Business Continuity Management System

Aus Foxwiki

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen
  • Technisch
  • Nicht-technisch
Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken
  • Frühzeitig erkennen
  • Maßnahmen dagegen etablieren
  • Überleben der Einrichtung sichern
  • Organisationen beliebiger Art, Größe und Branche
Synergieeffekte
  • Zahlreiche Synergieeffekte zum IT-Grundschutz
  • Ressourcen schonen
  • Zusammenhänge und Wechselwirkungen berücksichtigen

Notfallmanagement vs. Business Continuity Management

Notfallmanagement
  • Schäden vermeiden und eindämmen
  • Notfälle verhindern und bewältigen
Klassisches Notfallmanagement
  • Brandschutz
  • Arbeits- und Unfallschutz
  • ...
Business Continuity Management
  • Wiederanlauf des Geschäftsbetriebs
  • Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen
  • Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
  • Auf Schadensereignisse angemessen reagieren
  • Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

  • systematische, geplante und organisierte Vorgehensweise
  • das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
BCMS ist kein Bestandteil eines ISMS
  • Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Rollen/Verantwortungen

Allgemeine Aufbauorganisation

Allgemeine Aufbauorganisation (AAO)
  • Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation

Besondere Aufbauorganisation (BAO)
  • Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Prozesse

Organisationsspezifisches BCMS

Planung eines organisationsspezifischen BCMS

Vorgehensweisen
  • Reaktiv
  • Aufbau
  • Standard
Aufgabenbereiche
  • Planung und Umsetzung
  • Überwachung
  • kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

  • Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden


Szenarien

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Überblick

Demingkreis (PDCA)

Plan - Do - Check - Act (PDCA)


Legende
Alle Stufen
Nur Aufbau und Standard
Nur Aufbau und Reaktiv
Nur Reaktiv
Initiierung
BCMS/PLAN
BCMS/Definition / BCMS/Abgrenzung BCMS/Aufbauorganisation ...
BCMS/Rahmenbedingungen BCMS/Dokumentation BCMS/Leitlinie
BCMS/DO
BCMS/Besondere Aufbauorganisation BCMS/Geschaftsprozesse absichern
BCMS/Aufbau BCMS/BIA-Vorfilter
BCMS/Detektion BCMS/BIA
BCMS/Sofortmaßnahmen BCMS/Soll-Ist-Vergleich
BCMS/Stabsordnung BCMS/Stabsgrundsätze BCMS/Risikoanalyse
BCMS/Stabsarbeit BCMS/Kontinuitätsstrategien
BCMS/Notfallkommunikation BCMS/Fortführungsplanung BCMS/Wiederanlauf /
BCMS/Wiederherstellung
BCMS/Störbetrieb/BCMS/Deeskalation
BCMS/Analyse
BCMS/CHECK
BCMS/ÜbenTesten BCMS/Prüfen/BCMS/Berichten
BCMS/ACT
BCMS/Verbessern BCMS/Weiterentwickeln