMS
• Größe und Komplexität der Institution
• gewählte BC-Aufbauorganisation sowie die Aufgaben und Zuständigkeiten der Rollen

Die folgenden Posten können z. B. frühzeitig berücksichtigt werden:

• Schulungen und Maßnahmen zur Sensibilisierung
• technische Lösungen (z. B. BCM-Tool, Alarmierungssoftware)
• Begleitung und Entwicklung besonderer BCM-Prozesse (z. B. zur Durchführung von Stabsübungen der BAO)
• Beratung, Coaching oder Zertifizierung
• Umsetzung und Betrieb von BC-Strategien und -Lösungen (falls das Budget auf zukünftige Bedarfe ausgerichtet wird).

Ein wesentlicher Erfolgsfaktor für den Aufbau und Betrieb des BCMS ist der Auf- und Ausbau angemessener Fähigkeiten und Kenntnisse der BCM-Rolleninhabenden.

Für alle Rollen im BCM muss sichergestellt werden, dass diese die benötigten Fähigkeiten und Kenntnisse besitzen oder erlangen

• Dies kann durch Schulungsmaßnahmen, z. B. auch in Form von Praktika, erreicht werden
• Der Schulungsbedarf richtet sich danach, inwieweit das vorhandene Wissen und die Vorerfahrung der Rolleninhabenden die benö­tigten Fähigkeiten und Kenntnisse bereits abdecken
• Durch Schulungen können die Rolleninhabenden gezielt auf ihre Aufgaben vorbereitet und für diese qualifiziert werden.

Die Art der Wissensvermittlung richtet sich nach der Anzahl der Rolleninhabenden, deren spezifischem Bedarf sowie den festgelegten finanziellen Ressourcen

• Die Institution muss nach durchgeführten Schulungsmaßnahmen überprüfen, ob die Schulungsziele erreicht wurden
• Dies kann durch Wissensabfragen oder durch Befragung der Teilnehmenden nach Schulungsveranstaltungen sichergestellt werden
• Falls die Ziele nicht erreicht wurden, sollte dies im Maßnahmenplan dokumentiert und über eine korrektive Maßnahme behandelt werden (Ableitung von Korrektur- und Verbesserungsmaßnahmen).

Erstellung der Leitlinie BCMS

Wesentliche Funktionen 1. Sie dient als dokumentierte Absichtserklärung der Institutionsleitung, ein BCMS aufbauen, betreiben und kontinuierlich verbessern zu wollen. Die Leitlinie ist der Nachweis dafür, dass die Institutionsleitung die Verantwortung für das BCM übernommen hat. 2. Die Leitlinie BCMS dient dazu, die wesentlichen Rahmenbedingungen festzulegen, unter denen ein BCMS etabliert und betrieben werden soll. 3. Die Leitlinie ist ein verbindlicher Auftrag an alle Mitarbeitenden, daran mitzuwirken, dass ein BCMS etabliert, aufgebaut und kontinuierlich weiterentwickelt wird, damit die Institution gegenüber Schadensereignissen selbst und deren Auswirkungen resilienter wird.

Wesentliche Inhalte

• Motivation für den Aufbau des BCMS inklusive der rechtlichen und regulatorischen Anforderungen
• Ziele für den Aufbau des BCMS und dessen Bedeutung für die Institution
• abzusichernder Zeitraum durch ein BCM
• Geltungsbereich des BCMS
• Übernahme der Gesamtverantwortung der Institutionsleitung, inklusive der Selbstverpflichtung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung des BCM nach diesem Standard
• institutionsspezifische Definition des Begriffs BCM sowie der Eskalationsstufen Störung, Notfall und Krise
• Erläuterung der zentralen Rollen der BC-Vorsorgeorganisation, ohne deren Besetzung
• Dokumentation der Selbstverpflichtung der Institutionsleitung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung des BCMS sowie Bereitstellung angemessener Ressourcen für das BCMS

Veröffentlichung und Aktualisierung der Leitlinie BCMS

Die Institutionsleitung muss die Leitlinie BCMS

• inhaltlich prüfen
• freigeben
• allen Mitarbeitenden bekannt geben

Weitere Interessierte Gruppen berücksichtigen

• Kunden
• Dienstleistern
• Geschäftspartner

Leitlinie

• Klassifizieren
• Überprüfungszyklus festgelegt und in der Leitlinie dokumentieren
• Anlassbezogen aktualisieren