03913 Einführung und Betrieb eines BCMS nach BSI-Standard 200-4
|
Mit der Veröffentlichung des Business-Continuity-Management-Standards 200-4 hat das BSI einen umfassend überarbeiteten Nachfolger des vorherigen BSI-Standards 100-4 präsentiert. Dieser detaillierte Leitfaden bietet Unternehmen und Behörden praxisnahe Schritte zur Umsetzung eines Business Continuity Management Systems (BCMS). Dank der hohen Detailgenauigkeit können die beschriebenen Maßnahmen auf individuelle Gegebenheiten übertragen werden.
Mit über 300 Seiten stellt der Standard eine reichhaltige Ressource dar, die jedoch durch ihren Umfang die Abstraktion und Anwendung erschweren kann. Der Beitrag bietet eine klare Zusammenfassung und Abstraktion der wesentlichen Inhalte. Er beleuchtet die Prozessschritte nicht nur für die Einführung eines BCMS, sondern auch für dessen kontinuierliche Verbesserung und Aufrechterhaltung. So bietet er eine gute Grundlage für alle, die eine effiziente und nachhaltige BCMS-Strategie suchen. Arbeitshilfen: von: |
1 Fachbegriffe und Abkürzungen
Für das weitere Verständnis des Beitrags finden Sie im Anhang 1 eine Liste der genutzten Abkürzungen. Zentrale Begriffe werden im Folgenden knapp erläutert.
Kritischer Prozess
Der Kritische Prozess wird gleichbedeutend mit zeitkritischem Prozess verwendet: Prozess, dessen Ausfall bereits nach kurzer Zeit zu inakzeptablen Schäden führt.
Der Kritische Prozess wird gleichbedeutend mit zeitkritischem Prozess verwendet: Prozess, dessen Ausfall bereits nach kurzer Zeit zu inakzeptablen Schäden führt.
Zeitkritischer Prozess
Gleichbedeutend mit kritischem Prozess.
Gleichbedeutend mit kritischem Prozess.
Schadenskategorien
Schadenskategorien werden i. d. R. in drei bis fünf Stufen zur Einteilung von Schäden entsprechend ihrem Ausmaß verwendet, z. B.:
Schadenskategorien werden i. d. R. in drei bis fünf Stufen zur Einteilung von Schäden entsprechend ihrem Ausmaß verwendet, z. B.:
| • | „gering”, „mittel”, hoch” „sehr hoch” |
Schutzbedarfskategorien
Analog finden sich z. B. die Schutzbedarfskategorien:
Analog finden sich z. B. die Schutzbedarfskategorien:
| • | „mittel”, „hoch”, sehr hoch” |
Risikokategorien
Als Risikokategorien bieten sich z. B. an:
Als Risikokategorien bieten sich z. B. an:
| • | „gering”, mittel”, hoch”, „sehr hoch” |
Schadensszenarien
Schadensszenarien definieren bestimmte Szenarien potenzieller Schäden. Typische Szenarien sind:
Schadensszenarien definieren bestimmte Szenarien potenzieller Schäden. Typische Szenarien sind:
| • | „Verstoß gegen Gesetze”, „finanzielle Auswirkungen”, „Reputationsschaden”, „Beeinträchtigung der persönlichen Unversehrtheit”, „Beeinträchtigung der Aufgabenerfüllung”. |
Diese Szenarien werden pro Schadenskategorie noch näher spezifiziert.
Oftmals nicht unterschieden, aber von entscheidender Bedeutung ist die Differenzierung von Wiederanlauf und Wiederherstellung:
Wiederherstellung
Die Wiederherstellung zielt darauf ab, die ausgefallenen Ressourcen (z. B. IT-Systeme, Informationen, Gebäude) wieder vollständig auf den Normalzustand zurückzuführen.
Die Wiederherstellung zielt darauf ab, die ausgefallenen Ressourcen (z. B. IT-Systeme, Informationen, Gebäude) wieder vollständig auf den Normalzustand zurückzuführen.
Wiederanlauf
Der Wiederanlauf zielt hingegen auf die kurzfristigere und eingeschränkte Bereitstellung eines Notbetriebs ab, bei der die wichtigsten Prozesse und Ressourcen zumindest auf einem Notbetriebsniveau laufen. Dies geschieht i. d. R. auf der Basis von Ausweichlösungen (z. B. Ausweichrechenzentren, Ausweichlokationen).
Der Wiederanlauf zielt hingegen auf die kurzfristigere und eingeschränkte Bereitstellung eines Notbetriebs ab, bei der die wichtigsten Prozesse und Ressourcen zumindest auf einem Notbetriebsniveau laufen. Dies geschieht i. d. R. auf der Basis von Ausweichlösungen (z. B. Ausweichrechenzentren, Ausweichlokationen).
Schadensereignisse
Durch eine Alarmierung werden Automatismen ausgelöst, vergleichbar mit der Sirene bei einem Feueralarm. Ähnliche Automatismen sind auch in der betrieblichen Notfallbewältigung erforderlich. Daher sind eindeutige Begriffsdefinitionen zwingend, insbesondere was die Schadensereignisse betreffen. Wir unterscheiden folgende Ausprägungen von Schadensereignissen:
Durch eine Alarmierung werden Automatismen ausgelöst, vergleichbar mit der Sirene bei einem Feueralarm. Ähnliche Automatismen sind auch in der betrieblichen Notfallbewältigung erforderlich. Daher sind eindeutige Begriffsdefinitionen zwingend, insbesondere was die Schadensereignisse betreffen. Wir unterscheiden folgende Ausprägungen von Schadensereignissen:
Störung
Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen oder funktionieren, aber die in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben werden können. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Incident Managements zurückgegriffen
Eine Störung ist eine Situation, in der Prozesse oder Ressourcen nicht wie vorgesehen zur Verfügung stehen oder funktionieren, aber die in der Regel innerhalb des Normalbetriebs durch die Allgemeine Aufbauorganisation (AAO) der Institution behoben werden können. Hierzu wird auf vorhandene Prozesse zur Störungsbeseitigung oder des Incident Managements zurückgegriffen
Notfall
Einen Notfall kennzeichnet Unterbrechungen mindestens eines zeitkritischen Geschäftsprozesses, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine Besondere Aufbauorganisation (BAO) benötigt. Im Gegensatz zur Krise ist ein Notfall ein Schadensereignis, für dessen Bewältigung entweder geeignete Pläne vorliegen oder bestehende Pläne adaptiert werden können.
Einen Notfall kennzeichnet Unterbrechungen mindestens eines zeitkritischen Geschäftsprozesses, der nicht im Normalbetrieb innerhalb der maximal tolerierbaren Ausfallzeit wiederhergestellt werden kann. Im Gegensatz zu Störungen wird zur Bewältigung von Notfällen eine Besondere Aufbauorganisation (BAO) benötigt. Im Gegensatz zur Krise ist ein Notfall ein Schadensereignis, für dessen Bewältigung entweder geeignete Pläne vorliegen oder bestehende Pläne adaptiert werden können.
Krise
Eine Krise ist ein Schadensereignis, das sich in massiver Weise negativ auf eine Institution auswirkt und dessen Auswirkungen nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor oder die vorhandenen Notfallpläne sind nicht oder nicht ausreichend geeignet.
Eine Krise ist ein Schadensereignis, das sich in massiver Weise negativ auf eine Institution auswirkt und dessen Auswirkungen nicht im Normalbetrieb bewältigt werden können. Im Gegensatz zu einem Notfall liegen zur Bewältigung einer Krise jedoch keine spezifischen Notfallpläne vor oder die vorhandenen Notfallpläne sind nicht oder nicht ausreichend geeignet.
Der BSI-Standard 200-4 [1] für Business Continuity Management (BCM) fokussiert im weitaus überwiegenden Teil das Schadensereignis „Notfall”. Zur Behandlung von „Störungen” und „Krisen” werden die Schnittstellen behandelt. Eine Störung kann zu einem Notfall und dieser zu einer Krise eskalieren. Die Zusammenhänge zwischen den einzelnen Schadensereignissen lässt sich in Abbildung 1 nachvollziehen.
2 BCM-Prozess und Stufenmodell
Der Standard 200-4 beschreibt alle zur Implementierung sowie zur Aufrechterhaltung und Verbesserung notwendigen Aktivitäten. Diese lassen sich dem Plan-Do-Check-Act-Phasenmodell (Deming-Kreis) zuordnen und können damit zur Modellierung der unternehmenseigenen Prozessbeschreibungen für das Business Continuity Management Systems (BCMS) verwendet werden.
Einstiegsvarianten BCMS
Ebenfalls bedeutsam im Standard 200-4 ist die Einführung von zwei zusätzlichen, alternativen Einstiegsvarianten: dem sog. Reaktiv- und dem Aufbau-BCMS. Wie bereits aus dem ISMS-Standard 200-2 [2] des BSI bekannt, ermöglichen diese zwei zusätzlichen Vorgehensweisen einen behutsamen, ressourcenschonenderen Einstieg in das entsprechende Managementsystem.
Ebenfalls bedeutsam im Standard 200-4 ist die Einführung von zwei zusätzlichen, alternativen Einstiegsvarianten: dem sog. Reaktiv- und dem Aufbau-BCMS. Wie bereits aus dem ISMS-Standard 200-2 [2] des BSI bekannt, ermöglichen diese zwei zusätzlichen Vorgehensweisen einen behutsamen, ressourcenschonenderen Einstieg in das entsprechende Managementsystem.
2.1 Änderungen von BSI 100-4 auf 200-4
Wesentliche Neuerungen
Im Folgenden werden in der Tabelle 1 die wesentlichen Veränderungen gegenüber dem vorhergehenden BSI-Standard 100-4 [3] und dabei deren Relevanz aufgeführt, einerseits für diejenigen Anwender, die ein BCMS einführen wollen (Spalte „neue Anwender”) und andererseits für diejenigen Anwender, die sich bereits an dem Standard 100-4 orientiert haben und ihr BCMS in den neuen Standard migrieren wollen (Spalte „bestehende Anwender”):
Im Folgenden werden in der Tabelle 1 die wesentlichen Veränderungen gegenüber dem vorhergehenden BSI-Standard 100-4 [3] und dabei deren Relevanz aufgeführt, einerseits für diejenigen Anwender, die ein BCMS einführen wollen (Spalte „neue Anwender”) und andererseits für diejenigen Anwender, die sich bereits an dem Standard 100-4 orientiert haben und ihr BCMS in den neuen Standard migrieren wollen (Spalte „bestehende Anwender”):
Tabelle 1: Wesentliche Veränderungen gegenüber 100-4
Veränderung | Relevant für neue Anwender | Relevant für bestehende Anwender |
|---|---|---|
Einführung eines Stufenmodells | X | |
Vereinfachung der BIA | X | X |
Einführung eines Soll-Ist-Vergleichs | X | X |
Einführung eines BIA-Vorfilters | X | |
Anpassung der Methodik zur Risikoanalyse | X | X |
Wiederherstellungspläne als Teil des Notfallhandbuchs | X | X |
Höherer Detaillierungsgrad hinsichtlich Konzeption, Tests & Übungen, Aufrechterhaltung & Verbesserung, Outsourcing | X | X |
Bereitstellung umfangreicher Hilfsmittel | X | X |
2.2 Komponenten eines BCMS
Allgemeine Elemente
Der Standard beschreibt zunächst allgemein die Elemente eines Managementsystems für Business Continuity. Demnach besteht ein BCMS aus folgenden Komponenten, die ineinandergreifen und aufeinander abgestimmt sind (s. Tabelle 2).
Der Standard beschreibt zunächst allgemein die Elemente eines Managementsystems für Business Continuity. Demnach besteht ein BCMS aus folgenden Komponenten, die ineinandergreifen und aufeinander abgestimmt sind (s. Tabelle 2).
Tabelle 2: Elemente eines BCMS
Komponente | Inhalt |
|---|---|
BCM-Organisation | Für die Notfallvorsorge (im Rahmen der AAO) als auch für die Notfallbewältigung (im Rahmen der BAO) sind Rollen und Verantwortliche zu benennen. Dabei ist zu beachten, dass jeweils die strategische, die taktische und die operative Ebene mit Rollen und Verantwortlichen abgedeckt werden. |
BCM-Methoden | Ein BCMS erfordert Methoden, um die Auswirkungen und Ursachen von Notfällen zu analysieren. Hierbei kommen die Business Impact Analyse und die Risikoanalyse als Methoden zur Anwendung, die entsprechend auf die eigene Institution angepasst werden müssen. Des Weiteren sind Methoden zu definieren, um Strategien und Pläne für die Notfallvorsorge zu entwerfen. |
BCM-Prozess | Der BCM-Prozess ist das Rückgrat, oder besser: der Motor des BCMS. Darin werden die Prozessaktivitäten definiert, die das BCMS aufbauen, betreiben und kontinuierlich weiterentwickeln. Die Prozessaktivitäten folgen der Systematik des PDCA-Zyklus. Die Abbildung 2 enthält ein Prozessmodell. |
BCM-Ressourcen | Bereits frühzeitig im Rahmen der Initiierung des BCMS, aber auch fortwährend sind in angemessener Weise zeitliche, finanzielle und personelle Ressourcen von der Obersten Leitung für das BCMS bereitzustellen. Bestenfalls basiert die Ressourcenbereitstellung auf einer nachvollziehbaren Bedarfsplanung und wird einer laufenden Angemessenheits-/Erfolgskontrolle unterzogen. |
BCM-Dokumentation | Es sind Dokumente für die Notfallvorsorge, für die Notfallbewältigung mithin für den gesamten BCMS-Prozess zu erstellen und verbindlich zu lenken. Dazu gehören u. a.: Leitlinien und Vorgaben, Prozess- und Kontrollbeschreibungen, Protokolle und Nachweise, Maßnahmenpläne, Notfallpläne. |
Schnittstellen | Sauber definierte Schnittstellen stellen sicher, dass Reibungsverluste minimiert und Synergieeffekte gehoben werden können. Die wesentlichen Schnittstellen des BCMS existieren zum ISMS, zum ITSCM, zum Krisenmanagement und zum Providermanagement. |
Der BCMS-Prozess
Der Standard 200-4 liefert eine konkrete, sehr detaillierte Beschreibung einer Vorgehensweise für die Einführung eines BCMS. Diese Vorgehensweise ist in mehrere Arbeitsschritte unterteilt, die allerdings auch nach Etablierung des BCMS zur Aufrechterhaltung und ständigen Verbesserung des BCMS durchgeführt werden sollten. Beispiele dafür sind:
Der Standard 200-4 liefert eine konkrete, sehr detaillierte Beschreibung einer Vorgehensweise für die Einführung eines BCMS. Diese Vorgehensweise ist in mehrere Arbeitsschritte unterteilt, die allerdings auch nach Etablierung des BCMS zur Aufrechterhaltung und ständigen Verbesserung des BCMS durchgeführt werden sollten. Beispiele dafür sind:
Analyse der Rahmenbedingungen
Die Analyse der Rahmenbedingungen (z. B. gesetzliche und aufsichtsrechtliche Anforderungen) sollte im Rahmen der Konzeption und Planung des BCMS erfolgen. Diese Aktivität sollte darüber hinaus permanent erfolgen, z. B. ereignisgetrieben und/oder stichtagsbezogen.
Die Analyse der Rahmenbedingungen (z. B. gesetzliche und aufsichtsrechtliche Anforderungen) sollte im Rahmen der Konzeption und Planung des BCMS erfolgen. Diese Aktivität sollte darüber hinaus permanent erfolgen, z. B. ereignisgetrieben und/oder stichtagsbezogen.
Befähigung der BAO
Die Befähigung der BAO muss anfangs erfolgen, aber auch stets gewährleistet werden, z. B. bei personellen Veränderungen in der Besetzung der Stäbe.
Die Befähigung der BAO muss anfangs erfolgen, aber auch stets gewährleistet werden, z. B. bei personellen Veränderungen in der Besetzung der Stäbe.