BSI/200-4/03 Initiierung
BSI/200-4/03 Initiierung
Beschreibung
- BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
Die Zielsetzung geht vorrangig auf drei Fragen ein:
- Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
- Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften |
|
| Anforderungen an die Kommunikation |
|
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen |
|
| Versicherungsbranche |
|
| Banken |
|
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Entwicklung der Ziele des BCMS
- welche Geschäftsziele geschützt werden sollen
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
- welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
- in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- was das primäre Ziel der Bewältigung ist.
Abzusichernder Zeitraum durch ein BCMS
- Muss für die Institution individuell festgelegt werden
Hängt stark von unterschiedlichen Gegebenheiten ab
- der Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- dem Reifegrad des BCMS
- den vorhandenen oder avisierten Ressourcen des BCMS
- der Art und Komplexität des Geschäftszwecks der Institution
- der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben.
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll
- Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS
Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann
- gesamte Institution
- einzelne Standorte
- Teilbereiche
- Produkte oder Services
Solche eingeschränkten Geltungsbereiche werden entweder durch organisatorische oder technische Strukturen vorgegeben, z. B.
- gemeinsame Gebäude
- Produktionsstraßen
- Geschäftsprozesse, z. B. die Produktion
Der Geltungsbereich umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen
- infrastrukturell
- organisatorisch
- personell
- technisch
Der Geltungsbereich des BCMS muss zur Zielsetzung des BCMS und den Anforderungen passen
- Zudem sollten die betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein.
- Mehrere BCMS
Es kann auch sinnvoll sein, mehrere BCMS für mehrere kleinere Geltungsbereiche zu entwickeln
- So könnte eine Institution beschließen, zunächst für einen kleinen Bereich mit besonders zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS umzusetzen
- In den restlichen Bereichen der Institution kann anschließend ein ReaktivBCMS aufgebaut werden, damit auch für diese Bereiche eine grundlegende Geschäftsfortführung möglich ist, die über eine reine Krisenbehandlung im Rahmen der BAO hinausgeht.
- Nicht technische Aspekte
Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen
- damit die Verantwortung und die Zuständigkeiten eindeutig festgelegt werden können
- Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden.
Entscheidung für Vorgehensweise
Ernennung des BC-Beauftragten
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang