BSI/200-4/03 Initiierung
BSI/200-4/03 Initiierung
Beschreibung
- BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung
Übernahme der Verantwortung durch die Leitungsebene
Zielsetzung
Die Zielsetzung geht vorrangig auf drei Fragen ein:
- Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
- Welche konkreten Ziele werden mit dem BCM verfolgt?
- Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)
Motivation für den Aufbau eines BCMS
Gründe für ein BCM identifizieren, dokumentieren
- Interne Gründe für ein BCMS
- Eigeninteresse einer Institution
- Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
- Externe Gründe für BCMS
- Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
- Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
- Verträge mit Kunden und Kundinnen oder Geschäftspartnern und -partnerinnen oder deren Erwartungshaltungen
- Gesetze, Verordnungen und Richtlinien (regulatorische Anforderungen)
| Bereich | Regelungen |
|---|---|
| Anforderungen an Aktiengesellschaften |
|
| Anforderungen an die Kommunikation |
|
| Börsengesetz | BörsG |
| Arbeitsschutzgesetz | ArbSchG |
| Störfallverordnung | 12. BImSchV – StörfallV |
| Gefahrstoffverordnung | GefStoffV |
| Betriebssicherheitsverordnung | BetrSichV |
| Risikovorsorge im Elektrizitätssektor | Verordnung (EU) Nr. 2019/941 |
| Gewährleistung der sicheren Gasversorgung | Verordnung (EU) Nr. 2017/1938 |
| Kritische Infrastrukturen |
|
| Versicherungsbranche |
|
| Banken |
|
| Risikomanagement im Bankenbereich | MaRisk |
| Bankenbereich | EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ... |
Entwicklung der Ziele des BCMS
- welche Geschäftsziele geschützt werden sollen
- welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
- welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
- in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
- was das primäre Ziel der Bewältigung ist.
Abzusichernder Zeitraum durch ein BCMS
- Muss für die Institution individuell festgelegt werden
Hängt stark von unterschiedlichen Gegebenheiten ab
- der Risikobereitschaft der Institution
(Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.) - dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
- dem Reifegrad des BCMS
- den vorhandenen oder avisierten Ressourcen des BCMS
- der Art und Komplexität des Geschäftszwecks der Institution
- der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
- dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
- dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
- branchenspezifischen Vorgaben.
In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.
Geltungsbereich
Entscheidung für Vorgehensweise
Ernennung des BC-Beauftragten
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang