BSI/200-4/02 Einführung: Unterschied zwischen den Versionen
K Textersetzung - „ BCM “ durch „BCM“ |
|||
| Zeile 8: | Zeile 8: | ||
; Zeitkritischen Geschäftsprozesse | ; Zeitkritischen Geschäftsprozesse | ||
Im Fokus des BCM liegen die '''zeitkritischen Geschäftsprozesse''' der Institution, die gegen '''Ausfälle''' abgesichert werden sollen. | Im Fokus des[[BCM]]liegen die '''zeitkritischen Geschäftsprozesse''' der Institution, die gegen '''Ausfälle''' abgesichert werden sollen. | ||
== Begriffe == | == Begriffe == | ||
| Zeile 26: | Zeile 26: | ||
=== Geschäftsprozess === | === Geschäftsprozess === | ||
Ein '''Geschäftsprozess''' (Fachaufgaben) im Sinne des BCM ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ('''OEs''') ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. | Ein '''Geschäftsprozess''' (Fachaufgaben) im Sinne des[[BCM]]ist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten ('''OEs''') ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen. | ||
* Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger. | * Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger. | ||
Für die im BCM betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend. | Für die im[[BCM]]betrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend. | ||
* Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das BCM nicht notwendig. | * Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für das[[BCM]]nicht notwendig. | ||
=== Zeitkritisch === | === Zeitkritisch === | ||
| Zeile 53: | Zeile 53: | ||
[[Datei:Img-018-016.png|600px]] | [[Datei:Img-018-016.png|600px]] | ||
Um zu verdeutlichen, welche Schadensereignisse durch das BCM behandelt werden, werden im Folgenden die Begriffe '''Störung''', '''Notfall''' und '''Krise''' voneinander abgegrenzt. | Um zu verdeutlichen, welche Schadensereignisse durch das[[BCM]]behandelt werden, werden im Folgenden die Begriffe '''Störung''', '''Notfall''' und '''Krise''' voneinander abgegrenzt. | ||
==== Störung ==== | ==== Störung ==== | ||
| Zeile 71: | Zeile 71: | ||
; Hinweis | ; Hinweis | ||
Der Begriff Notfall wird hier im Kontext BCM definiert | Der Begriff Notfall wird hier im Kontext[[BCM]]definiert | ||
* In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben | * In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben | ||
* Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint | * Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint | ||
| Zeile 82: | Zeile 82: | ||
Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren | Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren | ||
* Das BCM trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der[[BAO]]operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement) | * Das[[BCM]]trägt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe der[[BAO]]operativ zu bewältigen (siehe Glossar, Definition Krisenmanagement) | ||
* Zudem können mithilfe der[[BAO]]auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen | * Zudem können mithilfe der[[BAO]]auch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen | ||
| Zeile 92: | Zeile 92: | ||
==== Katastrophe ==== | ==== Katastrophe ==== | ||
In diesem Standard wird der Begriff '''Katastrophe''' nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg ) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar) | In diesem Standard wird der Begriff '''Katastrophe''' nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg ) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar) | ||
* BCM behandelt die Auswirkung von Schadensereignissen auf die eigene Institution | *[[BCM]]behandelt die Auswirkung von Schadensereignissen auf die eigene Institution | ||
* Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden | * Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden | ||
Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert | Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert | ||
| Zeile 114: | Zeile 114: | ||
== Ablauf der Bewältigung == | == Ablauf der Bewältigung == | ||
=== Bewältigung mit und ohne BCM === | === Bewältigung mit und ohne[[BCM]]=== | ||
; Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM | ; Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM | ||
[[File:img-024-030.png|600px]] | [[File:img-024-030.png|600px]] | ||
<br clear=all> | <br clear=all> | ||
=== Bewältigung mit BCM === | === Bewältigung mit[[BCM]]=== | ||
; Ablauf der Bewältigung mit BCM | ; Ablauf der Bewältigung mit BCM | ||
[[File:img-025-032.png|600px]] | [[File:img-025-032.png|600px]] | ||
| Zeile 131: | Zeile 131: | ||
* Maßnahmen | * Maßnahmen | ||
* Notfallbewältigung | * Notfallbewältigung | ||
* Unterschiede zwischen dem BCM und der Informationssicherheit | * Unterschiede zwischen dem[[BCM]]und der Informationssicherheit | ||
=== ITSCM === | === ITSCM === | ||
| Zeile 204: | Zeile 204: | ||
Ziele | Ziele | ||
* Hohen Standard des BCM setzen | * Hohen Standard des[[BCM]]setzen | ||
* Kompetenz aufzubauen | * Kompetenz aufzubauen | ||
Version vom 13. Juni 2026, 22:31 Uhr
BSI/200-4/02 Einführung
Beschreibung
- Betriebskontinuitätsmanagement (BKM)
Sicherstellung des Fortbestands von Einrichtungen
- Bei Risiken mit hohem Schadensausmaß
- Zeitkritischen Geschäftsprozesse
Im Fokus desBCMliegen die zeitkritischen Geschäftsprozesse der Institution, die gegen Ausfälle abgesichert werden sollen.
Begriffe
Um ein einheitliches Verständnis zu schaffen, gelten innerhalb dieses Standards die nachfolgend aufgeführten Definitionen:
| Geschäftsprozess | |
| Zeitkritisch | |
| Allgemeine Aufbauorganisation | |
| Besondere Aufbauorganisation (BAO) |
Geschäftsprozess
Ein Geschäftsprozess (Fachaufgaben) im Sinne desBCMist eine Menge logisch verknüpfter Einzeltätigkeiten (Aufgaben, Arbeitsabläufe), die durch Organisationseinheiten (OEs) ausgeführt werden, um ein bestimmtes betriebliches Ziel zu erreichen.
- Im behördlichen Umfeld ist der Begriff Fachaufgabe dafür geläufiger.
Für die imBCMbetrachteten Geschäftsprozesse ist eine mittlere Detaillierungsebene ausreichend.
- Eine feingliedrige Beschreibung der Einzeltätigkeiten, wie sie z. B. in der Organisationsanalyse anhand einer Prozessmodellierung erhoben und dokumentiert werden, sind für dasBCMnicht notwendig.
Zeitkritisch
Als zeitkritisch gelten alle Geschäftsprozesse, deren Ausfall innerhalb eines zuvor festgelegten Zeitraums zu einem nicht tolerierbaren, unter Umständen existenzgefährdenden Schaden für die Institution führen kann.
- So kann z. B. ein Ausfall, der gegen entsprechende regulatorische Anforderungen verstößt, zu existenzbedrohenden Folgen führen.
- Falls andere Geschäftsprozesse, wie beispielsweise Unterstützungsprozesse, oder Ressourcen, wie beispielsweise Personal, IT-Systeme oder Dienstleistungsunternehmen, benötigt werden, um die zeitkritischen Geschäftsprozesse aufrecht zu erhalten, müssen auch diese als zeitkritisch angesehen werden.
- Hingegen kann es in einer Institution auch Geschäftsprozesse geben, die im Alltag sehr wichtig, aber nicht zeitkritisch sind.
Allgemeine Aufbauorganisation (AAO)
Üblicherweise werden Schadensereignisse durch die Allgemeine Aufbauorganisation (AAO) im täglichen Dienst- bzw. Geschäftsbetrieb (Normalbetrieb) bewältigt.
- DieAAOist die ständige Organisationsform der Institution für die Aufgaben des täglichen Service- bzw. Geschäftsbetriebs.
- Für dieAAOsind die Zuständigkeiten, der hierarchische Aufbau sowie die Kommunikations- und Entscheidungswege festgelegt.
Besondere Aufbauorganisation (BAO)
Einschränkungen, Unterbrechungen oder Ausfälle des Geschäftsbetriebs können jedoch so gravierend sein, dass sie nicht mehr durch dieAAOund deren Strukturen zu bewältigen sind.
- In diesem Fall wird in der Regel eine Besondere Aufbauorganisation (BAO) eingesetzt.
DieBAOist eine zeitlich begrenzte Organisationsform, die auf außergewöhnliche Situationen angemessen und schnell reagieren kann.
- Innerhalb derBAOgelten zeitlich begrenzte Zuständigkeiten, Hierarchien sowie Kommunikations- und Entscheidungswege, die von dem täglichen Normalbetrieb abweichen können.
Störung, Notfall und Krise
Um zu verdeutlichen, welche Schadensereignisse durch dasBCMbehandelt werden, werden im Folgenden die Begriffe Störung, Notfall und Krise voneinander abgegrenzt.
Störung
Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen
- Störungen werden in der Regel innerhalb des Normalbetriebs durch dieAAOder Institution behoben
- Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Vorfallmanagements (auch Incident-Management genannt) zurückgegriffen.
- Daher sind Störungen nicht Betrachtungsgegenstand dieses Standards
Störungen können jedoch zu einem Notfall eskalieren, wenn sie nicht in einer angemessenen Zeit behoben werden können
Notfall
Ein Notfall im Sinne dieses Standards ist eine Unterbrechung des Geschäftsbetriebs, die mindestens einen zeitkritischen Geschäftsprozess betrifft, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann
- Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eineBAObenötigt
- Im Gegensatz zur Krise liegen geeignete Pläne zur Bewältigung vor oder bestehende Pläne können adaptiert werden
- Der Notfall kann auch ausgerufen werden, bevor das Schadensereignis zu einer Unterbrechung des Geschäftsbetriebs führt, um schnell reagieren zu können
- Es genügt die Gefahr, dass durch das Schadensereignis der Geschäftsbetrieb unterbrochen wird
- Hinweis
Der Begriff Notfall wird hier im KontextBCMdefiniert
- In anderen Themengebieten kann es abweichende Definitionen eines Notfalls geben, z. B. im Sinne des Brandschutzes oder Schutz von Leib und Leben
- Wenn im BSI-Standard 200-4 nachfolgend von Notfall gesprochen wird, ist immer der BCM-Notfall gemeint
Krise
Als Krise im Sinne dieses Standards wird ein Schadensereignis bezeichnet, das sich in erheblicher Weise negativ auf die Institution auswirkt und dessen Auswirkungen auf die Institution nicht im Normalbetrieb bewältigt werden können
- Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor
- Vorhandene Notfallpläne können nicht oder nur bedingt adaptiert werden oder greifen schlicht nicht
- Innerhalb der Institution wird die Krise durch eingeleitete Maßnahmen derBAObewältigt
Krisen können unmittelbar auftreten oder aus einer Störung oder einem Notfall heraus eskalieren
- DasBCMträgt dazu bei, Krisen, die den Geschäftsbetrieb der Institution beeinträchtigen, mithilfe derBAOoperativ zu bewältigen (siehe Glossar, Definition Krisenmanagement)
- Zudem können mithilfe derBAOauch die Folgen solcher Schadensereignisse bewältigt werden, die zwar nicht unmittelbar den Geschäftsbetrieb betreffen, jedoch aufgrund ihrer massiven Auswirkungen auf die Institution gesondert behandelt werden müssen
Es ist möglich, dass sich Krisen nicht nur ausschließlich auf die eigene Institution und die Geschäftspartner und -partnerinnen, sondern auch darüber hinaus auswirken
- In der Bewältigung treten dann gegebenenfalls weitere Parteien in Erscheinung, wie Aufsichtsbehörden oder Behörden und Organisationen mit Sicherheitsaufgaben (BOS), wie z. B. Polizei und Feuerwehr
- Krisen, wie z. B. Großschadenslagen oder Ereignisse im Spannungs- und Verteidigungsfall, werden in diesem Standard explizit nicht beschrieben
- Diese Ereignisarten werden als externe Randbedingungen für die Bewältigung der eigenen Betroffenheit aufgefasst und nicht näher erläutert
Katastrophe
In diesem Standard wird der Begriff Katastrophe nicht definiert, weil es hierzu bereits Legaldefinitionen der Länder (z. B. § 2 des Katastrophenschutzgesetzes des Landes Berlin oder § 1 des Gesetzes über den Katastrophenschutz des Landes Baden-Württemberg ) und des Bundes gibt (z. B. Definition gemäß BBK-Glossar)
- BCMbehandelt die Auswirkung von Schadensereignissen auf die eigene Institution
- Da der Umgang innerhalb der Institution mit einer Katastrophe nicht anders ist als mit einer Krise, wird innerhalb dieses Standards auch nicht zwischen Krise und Katastrophe unterschieden
Weitere wesentliche Begriffe, die zusätzlich relevant zum Verständnis dieses Standards sind, werden innerhalb des Glossars definiert
Managementsystem
- Strategien, Plänen und Handlungen
| BCMS etablieren | Rahmenbedingungen, Aufbau- und Ablauforganisation |
| Kritische Prozesse ermitteln | Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung |
| Kritische Prozesse absichern | Schützen und alternative Abläufe ermöglichen |
- PDCA-Zyklus eines Managementsystems
Ablauf der Bewältigung
Bewältigung mit und ohneBCM
- Bewältigung eines schwerwiegenden Schadensereignisses mit und ohne BCM
Bewältigung mitBCM
- Ablauf der Bewältigung mit BCM
Abgrenzung und Synergien
Informationssicherheit
- Strukturanalyse
- Feststellung des Schutzbedarfs nach IT-Grundschutz und Business-Impact-Analyse
- Risikoanalyse und -behandlung
- Maßnahmen
- Notfallbewältigung
- Unterschiede zwischen demBCMund der Informationssicherheit
ITSCM
Krisenmanagement
Outsourcing sowie Lieferketten
Normen und Standards
BCM-Standards und korrespondierende Sicherheitsthemen
ISO 22301
- Security and resilience – Business continuity management systems – Requirements
Erster internationaler Standard zum BCM, der eine Zertifizierung ermöglicht
- Unterstützt Institutionen, Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren
Beschreibt Anforderungen an ein BCMS
- planen
- einrichten
- betreiben
- überwachen
- überprüfen
- kontinuierlich verbessern
Die internationale Norm erschien erstmalig im Jahr 2012 und ersetzte die Reihe des British Standard BS 25999
- Die ISO 22301 wurde 2019 überarbeitet (ISO 22301:2019)
- BSI-Standard 200-4 ist kompatibel zu dieser Version
Im Gegensatz zu diesem BSI-Standard stellt die ISO-Norm 22301 Anforderungen auf abstrakterer Ebene.
