Zum Inhalt springen

BSI/200-4/03 Initiierung

Aus Foxwiki

BSI/200-4/03 Initiierung

Beschreibung

BCM-Prozessschritte zur Initiierung des BCMS durch die Institutionsleitung

Übernahme der Verantwortung durch die Leitungsebene

Zielsetzung

Die Zielsetzung geht vorrangig auf drei Fragen ein:

  • Warum wird in der Institution ein BCM benötigt? (Motivation für den Aufbau eines BCMS)
  • Welche konkreten Ziele werden mit dem BCM verfolgt?
  • Wie lange soll durch das BCM ein Ausfall des Normalbetriebs kompensiert werden? (Abzusichernder Zeitraum durch ein BCM)

Motivation für den Aufbau eines BCMS

Gründe für ein BCM identifizieren, dokumentieren

Interne Gründe für ein BCMS
  • Eigeninteresse einer Institution
  • Überlebensfähigkeit der Institution in Notfällen und Krisen erhöhen
Externe Gründe für BCMS
  • Für die Bundesverwaltung gelten die Anforderungen aus dem Umsetzungsplan Bund
  • Gesetzlichen Anforderungen und aus Vorgaben einer Muttergesellschaft
  • Verträge mit Kunden und Kundinnen oder Ge­schäftspartnern und -partnerinnen oder deren Erwartungshaltungen
Gesetze, Verordnungen und Richtlinien (regulatorische Anfor­derungen)
Bereich Regelungen
Anforderungen an Aktiengesellschaften
  • EU-Richtlinie 2157/2001
  • Aktiengesetz (AktG), ...
Anforderungen an die Kommunikation
  • Richtlinie (EU) 2018/1972 über den eu­ropäischen Kodex für die elektronische Kommunikation
  • Post- und Telekommunika­tionssicherstellungsgesetz (PTSG), ...
Börsengesetz BörsG
Arbeitsschutzgesetz ArbSchG
Störfallverordnung 12. BImSchV – StörfallV
Gefahrstoffverordnung GefStoffV
Betriebssicherheitsverordnung BetrSichV
Risikovorsorge im Elektrizitätssektor Verordnung (EU) Nr. 2019/941
Gewährleistung der sicheren Gasversor­gung Verordnung (EU) Nr. 2017/1938
Kritische Infrastrukturen
  • EU-Richtlinie 2008/114/EG
  • BSI-Kritisverordnung (BSI-KritisV))
  • IT-Sicherheitsgesetz, ...
Versicherungsbranche
  • Solvency II-Richtlinie (Richtlinie 2009/138/EG), das Versicherungsaufsichtsgesetz (VAG)
  • Mindestanforderungen an die Geschäftsorganisation von Versiche­rungsunternehmen (MaGo) in der Versicherungsbranche
Banken
  • Empfehlungen des Basler Ausschusses der Bank für Internationalen Zahlungsaus­gleich (BIZ) zur Regulierung von Banken (genannt Basel III)
  • Europäische Bankenrichtlinie CRD IV (Richtlinie 2013/36/EU)
  • CRR (Verordnung (EU) Nr. 575/2013)
Risikomanagement im Bankenbereich MaRisk
Bankenbereich EBA Guidelines on ICT and security risk management (EBA/GL/2019/04), ...

Entwicklung der Ziele des BCMS

  • welche Geschäftsziele geschützt werden sollen
  • welche Arten von Geschäftsunterbrechungen als existenzbedrohend angesehen werden (grobe Vorgaben hinsichtlich Schadenshöhe und zu betrachtenden Schadensszenarien)
  • welche Bereitschaft besteht, Risiken einzugehen (Risikobereitschaft)
  • in welcher Art und Größenordnung Risiken minimiert werden sollen sowie
  • was das primäre Ziel der Bewältigung ist.

Abzusichernder Zeitraum durch ein BCMS

Muss für die Institution individuell festgelegt werden

Hängt stark von unterschiedlichen Gegebenheiten ab

  • der Risikobereitschaft der Institution
    (Je kürzer der abzusichernde Zeitraum gewählt wird, desto eher muss das Krisenmanagement aktiviert werden.)
  • dem Zeitraum, über den die Institution ohne Umsätze überlebensfähig ist
  • dem Reifegrad des BCMS
  • den vorhandenen oder avisierten Ressourcen des BCMS
  • der Art und Komplexität des Geschäftszwecks der Institution
  • der Vielfältigkeit und der Verteilung der Geschäftsprozesse über mehrere Standorte
  • dem Abhängigkeitsverhältnis des Geschäftsbetriebs von Dritten
  • dem Umfang und der Detailtiefe der Anforderungen an die Institution sowie
  • branchenspezifischen Vorgaben.

In der Praxis ist ein Zeitraum von 14 bis 30 Tagen üblich.

Geltungsbereich

Vor dem Aufbau eines BCMS muss die Institutionsleitung festlegen, welcher Bereich der Institution abgesichert werden soll

Zielsetzung, regulatorischen Anforderungen und Anforderungen an das BCMS

Dieser Bereich, auch Geltungsbereich des BCMS genannt, kann

  • gesamte Institution
  • einzelne Standorte
  • Teilbereiche
  • Produkte oder Services
Eingeschränkten Geltungsbereiche

Organisatorische oder technische Strukturen

  • gemeinsame Gebäude
  • Produktionsstraßen
  • Geschäftsprozesse, ...
Geltungsbereich

Umfasst die Gesamtheit aller Komponenten die der Aufgabenerfüllung dienen

  • infrastrukturell
  • organisatorisch
  • personell
  • technisch

Der Geltungsbereich muss zur Zielsetzung des BCMS und den Anforderungen passen

  • Betrachteten Geschäftsprozesse komplett im Geltungsbereich enthalten sein
Mehrere BCMS

Es kann sinnvoll sein, mehrere BCMS für Geltungsbereiche zu entwickeln

  • Bereiche mit zeitkritischen oder regulierten Geschäftsprozessen ein Standard-BCMS
  • Andere Bereichen ein Reaktiv-BCMS
Nicht nur technische Aspekte

Auch organisatorische Aspekte bei der Abgrenzung des Geltungsbereichs berücksichtigen

  • So können Verantwortung und Zuständigkeiten eindeutig festgelegt werden
  • Die im Geltungsbereich liegenden Geschäftsprozesse sollten explizit benannt werden

Entscheidung für Vorgehensweise

Ernennung des BC-Beauftragten

Anhang

Siehe auch

Dokumentation

Projekt

Abgerufen von „https://wiki.foxtom.de/index.php?title=BSI/200-4/03_Initiierung&oldid=164458