Business Continuity Management: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
VisuellWikitext
 
(94 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
[[File:bcmUebersicht.png|mini|500px]]
Sicherstellung des Fortbestands von Einrichtungen
; Business Continuity Management
* Fokus auf [[Risiko|Risiken]] mit hohem Schadensausmaß
* Sicherstellung des Fortbestands des Unternehmens
 
* Im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
=== Strategien, Plänen und Handlungen ===
Prozesse ermitteln
* deren Unterbrechung
* '''ernsthafte Schäden''' oder '''vernichtende Verluste''' verursachen
* etwa [[Betriebsstörung]]en


; Strategien, Plänen und Handlungen erarbeiten
Schützen und alternative Abläufe ermöglichen
* Tätigkeiten oder Prozesse ermitteln
** deren Unterbrechung
** ernsthafte Schäden oder vernichtende Verluste zufügen würden
** etwa [[Betriebsstörung]]en
* Schützen und alternative Abläufe ermöglichen


; BSI-Standard 200-4 (Business Continuity Management - BCM) - 14. Juni 2023  
=== BSI-Standard 200-4 ===
[[File:bcmUebersicht.png|mini|450px]]
; Business Continuity Management - BCM - 14. Juni 2023  
* BSI-Standard 100-4 (Notfallmanagement) - 2008
* BSI-Standard 100-4 (Notfallmanagement) - 2008


; Prüfungen beim BSI
; Etablierung eines Business Continuity Management
* BSI IT-Grundschutz-Berater, BSI-Auditteamleiter, ...
[[ISMS]] nach BSI [[IT-Grundschutz]]
* Ab Juni 2023 auf der Basis des BSI-Standard 200-4
* Grundlage zur Nutzung von Synergieeffekten
 
* Auf bereits dokumentierte Informationen zurückgreifen
; BSI-Standard 200-4 zeigt eine Methode zur Etablierung eines Business Continuity Management
[[Business Impact Analyse]]
* Ein ISMS nach BSI IT-Grundschutz bietet eine solide Grundlage zur Nutzung von Synergieeffekten und bietet die Möglichkeit, auf bereits dokumentierte Informationen zurückgreifen zu können
* Zeitkritischen Geschäftsprozesse und Abhängigkeiten
* Eine Durchführung eines Business Impact Analyse gibt Aufschluss über die zeitkritischen Geschäftsprozesse und etwaige Abhängigkeiten sowie Parameter für Normal- und Notbetrieb
* Parameter für Normal- und Notbetrieb
* Die durchzuführende Risikoanalyse lässt sich analog zur eingesetzten Methodik nach BSI-Standard 200-3 anwenden und kann somit aus dem ISMS adaptiert werden
[[Risikoanalyse]]
* Methodik nach [[BSI-Standard 200-3]]
* kann aus dem ISMS adaptiert werden


; Fazit
; Hinweise
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
* Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
* Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
** allerdings führt der Baustein „DER.4 - Notfallmanagement“ im IT-Grundschutz-Kompendium sowie die konsequente Einbeziehung des Schutzziel „Verfügbarkeit“ erhebliche Abhängigkeiten und Schnittstellen auf
* siehe auch [[DER.4 Notfallmanagement]]
* Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
 
; ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden


=== Sicherstellung des Fortbestands ===
=== Sicherstellung des Fortbestands einer Einrichtung ===
; Sicherstellung des Fortbestands des Unternehmens
* im Sinne ökonomischer [[Nachhaltigkeit]]  
* im Sinne ökonomischer [[Nachhaltigkeit]]  
* im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
* im Angesicht von [[Risiko|Risiken]] mit hohem Schadensausmaß
Zeile 40: Zeile 44:
* Managementmethode
* Managementmethode
* Lebenszyklus-Modells
* Lebenszyklus-Modells
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen
* Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
* oder zumindest unvorhersehbar erschwerten Bedingungen absichert
* Enge Verwandtschaft mit dem [[Risikomanagement]]
* Es besteht eine enge Verwandtschaft mit dem [[Risikomanagement]]
 
; Verwandschaften
In den deutschsprachigen Ländern wird das BKM
* bisweilen als verwandt mit der [[Informationssicherheit]]
* der IT-Notfallplanung und
* dem [[Facilitymanagement|Facility Management]]
* Verbindungen bestehen auch zum Gedankengut der [[Corporate Governance]]
 
; Ursprung
* Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur ([[Sunzi|Sun Tzu]], um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie [[Carl von Clausewitz|Clausewitz]].
* Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der [[Industrielle Revolution|industriellen Revolution]] auf das betriebliche Geschehen übertragen.
 
Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. ([[USA]]) civil defence, homeland security, ([[Deutschland|D]]) Zivilverteidigung, Katastrophenschutz.
* Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
* Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der [[Informationstechnologie]], deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
* Die Sicherstellung des IT-Betriebs erfolgt durch [[Disaster Recovery|IT Disaster Recovery]], deutsch „IT-Notfallplanung“.
 
; Gesamtbetrieb
In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) [[Sarbanes-Oxley Act]] 2002 und den (GB) Civil Contingencies Act 2004.
* Implizit ist das BKM u. a. nach (D) [[Kontroll- und Transparenzgesetz]] 1998, (D, A) Kodizes für Corporate Governance.
* Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, ISO 22301:2012, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des [[Basler Ausschuss]]es hinsichtlich der [[Basel II|Zweiten Basler Eigenkapitalverordnung]], (D) [[Mindestanforderungen an das Risikomanagement (BA)|Mindestanforderungen an das Risikomanagement für Kreditinstitute]] (MaRisk).


; Good Practice Guide
; Good Practice Guide
Zeile 89: Zeile 71:


; Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s
; Aufbau und Betrieb eines [[Notfall- und Krisenmanagement]]s
* Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen


Dadurch soll erreicht werden, dass  
Dadurch soll erreicht werden, dass  
Zeile 100: Zeile 82:
** die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt.
** die wirtschaftliche [[Existenz]] des Unternehmens trotz Schadenereignis gesichert bleibt.


; Ziel des Business-Continuity-Managements
; Ziel
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]]
* Generierung und [[Proklamation]] von Prozessdefinitionen und [[Dokumentation]]
* Eines betriebsbereiten und dokumentierten Notfallvorsorgeplans
* Betriebsbereiter dokumentierter Notfallvorsorgeplan
* Exakt auf das individuelle Unternehmen abgestimmt ist
* Exakt auf die Organisation abgestimmt  
** sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
* Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“


== Business Continuity Management System ==
== Business Continuity Management System ==
; Rahmenwerk für ein Business Continuity Management System (BCMS)
Rahmenwerk für ein Business Continuity Management System (BCMS)


; Management von Notfällen und Krisen
; Management von Notfällen und Krisen
Zeile 116: Zeile 98:
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung


; Gravierende Risiken frühzeitig erkennen und Maßnahmen dagegen etablieren
; Gravierende Risiken  
* frühzeitig erkennen
* Maßnahmen dagegen etablieren
* Überleben der Einrichtung sichern
* Überleben der Einrichtung sichern
* Organisationen beliebiger Art, Größe und Branche
* Organisationen beliebiger Art, Größe und Branche
Zeile 165: Zeile 149:


== Stufenmodell für Vorgehensweisen ==
== Stufenmodell für Vorgehensweisen ==
{| class="wikitable sortable options"
{| class="wikitable big options"
|-
|-
! Option !! Beschreibung
! Option !! Beschreibung
|-
|-
| [[#Reaktiv|Reaktiv]] ||
| [[#Reaktiv|Reaktiv]] || Schnelle Fähigkeit zur Notfallbewältigung
|-
|-
| [[#Aufbau|Aufbau]] ||
| [[#Aufbau|Aufbau]] || Schrittweiser, ressourcenschonender Aufbau
|-
|-
| [[#Standard|Standard]] ||
| [[#Standard|Standard]] || Vollständige Absicherung, Resilienz der Institution
|}
|}


Zeile 181: Zeile 165:
; Basis-Niveau
; Basis-Niveau
* Spart Ressourcen
* Spart Ressourcen
* wenn keine „Notfälle“ eintreten würden
* Wenn keine „Notfälle“ eintreten würden
* Lücken in der Absicherung
* Lücken in der Absicherung
* Bereiche, die nicht betrachtet
* Nicht alle Bereiche werden betrachtet


=== Aufbau ===
=== Aufbau ===
Zeile 196: Zeile 180:
* Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
* Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen


== Vorgehensweisen ==
== Organisationsspezifisches BCMS ==
[[File:img-045-062.png|mini|400px]]
[[File:img-045-062.png|mini|400px]]
Planung eines organisationsspezifischen BCMS
Planung eines organisationsspezifischen BCMS
Zeile 206: Zeile 190:


; Aufgabenbereiche
; Aufgabenbereiche
grenzen
* Planung und Umsetzung  
umfassende
* Überwachung  
Aufgabenbereiche zur
* kontinuierlichen Verbesserung  
Planung und  
Umsetzung  
sowie zur Überwachung  
und zur kontinuierlichen Verbesserung  
des BCMS voneinander ab


; Aufgabenbereiche
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert  
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert und könnte daher als Basis für die Erstellung eines Projektplans für das BCMS optimal genutzt werden
* Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden<br clear=all>


== Eskalationsstufen ==
== Eskalation ==
; BSI-Standard 200-4 beschreibt
; BSI-Standard 200-4 beschreibt
Interne Eskalation
Interne Eskalation
Zeile 224: Zeile 203:


Extern Eskalation
Extern Eskalation
* bei Zwischenfällen
* die bei jeder Organisation individuell voneinander abgegrenzt werden müssen


[[File:eskalation.png|800px]]
[[File:eskalation.png|800px]]


== Katastrophenszenarien ==
=== Szenarien ===
; Art von Ereignissen (Incidents)
; Art von Ereignissen (Incidents)
* IT/System-Ausfall
* IT/System-Ausfall
Zeile 238: Zeile 213:
* Ausfall von Lieferanten/Partnern
* Ausfall von Lieferanten/Partnern


; Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophen[[Szenario-Technik|szenario]] reagieren
; Notfallszenario
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
Je nach Ereignis wird das Unternehmen mit einem spezifischen [[Szenario-Technik|Notfallszenario]] reagieren
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
* Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
* Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.
* Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
* Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen


== Business Impact Analyse ==
== Business Impact Analyse ==
[[File:bia.png|600px]]
[[File:bia.png|mini|450px]]
* Umfassender pragmatischer Ansatz
* Prozessen mit hohem Schadenspotential
* Ausführliche Vorbereitung
* Zugrundeliegende Ressourcen
* Abhängigkeiten zwischen Prozessen
* Auswirkungen von Ausfällen
* Wiederanlaufpläne
 
Grundlage für eine Sicherheitsstrategie
* Zusammen mit Risikoanalysen
* Notfällen und Krisen


== Dokumentation ==
== Dokumentation ==
[[File:img-083-128.png|mini|500px]]
[[File:img-083-128.png|mini|400px]]
 
=== Referenzdokumente ===
; Präventiv
Dokumente zur Vorsorge
* Anforderungen an das BCMS
* Elemente des BCMS
* Teil der Notfallvorsorge


; Referenzdokumente
Beispiele
Präventiv
* Leitlinie zum Business Continuity Management
* Leitlinie zum Business Continuity Management
* Notfallvorsorgekonzept
* Notfallvorsorgekonzept
Zeile 259: Zeile 248:
* Hilfsmittel
* Hilfsmittel


Reaktiv
; Reaktiv
* Notfallhandbuch
 
; Dokumentenstruktur
Dokumente zur Vorsorge
* beschreiben die Anforderungen an das BCMS und sind Elemente des BCMS sowie Teil der Notfallvorsorge
 
Dokumente zur Reaktion
Dokumente zur Reaktion
* werden für die Notfallbewältigung erstellt und genutzt
* Notfallbewältigung


Hinsichtlich der Dokumentenstruktur und der Bezeichnungen der Dokumente, wie beispielsweise „Notfallhandbuch“ oder „Notfallvorsorgekonzept“, sowie den erwähnten Dokumentenarten ist der BSI-Standard 200-4 nicht bindend und kann organisationsspezifisch angepasst werden
Beispiel
* Notfallhandbuch


== Übungen und Tests ==
== Tests und Übungen ==
; Übungen und Tests nehmen in BSI-Standard 200-4 einen hohen Stellenwert ein
Tests und Übungen sind im Business Continuity Management besonders wichtig
* Hohen Stellenwert in BSI-Standard 200-4


* Ein spezifisches Kriterium für die Planung von Übungen und Tests
; Planung von Übungen und Tests
* soll insbesondere die Einbeziehung von besonderen Widrigkeiten im Geschäftsbetrieb darstellen
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
* Wichtiges Kriterium für die Planung von Übungen und Tests


Der ISB und der Business Continuity Beauftragte sollten die Organisation dabei unterstützen einen umfassenden Übungsplan zu erstellen und dabei Verfahren zu mindestens folgenden Übungsarten konzipieren
; ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
* Verfahren zu mindestens folgenden Übungsarten ausarbeiten


; Übungsarten
; Übungsarten
{| class="wikitable sortable options"
{| class="wikitable options"
|-
|-
! Übung !! Beschreibung
! Übung !! Beschreibung
|-
|-
| Planbesprechung || Schreibtischtest
| Planbesprechung ||  
|-
|-
| Stabsübung ||  
| Stabsübung ||  
Zeile 290: Zeile 278:
| Stabsrahmenübung ||  
| Stabsrahmenübung ||  
|-
|-
| Alarmierungsübung ||  
| Alarmierungsübung ||
|-
|-
| Funktionstest ||  
| Funktionstest ||
|}
|}


Zeile 306: Zeile 294:
BCMS und ISMS
BCMS und ISMS


; Weitere Managementsysteme
[[IT-Grundschutz]]
* Strukturanalyse
* Schutzbedarfsfeststellung
* Modellierung
 
Weitere Managementsysteme
* [[Datenschutzmanagement]]
* [[Datenschutzmanagement]]
* [[IT-Service-Continuity-Management]]
* [[IT-Service-Continuity-Management]]
Zeile 312: Zeile 305:
* ...
* ...


Beim [[IT-Grundschutz]] bei
 
* Strukturanalyse
* Schutzbedarfsfeststellung
* Modellierung


=== Baustein DER.4 Notfallmanagement ===
=== Baustein DER.4 Notfallmanagement ===
Zeile 322: Zeile 312:
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
{{Special:PrefixIndex/BCM}}
 
==== Links ====
==== Links ====
===== Weblinks =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement
# [https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement Wikipedia]
# [http://www.iso.org/iso/catalogue_detail?csnumber=50038 Link zur ISO-Norm 22301:2012 "Societal security - Business continuity management systems - Requirements" (englisch, zurückgezogen, ersetzt durch die ISO 22301:2019)]
# [https://www.iso.org/standard/75106.html Link zur ISO-Norm 22301:2019 "Security and resilience — Business continuity management systems — Requirements" (englisch)]
# [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Standard04/ITGStandard04_node.html Bundesamt für Sicherheit in der Informationstechnik – Standard 100-4 Notfallmanagement]
# [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html BSI-Standard 200-4 Business Continuity Management - Community Draft]
# {{Webarchiv | url=https://www-304.ibm.com/software/brandcatalog/ismlibrary/details?catalog.label=1TW10BC01 | wayback=20160201031027 | text=Fallstudie zu Tivoli Business Continuity Process Manager Tool}}
# [http://www.compliance-net.de/tags/bcm Compliance-Seite mit nützlichen Informationen zu BCM]
# [http://www.bcm-tools.com/ Marktübersicht BCM-Tools]
# [https://www.bcm-news.de BCM-News]


</noinclude>
<noinclude>


[[Kategorie:Business Continuity Management]]
[[Kategorie:Business Continuity Management]]
</noinclude>

Aktuelle Version vom 16. Mai 2024, 18:54 Uhr

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

Sicherstellung des Fortbestands von Einrichtungen

  • Fokus auf Risiken mit hohem Schadensausmaß

Strategien, Plänen und Handlungen

Prozesse ermitteln

  • deren Unterbrechung
  • ernsthafte Schäden oder vernichtende Verluste verursachen
  • etwa Betriebsstörungen

Schützen und alternative Abläufe ermöglichen

BSI-Standard 200-4

Business Continuity Management - BCM - 14. Juni 2023
  • BSI-Standard 100-4 (Notfallmanagement) - 2008
Etablierung eines Business Continuity Management

ISMS nach BSI IT-Grundschutz

  • Grundlage zur Nutzung von Synergieeffekten
  • Auf bereits dokumentierte Informationen zurückgreifen

Business Impact Analyse

  • Zeitkritischen Geschäftsprozesse und Abhängigkeiten
  • Parameter für Normal- und Notbetrieb

Risikoanalyse

Hinweise
  • Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
  • Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
  • siehe auch DER.4 Notfallmanagement
ISO 22301

Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Sicherstellung des Fortbestands einer Einrichtung

Betriebskontinuitätsmanagement
  • Managementmethode
  • Lebenszyklus-Modells
  • Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
  • Enge Verwandtschaft mit dem Risikomanagement
Good Practice Guide

Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.

  • Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.

  • Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.
Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Primär Fragen
  • Welche Prozesse müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
Prioritäten und Ressourcen
  • Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
  • Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung

Business Continuity Management
Aufbau und Betrieb eines Notfall- und Krisenmanagements

Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen

Dadurch soll erreicht werden, dass

  • wichtige Geschäftsprozesse selbst in
    • kritischen Situationen und
    • in Notfällen
    • nicht oder
    • nur temporär
    • unterbrochen werden und
    • die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
Ziel
  • Generierung und Proklamation von Prozessdefinitionen und Dokumentation
  • Betriebsbereiter dokumentierter Notfallvorsorgeplan
  • Exakt auf die Organisation abgestimmt
  • Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen
  • technisch
  • nicht-technisch
Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken
  • frühzeitig erkennen
  • Maßnahmen dagegen etablieren
  • Überleben der Einrichtung sichern
  • Organisationen beliebiger Art, Größe und Branche
Synergieeffekte
  • Zahlreiche Synergieeffekte zum IT-Grundschutz
  • Ressourcen schonen
  • Zusammenhänge und Wechselwirkungen berücksichtigen

Notfallmanagement vs. Business Continuity Management

Notfallmanagement
  • Schäden vermeiden und eindämmen
  • Notfälle verhindern und bewältigen
Klassisches Notfallmanagement
  • Brandschutz
  • Arbeits- und Unfallschutz
  • ...
Business Continuity Management
  • Wiederanlauf des Geschäftsbetriebs
  • Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen
  • Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
  • Auf Schadensereignisse angemessen reagieren
  • Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

  • systematische, geplante und organisierte Vorgehensweise
  • das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
BCMS ist kein Bestandteil eines ISMS
  • Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Rollen und Verantwortungsbereiche

Allgemeine Aufbauorganisation (AAO)

  • Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation (BAO)

  • Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren


Stufenmodell für Vorgehensweisen

Option Beschreibung
Reaktiv Schnelle Fähigkeit zur Notfallbewältigung
Aufbau Schrittweiser, ressourcenschonender Aufbau
Standard Vollständige Absicherung, Resilienz der Institution

Reaktiv

Schnelle Fähigkeit zur Notfallbewältigung
Basis-Niveau
  • Spart Ressourcen
  • Wenn keine „Notfälle“ eintreten würden
  • Lücken in der Absicherung
  • Nicht alle Bereiche werden betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau
  • Kann für einen kleineren Teil des Scope gezielt eingesetzt
  • Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution
  • Konformität ISO-22301
  • Möglichkeit zur Zertifizierung nach ISO 22301
  • Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Organisationsspezifisches BCMS

Planung eines organisationsspezifischen BCMS

Vorgehensweisen
  • Reaktiv
  • Aufbau
  • Standard
Aufgabenbereiche
  • Planung und Umsetzung
  • Überwachung
  • kontinuierlichen Verbesserung

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert

  • Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden

Eskalation

BSI-Standard 200-4 beschreibt

Interne Eskalation

  • Drei Stufen

Extern Eskalation

Szenarien

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Notfallszenario

Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren

  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen

Business Impact Analyse

  • Prozessen mit hohem Schadenspotential
  • Zugrundeliegende Ressourcen
  • Abhängigkeiten zwischen Prozessen
  • Auswirkungen von Ausfällen
  • Wiederanlaufpläne

Grundlage für eine Sicherheitsstrategie

  • Zusammen mit Risikoanalysen
  • Notfällen und Krisen

Dokumentation

Referenzdokumente

Präventiv

Dokumente zur Vorsorge

  • Anforderungen an das BCMS
  • Elemente des BCMS
  • Teil der Notfallvorsorge

Beispiele

  • Leitlinie zum Business Continuity Management
  • Notfallvorsorgekonzept
  • Prozessbeschreibungen und Anweisungen
  • Hilfsmittel
Reaktiv

Dokumente zur Reaktion

  • Notfallbewältigung

Beispiel

  • Notfallhandbuch

Tests und Übungen

Tests und Übungen sind im Business Continuity Management besonders wichtig

  • Hohen Stellenwert in BSI-Standard 200-4
Planung von Übungen und Tests

Besondere Widrigkeiten im eigenen Geschäftsbetrieb

  • Wichtiges Kriterium für die Planung von Übungen und Tests
ISB und Business Continuity Beauftragte

Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen

  • Verfahren zu mindestens folgenden Übungsarten ausarbeiten
Übungsarten
Übung Beschreibung
Planbesprechung
Stabsübung
Stabsrahmenübung
Alarmierungsübung
Funktionstest

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation
  • zwischen der IT, dem ISB und dem Business Continuity Beauftragten
  • könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“
Synergien

BCMS und ISMS

IT-Grundschutz

  • Strukturanalyse
  • Schutzbedarfsfeststellung
  • Modellierung

Weitere Managementsysteme


Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement

Anhang

Siehe auch

Links

Weblinks
  1. Wikipedia
Abgerufen von „https://wiki.foxtom.de/index.php?title=Business_Continuity_Management&oldid=100731