BUSINESS CONTINUITY MANAGEMENT (BCM)

Mit einem BCM – Business Continuity Management wird die Fähigkeit implementiert das die Organisation selbst in Krisenzeiten oder bei Notfällen die Geschäftstätigkeit, demzufolge auch möglicherweise in geringerem Umfang aufrecht erhält.

Ein Notfall ist in Anlehnung an den BSI-Standard 100-4  ein Schadensereignis definiert, durch das der Geschäftsbetrieb der Organisation stark beeinträchtigt ist und das nur im Rahmen einer gesonderten Notfallorganisation bewältigt werden kann. Folglich ist das Ziel des implementierten Notfallmanagements, die Auswirkungen eines Notfallereignisses unter Beachtung der Wirtschaftlichkeit und weiteren Rahmenbedingungen zu begrenzen.

BUSINESS IMPACT ANALYSE

Um die wesentlichen Geschäftsprozesse der Organisation für das Business Continuity Management zu bewerten, steht vor allem die Business Impact Analyse. Dies bedeutet, alle Geschäftsprozesse werden analysiert und zusätzlich wird ein Gesamtüberblick erzeugt von sämtlichen Schnittstellen und Abhängigkeiten. Das Ergebnis der Analyse soll folglich ergeben, welche Geschäftsprozesse unternehmenskritisch sind. Diese unternehmenskritischen Prozessen werden bewertet, wie lange diese maximal ausfallen dürfen.

Für diesen Zweck sind zwei Kenngrößen wesentlich RTO und RPO.

RPO (Recovery Point Objective) 

Ist im Fall einer Katastrophe, die Datenmenge die verloren geht. RTO (Recovery Time Objective) dagegen konzentriert auf die Wiederherstellungszeit der relevanten Systeme und Anwendungen die bei einer Katastrophe wiederhergestellt werden müssen. 

Beide Kenngrößen werden in Minuten, Stunden oder Tagen gemessen.

NOTFALLVORSORGEN

Alle konzeptionellen und operativen Maßnahmen der Notfallplanung müssen in den relevante Notfalldokumentation initial beschrieben und durch das Management freigegeben werden.

Kurz gesagt, beim Eintreten eines Notfallereignisses oder bei der Eskalation aus einer eingetretenen Störung in den Notfall, tritt die Notfallablauforganisation in Kraft. Darauf wendet die in der Notfallvorsorge definierten Maßnahmen an und trifft ggf. ad hoc weitere Maßnahmen. Das heißt der Beschluss der Notfallablauforganisation kehrt in den Normalbetrieb zurück.

NOTFALLBEWÄLTIGUNG

Der Notfall- und K-Fall Bewältigung wird von vorher definierten und geschulten Personal durchgeführt. Demgemäß werden Sofortmaßnahmen im Notfall unverzüglich umgesetzt z. B. Rettung von Leib und Leben, Alarmierung von benannten Personen etc..

Während der Durchführung der Sofortmaßnahmen ist zur Planung der weiteren Aktivitäten eine Einschätzung der Lage erforderlich. Ein vorher erstellter Fragenkatalog erleichtert die Konkretisierung des Sachverhalts. Diese entsprechende Priorisierung von Notfallmaßnahmen kann nur mit einem klaren Lagebild vorgenommen werden.

NOTFALLTESTS

Ziel dieser Aktivität ist die Sicherstellung der Effektivität, Aktualität und Qualität der Notfallpläne durch regelmäßige Übungen und Tests, ohne das eine Gefährdung des Geschäftsbetriebs in Kauf genommen würde. Die Dauer und Häufigkeit der Tests sollte jährlich nicht überschreiten.

Diese gliedern sich in:

§ Plausibilitäts- /Schreibtischtests

§ Szenario Tests

§ Technische Tests

§ Benutzerübungen

§ Hochverfügbarkeitstest

Die Wirksamkeit der Tests ist entsprechend zu Dokumentieren und bei Abweichungen sind wiederum Maßnahmen zu definieren.

ANFORDERUNGEN AN DAS NOTFALLMANAGEMENT AUS DER REGULATORIK

Das Notfallmanagement und dessen Strategie, Verfahren und Richtlinien sollen weiterhin die Voraussetzungen schaffen, um den Mindestanforderungen an das Notfall- und Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und anderen einschlägigen Vorgaben im Hinblick auf die Notfallvorsorge zu genügen. Dies sind im Besonderen die Anforderungen gemäß:

§  MaRisk AT 7.2 – Technisch-Organisatorische Ausstattung

§  MaRisk  AT 7.3 – Notfallkonzept

§  MaRisk  BTR 4 – Operationelle Risiken

ISO/IEC 27001:2013 Richtlinie

§  Annex A.8.1.3 – Acceptable use of assets (Responsibility for assets)

§  Annex A.8.2.3 – Handling of assets (Information classification)

§  Annex A.17.1.1 – Planning information security continuity (Information security continuity)

§  Annex A.17.1.2 – Implementing information security continuity (Information security continuity)

§  Annex A.17.1.3 – Verify, review and evaluate information security continuity (Information security continuity)

§  Annex A.17.2.1 – Availability of information processing facilities (Redundancies)

Security Awareness

BCM ist die beste Versicherung einer Organisation, dass der Geschäftsbetrieb aufrecht erhalten werden kann ob bei einem Cyberangriff, Brand oder einer anderen Katastrophe. Deshalb schult das BCM gezielt das Risikobewusstsein in einer Organisation bei allen Mitarbeitern. Folgerichtig wenn Notfallpläne allen Mitarbeitern näher gebracht werden und auch die Übungen regelmäßig durchführt werden, wird die Widerstandsfähigkeit der Organisation allgemein erhöht.

Standhaft selbst in Krisenzeiten

Noch Fragen?

Bei Fragen oder Anliegen zu diesem Thema schreiben Sie gerne eine Mail an SecurityServices@group24.de

Beginne damit, deinen Suchbegriff oben einzugeben und drücke Enter für die Suche. Drücke ESC, um abzubrechen.