AKADEMIE der DGI AG (Startseite)
DGI AG
AKADEMIE der DGI AG (Startseite)

Business Continuity Management


Kennen Sie Ihre Anforderungen zur gesetzlich geforderten Umsetzung von Notfallmaßnahmen bis hin zum Aufbau eines Business Continuity Management Systems?

Business Continuity Management (BCM) / Notfallmanagement ist ein feststehender Begriff, bei der Behandlung von Sicherheitsvorfällen mit zeitkritischen, existenzbedrohenden Auswirkungen. Zeitkritische Geschäfts- und Produktionsprozesse sind vor dem Eintritt eines möglichen Schadensereignisses zu bewerten und abzusichern (Notfallvorsorge) sowie im Notfall schnellstmöglich wiederherzustellen (Notfallbewältigung), um negative Auswirkungen für Ihre Organisation zu verhindern oder zu minimieren. Die sich stetig verändernde Bedrohungslage durch gezielte Angriffe auf IT- und TK-Infrastrukturen oder IT-gestützte Geschäfts- und Produktionsprozesse kann durch den Aufbau eines BCM zielgerichtet entgegen gewirkt werden.

Die zunehmende Abhängigkeit von der Verfügbarkeit IT-gestützter Geschäfts- und Produktionsprozesseund in der Privatwirtschaft wie auch in der öffentlichen Verwaltung fordert die Sicherstellung eines zeitabhängigen ordnungsgemäßen Geschäftsbetriebs. So gilt es insbesondere die zeitkritischen Geschäfts-und Produktionsprozesse und deren Assets, die Beziehungen und Wechselwirkungen der unterstützenden Anwendungen, IT- und TK-Komponenten sowie deren Risikopotential zu identifizieren.

Gewichtige Bestandteile eines Business Continuity Management Systems (BCMS) gemäß ISO 22301 wie auch gemäß dem BSI IT-Grundschutz-Standard 100-4 sind der Aufbau eines konsistenten Notfallmanagementprozesses sowie die Erstellung eines Notfallhandbuchs und der Aufbau einer Notfallvorsorge- und einer Notfallbewältigungsorganisation. Organisationen können ihr BCMS gemäß der ISO 22301 zertifizieren lassen. Die Sicherstellung eines angemessenen Betriebs Ihres BCMS fordert die konkrete Umsetzung von Maßnahmen im Bereich der Informationssicherheit. Des Weiteren stellt der Betrieb eines BCMS die Aktualität der notwendigen Dokumentationen, wie Notfallpläne und des Notfallhandbuches, ebenso sicher wie die regelmäßige Durchführung von Notfalltests und Notfallübungen mit allen involvierten Stakeholdern. Darüber hinaus ist der Aufbau eines leistungs­fähigen Krisenmanagements zur systematischen Bewältigung von Schadensereignissen notwendig.

Die Pflicht zum Aufbau und zum Betrieb eines BCMS lassen sich aus der gesetzlich vorgeschriebenen Risikofrüherkennung (Fortführung des Geschäftsbetriebes in Krisensituationen und schweren Notfällen sowie Sicherstellung des ordnungsgemäßen Geschäftsbetriebs u. a. gemäß Aktiengesetz (AktG) und GmbH-Gesetz (GmbHG), dem Handelsgesetzbuch (HGB), dem Bilanzrechtsmodernisierungsgesetz (BilMoG), dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und dem Ordnungswidrigkeitengesetz (OWiG) - welche ebenfalls für öffentliche Stellen Anwendung finden) ebenso ableiten wie aus branchenabhängigen Rechtsvorschriften wie die Mindestanforderungen an das Risikomanagement für Kreditinstitute und Versicherungen (MaRisk) oder die Anforderungen für Betreiber kritischer Infrastrukturen (KRITIS) aus dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sog. IT-Sicherheitsgesetz). Weitergehende Anforderungen zur Umsetzung eines BCMS wirken auf Organisationen aus den Anforderungen der Wirtschaftsprüfung oder bankenspezifischen Vorschriften wie KWG oder Basel II/III ein.

Insbesondere der Ausfall von Ressourcen wie Geschäfts- und Produktionsprozessen, Anwendungen oder IT- und TK-Infrastrukturen können sich zu existenzbedrohenden Schadensszenarien, wie hohen Schadensersatzforderungen aus Vertragsbrüchen oder massiven Image- oder Reputationsschäden, aufgrund der Veröffentlichung in den Medien, nachteilig für Ihre Organisation auswirken.

Im produzierenden oder verarbeitenden Bereich sind die monetären Schäden in der Regel unmittelbar zu beziffern, da die Produktion nicht oder nur eingeschränkt ihre Wertschöpfung erbringen kann. Hier sind angemessene Reaktionszeiten, durch die systematische Auseinandersetzung der Risikoeinwirkung durch die Betrachtung von Eintrittswahrscheinlichkeiten und Schadensauswirkungen, wie angemessene Wiederherstellungszeiten vorab zu bestimmen sowie die notwendigen Maßnahmen zu initiieren, umzusetzen und aufrechtzuerhalten (u. a. Erstellung notwendiger Dokumentationen, Schulung der Mitarbeiter, Erlassen von Richtlinien, Durchführung von Notfallübungen, Definition von Prozessen), um das geforderte Wiederanlaufniveau sicherzustellen.

Die Wiederanlaufparameter, wie Wiederherstellungszeit oder Notbetriebszeit, werden systematisch mittels Durchführung einer Business Impact Analyse (BIA) bestimmt. Die Einhaltung der so definierten Zeitparameter sind üblicherweise durch die vertragliche Absicherung von erforderlichen Dienstleistungen, sog. Service Level Agreements (SLA), notwendigen Versorgungsleistungen (Absicherung durch sog. Underpinnig Contracts (UC)) sowie durch die Umsetzung eruierter Maßnahmen der Informationssicherheit sicher zu stellen.

 

> Ausbildung zum Business Continuity Manager


Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.


ITIL® ist eine eingetragene Marke von AXELOS Limited.
Das Swirl logo™ ist eine Marke von AXELOS Limited.

COBIT® ist eine eingetragene Marke von der
Information System Audit and Control Association® (ISACA®)
iso9001

itil-peoplecert