AKADEMIE der DGI AG (Startseite)
DGI AG
AKADEMIE der DGI AG (Startseite)

Business Continuity Management


Business Continuity Management (BCM) / Notfallmanagement ist ein feststehender Begriff, bei der Behandlung von Sicherheitsvorfällen mit zeitkritischen, existenzbedrohenden Auswirkungen. Zeitkritische Geschäfts- und Produktionsprozesse sind vor dem Eintritt eines möglichen Schadensereignisses zu bewerten und abzusichern (Notfallvorsorge) sowie im Notfall schnellstmöglich wiederherzustellen (Notfallbewältigung), um negative Auswirkungen für Ihre Organisation zu verhindern oder zu minimieren. Die sich stetig verändernde Bedrohungslage durch gezielte Angriffe auf IT- und TK-Infrastrukturen oder IT-gestützte Geschäfts- und Produktionsprozesse kann durch den Aufbau eines BCM zielgerichtet entgegengewirkt werden.

Die zunehmende Abhängigkeit von der Verfügbarkeit IT-gestützter Geschäfts- und Produktionsprozesse in der Privatwirtschaft wie auch in der öffentlichen Verwaltung fordert die Sicherstellung eines zeitabhängigen ordnungsgemäßen Geschäftsbetriebs. So gilt es insbesondere die zeitkritischen Geschäfts- und Produktionsprozesse sowie deren Assets, die Beziehungen und Wechselwirkungen der unterstützenden Anwendungen, IT- und TK-Komponenten sowie deren Risikopotential zu identifizieren.

Gewichtige Bestandteile eines Business Continuity Management Systems (BCMS) gemäß ISO 22301 wie auch gemäß dem BSI IT-Grundschutz-Standard 100-4 sind der Aufbau eines konsistenten Notfallmanagementprozesses sowie die Erstellung eines Notfallhandbuchs und der Aufbau einer Notfallvorsorge- und einer Notfallbewältigungsorganisation. Organisationen können ihr BCMS gemäß der ISO 22301 zertifizieren lassen.

Die Sicherstellung eines angemessenen Betriebs Ihres BCMS fordert die Umsetzung von angemessenen Maßnahmen im Bereich der Informationssicherheit. Des Weiteren stellt ein regelkonformer Betrieb eines BCMS die Aktualität der notwendigen Dokumentationen, wie Notfallkonzept, Notfallvorsorgekonzept und des Notfallhandbuches sowie den Geschäftsfortführungsplänen, Wiederanlauf- und Wiederherstellungsplänen, ebenso sicher wie die regelmäßige Durchführung von Notfalltests und Notfallübungen mit allen involvierten Stakeholdern. Darüber hinaus ist der Aufbau eines leistungs­fähigen Krisenmanagements zur systematischen Bewältigung von Schadensereignissen notwendig.

Die Pflicht zum Aufbau und zum Betrieb eines BCMS lassen sich aus der gesetzlich vorgeschriebenen Risikofrüherkennung (Fortführung des Geschäftsbetriebes in Krisensituationen und schweren Notfällen sowie Sicherstellung des ordnungsgemäßen Geschäftsbetriebs u. a. gemäß Aktiengesetz (AktG) und GmbH-Gesetz (GmbHG), dem Handelsgesetzbuch (HGB), dem Bilanzrechtsmodernisierungsgesetz (BilMoG), dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und dem Ordnungswidrigkeitengesetz (OWiG) - welche ebenfalls für öffentliche Stellen Anwendung finden) ebenso ableiten wie aus branchenabhängigen Rechtsvorschriften wie den Mindestanforderungen an das Risikomanagement für Kreditinstitute und Finanzdienstleistungsinstitute (MaRisk BA) oder die Anforderungen für Betreiber kritischer Infrastrukturen (KRITIS) aus dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (sogenanntes IT-Sicherheitsgesetz). Weitergehende Anforderungen zur Umsetzung eines BCMS wirken auf Organisationen auch aus den Anforderungen der Wirtschaftsprüfung ein.

Insbesondere der Ausfall von Geschäfts- und Produktionsprozessen, Anwendungen oder IT- und TK-Infrastrukturen können sich zu existenzbedrohenden Schadensszenarien, wie hohen Schadensersatzforderungen aus Vertragsverletzungen oder massiven Image- oder Reputationsschäden, aufgrund einer Veröffentlichung in den Medien, nachteilig für Ihre Organisation auswirken.

Im produzierenden oder verarbeitenden Bereich sind die monetären Schäden in der Regel unmittelbar zu beziffern, da die Produktion nicht oder nur eingeschränkt ihre Wertschöpfung erbringen kann. Hier sind angemessene Reaktions-, Wiederanlauf- und Wiederherstellungszeiten, durch eine systematische Auseinandersetzung Betrachtung von Eintrittswahrscheinlichkeiten und Schadensauswirkungen, vorab zu bestimmen, um die Umsetzung der erforderlichen Maßnahmen für einen definierten Regelbetrieb zu initiieren. Um das geforderte Wiederanlaufniveau sicherzustellen sind insbesondere die Erstellung notwendiger Dokumentationen, die Schulung der Mitarbeiter, das Erlassen von Richtlinien und die Durchführung von Notfallübungen wichtige Bestandteile.

Die Wiederanlaufparameter, wie Wiederherstellungs- oder Notbetriebszeit, werden systematisch mittels Durchführung einer Business Impact Analyse (BIA) bestimmt. Die Einhaltung der so definierten Zeitparameter sind üblicherweise durch die vertragliche Absicherung von erforderlichen Dienstleistungen, sogenannten Service Level Agreements (SLA), notwendigen Versorgungsleistungen, sogenannten Underpinning Contracts (UC), sowie durch die Umsetzung eruierter Maßnahmen der Informationssicherheit sicher zu stellen.

 

> Ausbildung zum Business Continuity Manager


Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.


ITIL® ist eine eingetragene Marke von AXELOS Limited.
Das Swirl logo™ ist eine Marke von AXELOS Limited.

COBIT® ist eine eingetragene Marke von der
Information System Audit and Control Association® (ISACA®)