- Ergänzende ISO-Standards der ISO-Reihe 22300 konkretisieren einzelne Aspekte oder Schnittstellen zum BCM
| Norm | Titel |
|---|---|
| ISO 22313:2020 | Societal security and resilience – Business continuity management systems –Guidance on the use of ISO 22301 |
| ISO 22317:2015 | Societal security – Business continuity management systems – Guidelines for business impact analysis |
| ISO 22318:2015 | Societal security – Business continuity management systems – Guidelines for supply chain continuity |
| ISO 22398:2013 | Societal security — Guidelines for exercises |
BSI-Standards
BCM und Informationssicherheit haben zahlreiche Schnittstellen
- BSI-Standard 200-4 ergänzt die BSI-Standards der 200-x-Reihe
| Standard | Titel | Beschreibung |
|---|---|---|
| 200-1 | Managementsysteme für Informationssicherheit (ISMS) | Allgemeinen Anforderungen an ein ISMS
|
| 200-2 | IT-Grundschutz-Methodik | Aufbau und den Betrieb eines Managementsystems für Informationssicherheit
|
| 200-3 | Risikoanalyse auf der Basis von IT-Grundschutz |
Aufbauend auf der IT-Grundschutz-Vorgehensweise eine vereinfachte Analyse von Risiken für die Informationsverarbeitung
|
Good Practice Guidelines
- Umsetzungshilfen
Good Practice Guidelines (GPG)
- Herausgegeben vom Business Continuity Institute
- Erstmal im Jahre 2002
- Regelmäßig aktualisiert und optimiert
- In mehrere Sprachen übersetzt
Ziele
- Hohen Standard desBCMsetzen
- Kompetenz aufzubauen
Leitfaden Krisenkommunikation
- Leitfaden Krisenkommunikation des Bundesministeriums des Innern
Interne und externe Krisenkommunikation
- planen
- aufzubauen
- optimieren
Krisenkommunikation analysieren und Krisenkommunikationsplan erarbeiten
ITIL
- ITIL (Information Technology Infrastructure Library)
Von AXELOS herausgegeben, gepflegt und weiterentwickelt
- Erläutert, wie Institutionen anhand von Technologien und Werkzeugen das Servicemanagement digital transformieren können
- Berücksichtigt aktuelle Trends wie Agile Softwareentwicklung, DevOps und Lean IT-Management
Wenn ein IT-Betrieb an ITIL ausgerichtet ist, kann auf diese Strukturen zurückgegriffen werden
- Incident Management
- IT-Service Continuity Management
Leitfäden der Bundesländer
Verschiedene Bundesländer veröffentlichen länderspezifische Leitfäden zum Krisenmanagement
Stufenmodell
Vergleich der BCMS-Stufen
| Eigenschaft | Reaktiv-BCMS | Aufbau-BCMS | Standard-BCMS |
|---|---|---|---|
| Vorteile | Schnelle Fähigkeit zur Notfallbewältigung | Schrittweiser, ressourcenschonender Aufbau | Vollständige Absicherung, gesteigerte Resilienz |
| Nachteile | Lücken in der Absicherung (Bereiche die nicht/teilweise betrachtet werden) | Bereiche, die in der Absicherung der Institution nicht betrachtet werden | Größerer Ressourcenbedarf |
- Reaktiv-BCMS
- Vereinfachte Methodik
- Detaillierteren Analysen zeitlich zurückstellen
- Rahmenbedingungen und Notfallvorsorge
- Aufbau- und Standard-BCMS
- Detaillierte Analysen
- Vollständigen Methodik
- Berücksichtigen Notfallvorsorge und Notfallbewältigung
Die jeweiligen Methoden der einzelnen BCMS-Prozessschritte sind im Aufbau- und Standard-BCMS erweitert, um detailliertere Ergebnisse zu ermöglichen
- In diesen Stufen kann das BCMS deutlich effektiver und zielgerichteter aufgebaut werden
- DieBAOkann konkreter und bedarfsorientierter definiert werden
- Umfang der Geschäftsprozesse (GP)
- Im Rahmen der Initiierung des BCMS wird dessen Geltungsbereich festgelegt
Reaktiv- und Aufbau-BCMS
- Innerhalb des Geltungsbereichs des BCMS kann der Aufwand durch einen eingeschränkten GP-Umfang zunächst reduziert werden
- Ziel: Standard-BCMS
- Anschließend kann der GP-Umfang mit jedem weiteren Zyklus schrittweise gesteigert werden, bis alle Geschäftsprozesse im Geltungsbereich des BCMS betrachtet werden
BCMS-Prozess
PDCA-Struktur
Gesamtübersicht
Umsetzungsreihenfolge der Do-Phase
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang