BSI/200-4/04 Konzeption und Planung
BSI/200-4/04 Konzeption und Planung
Beschreibung
Definition und Abgrenzung
- Überschneidungen und Berührungspunkte mit anderen Managementsystemen
- ISMS
- ITSCM
- Krisenmanagement
- Risikomanagement
- Existierende Prozesse identifizieren
Prävention, Detektion und Bewältigung von Sicherheits- und Schadensereignissen
- Werkschutz
- Brandschutz
- Arbeitsschutz
- Wachschutz
- Haustechnik
- IT Incident Management
- IT Service Continuity Management
- Safety
- Health
- Environment
Prüfen, inwiefern vorhandene Managementsysteme Aspekte des BCM behandeln
- Begriffe definieren und abstimmen
- Störung
- Notfall
- Krise
- Zuständigkeiten klären
Kriterien festlegen, wie bei Eskalation die Zuständigkeit von einer Management-Disziplin an eine andere übertragen werden
Analyse der erweiterten Rahmenbedingungen (AS)
Identifizierung von Anforderungen und Einflussfaktoren an das BCMS (AS)
Festlegung der Kommunikation mit Interessengruppen (AS)
- Beispiele interner Interessengruppen
- Beispiele externer Interessengruppen
Identifizierung von Schnittstellen (AS)
- Mögliche Schnittstellen eines BCMS
- Risikomanagement
Definition der BC-Aufbauorganisation
Dokumentation
- Dokumentenstruktur
- Festlegung von Dokumentinformationen (AS)
Dokumente im BCM sollten mindestens mit den folgenden Eigenschaften gekennzeichnet werden:
- Eindeutiger Titel
- Eindeutige Versionsnummer
- Dokumentenart
- Autor, Autorin
- Freigabedatum und -person
- Datum der nächsten geplanten Überarbeitung
- Geltungsbereich des Dokuments
- Klassifizierung
- Zielgruppe
- Ablage
- Aufbewahrungszeitraum
- Änderungshistorie
- Überprüfung und Aktualisierung von Dokumenten (AS)
- Dokumentenmatrix
Ressourcenplanung
- Faktoren
- Geltungsbereich und Ziele des BCMS
- zeitliche Vorgaben, z. B. Meilensteine oder Fristen zur Erreichung eines definierten Zustands des BCMS
- ausgewählte Stufe des BCMS
- Größe und Komplexität der Institution
- gewählte BC-Aufbauorganisation sowie die Aufgaben und Zuständigkeiten der Rollen
- Posten
- Schulungen und Maßnahmen zur Sensibilisierung
- technische Lösungen (z. B. BCM-Tool, Alarmierungssoftware)
- Begleitung und Entwicklung besonderer BCM-Prozesse (z. B. zur Durchführung von Stabsübungen der BAO)
- Beratung, Coaching oder Zertifizierung
- Umsetzung und Betrieb von BC-Strategien und -Lösungen (falls das Budget auf zukünftige Bedarfe ausgerichtet wird).
Schulung/Sensibilisierung
- Wesentlicher Erfolgsfaktor
Auf- und Ausbau angemessener Fähigkeiten und Kenntnisse der BCM-Rolleninhabenden
- Sicherstellen
dass Rolleninhabende die benötigten Fähigkeiten und Kenntnisse besitzen oder erlangen
- Schulungsmaßnahmen, Praktika, ...
- Schulungsbedarf
- richtet sich nach vorhandenem Wissen und Vorerfahrungen
- Durch Schulungen können die Rolleninhabenden gezielt auf ihre Aufgaben vorbereitet und für diese qualifiziert werden.
- Art der Wissensvermittlung richtet sich nach
- der Anzahl der Rolleninhabenden
- deren spezifischem Bedarf sowie
- den festgelegten finanziellen Ressourcen
Prüfen, ob Schulungsziele erreicht wurden
- Wissensabfragen
- Befragung der Teilnehmenden nach Schulungsveranstaltungen
Falls die Ziele nicht erreicht wurden
- im Maßnahmenplan dokumentieren
- über korrektive Maßnahme behandeln
Leitlinie BCMS
Erstellung der Leitlinie BCMS
- Funktionen
- Absichtserklärung der Institutionsleitung für ein BCMS
- aufbauen
- betreiben
- kontinuierlich verbessern
- Nachweis, dass die Institutionsleitung die Verantwortung für das BCM übernommen hat
- Wesentlichen Rahmenbedingungen festzulegen, unter denen ein BCMS etabliert und betrieben werden soll
- Verbindlicher Auftrag an alle Mitarbeitenden, daran mitzuwirken
- Wesentliche Inhalte
- Motivation für den Aufbau des BCMS
- Rechtliche und regulatorische Anforderungen
- Ziele für den Aufbau des BCMS und dessen Bedeutung für die Institution
- Abzusichernder Zeitraum durch ein BCM
- Geltungsbereich des BCMS
- Übernahme der Gesamtverantwortung der Institutionsleitung, inklusive der Selbstverpflichtung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung des BCM nach diesem Standard
- Institutionsspezifische Definition des Begriffs BCM sowie der Eskalationsstufen Störung, Notfall und Krise
- Erläuterung der zentralen Rollen der BC-Vorsorgeorganisation, ohne deren Besetzung
- Dokumentation der Selbstverpflichtung der Institutionsleitung zur Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung des BCMS sowie Bereitstellung angemessener Ressourcen für das BCMS
- Veröffentlichung und Aktualisierung der Leitlinie BCMS
Die Institutionsleitung muss die Leitlinie BCMS
- inhaltlich prüfen
- freigeben
- allen Mitarbeitenden bekannt geben
Weitere Interessierte Gruppen berücksichtigen
- Kunden
- Dienstleistern
- Geschäftspartner
- Leitlinie
- Klassifizieren
- Überprüfungszyklus festgelegt (in der Leitlinie dokumentieren)
- Anlassbezogen aktualisieren
Anhang
Siehe auch
- BSI/200-4
- BSI/200-4/02 Einführung
- BSI/200-4/03 Initiierung
- BSI/200-4/04 Konzeption und Planung
- BSI/200-4/05 Besondere Aufbauorganisation
- BSI/200-4/06 BIA-Vorfilter
- BSI/200-4/07 Business Impact Analyse
- BSI/200-4/08 Soll-Ist-Vergleich
- BSI/200-4/09 Risikoanalyse
- BSI/200-4/10 Business-Continuity-Strategie
- BSI/200-4/11 Geschäftsfortführung
- BSI/200-4/11 Geschäftsfortführung/Erstellung
- BSI/200-4/11 Geschäftsfortführung/Qualitätssicherung und Freigabe
- BSI/200-4/11 Geschäftsfortführung/Vorbereitung
- BSI/200-4/12 Wiederanlauf
- BSI/200-4/12 Wiederanlauf/Erstellung
- BSI/200-4/12 Wiederanlauf/Vorbereitung
- BSI/200-4/13 Üben und Testen
- BSI/200-4/14 Leistungsüberprüfung und Berichterstattung
- BSI/200-4/15 Aufrechterhaltung und Verbesserung
- BSI/200-4/Anhang