Verinice/Business Continuity Management
topic - Kurzbeschreibung
Beschreibung
- Business Continuity Management 200-4
Ab verinice 1.25 kann die Dokumentation für das Notfallmanagement / Business Continuity Management (BCM) nach BSI-Standard 200-4 vorgenommen werden. Implementiert wurde der 1. Community Draft.
Es können Kernprozesse identifiziert, Kritikalitätsdaten erfasst, Ausfallszenarien definiert und relevante Systeme für den Wiederanlauf festgelegt werden. Die Neuerungen sind in der bekannten Perspektive BSI IT-Grundschutz nach 200-x zu finden, so kann von bereits erfassten Daten profitiert und die Synergien zwischen ISMS und BCMS genutzt werden.
Erweiterungen an Zielobjekten
Informationsverbund
Im Informationsverbund kann unter der Gruppe Business Continuity Management (BCM) / Notfallmanagement unter anderem der BCMS-Geltungsbereich, die Vorgehensweise des BCMS und das Untragbarkeitsniveau dokumentiert werden.
- Zudem wurden unter den Schutzbedarfskategorien auch die Standard-Definitionen aus dem Standard 200-4 hinzugefügt.
- Abbildung 51. BCM - Informationsverbund
Dokumente
Unter dem Zielobjekt Dokumente wurden Anpassungen an dem Dokumententyp vorgenommen. Darüber hinaus wurde der Aufbewahrungszeitraum hinzugefügt.
Abbildung 52. BCM - Dokumente
Personen
Bei den Personen wurden die Rollen erweitert und ein neuer Verknüpfungstyp zur BausteinAnforderung (Interessierte Partei erwartet/fordert) hinzugefügt. Ebenfalls wurde unter anderem der Grad der Einflussnahme mit aufgenommen.
Abbildung 53. BCM - Personen
Geschäftsprozesse
Um die Prozessabhängigkeiten untereinander abzubilden wurden drei Verknüpfungstypen hinzugefügt: parallel, vorgelagert und nachgelagert. Eine weitere Verknüpfung ist nun zwischen Geschäftsprozessen und Räumen möglich. Um die Business Impact Analyse (BIA) / Schadensbewertung durchführen zu können, wurden eine Reihe von Felder implementiert. Dabei wird die MTPD/MTA (anhand der Beeinträchtigung und des Untragbarkeitsniveaus) automatisch abgeleitet.
Abbildung 54. BCM - Geschäftsprozess Teil 1
Unter dem Geschäftsprozess wurde eine weitere Gruppe für das BCM-Reporting erstellt. Diese soll für die Auswertung genutzt werden.
Abbildung 55. BCM - Geschäftsprozess Teil 2
Zielobjekte
- Anwendungen, IT-Systeme, ICS-Systeme, Andere/IoT-Systeme, Kommunikationsverbindungen, Räume
Auch bei den Zielobjekten wurden Felder für die Business Impact Analyse (BIA) / Schadensbewertung hinzugefügt. Hierbei werden im Feld Kleinste RTO der Ressource mit Hilfe der Pfeil-Runter-Taste alle Werte des Feldes Geforderte Wiederanlaufzeit (WAZ/RTO) für notw. Ressourcen aus Prozess-MTPD der verknüpften Geschäftsprozesse wiedergegeben.
Abbildung 56. BCM - Zielobjekt
Baustein-Anforderungen und Maßnahmen
Unter den Baustein-Anforderungen und Maßnahmen wurden unter anderem das Feld zur Erfassung des „Grads der Einflussnahme“ auf das BCM hinzugefügt. Sowie Felder um die BCStrategien, Lösungen und den BCM-Maßnahmenplan zu verwalten.
Abbildung 57. BCM - Baustein-Anforderungen und Maßnahmen Teil 1
Abbildung 58. BCM - Baustein-Anforderungen und Maßnahmen Teil 2