Checkliste Notfallmanagement
Das richtige Tool für den neuen BSI-Standard 200-4
Die Einführung eines Business Continuity Management (BCM) ist ein komplexer und zeitaufwendiger Vorgang. Der neue BSI-Standard 200-4 liefert dafür eine detaillierte Anleitung. Wer vorhandene Datenbestände geschickt nutzt und bei der Toolauswahl die richtigen Schwerpunkte setzt, kann damit zügig ein Notfallmanagement etablieren.
Schritt für Schritt zu einem belastbaren Notfallmanagement
Mit dem neuen BSI-Standard 200-4 können Organisationen so einfach wie nie zuvor ein Notfallmanagement aufbauen. Noch reibungsloser läuft es, wenn die verwendete Software vollständig an den neuen Standard angepasst ist und Ihre besonderen Bedürfnisse berücksichtigt
-
Datenübernahme aus einem ISMS
Die in einem ISMS vorhandenen Grundlagendaten sind für die Weiterverwendung im BCM hervorragend geeignet und können durch eine Importschnittstelle oder eine gemeinsame Datenbasis für das BCM bereitgestellt werden. Auch die in einer Risikoanalyse nach BSI-Standard 200-3 erstellten Risiko- und Maßnahmenkataloge sind dafür geeignet. Im besten Fall können Grundschutz- und BCM-Bearbeiter gemeinsam eine fachbereichsübergreifende Bewertung vornehmen.
-
Automatisierte Datenerhebung
Organisationen, die erstmalig eine Datenerhebung zu wichtigen Kernprozessen und dem Ressourcenmanagement durchführen, profitieren von der Bereitstellung vorkonfigurierter Fragebögen. Der Bearbeiter kann diese automatisiert an interne und externe Ansprechpartner versenden und die Ergebnisse nach Überprüfung und den notwendigen Korrekturzyklen direkt in die Datenbank einlesen.
-
Mandantenfähigkeit
Große und komplexe Organisationen benötigen ein Softwaretool mit vorbereitetem Berechtigungs- und Mandantensystem, das eine schnelle Inbetriebnahme mit Steuerung der Zugriffsrechte ermöglicht. Auf dieser Grundlage kann die Arbeitsteilung zwischen BC-Managern und BCM-Koordinatoren gut abgebildet werden.
-
Individuelle Kritikalitätskriterien
Für die Bearbeiter steht die Business Impact Analyse (BIA) im Mittelpunkt. Zur Bewertung der Prozesse werden einzelne Schadensszenarien wie „Finanzielle Auswirkungen“, „Beeinträchtigung der Aufgabenerfüllung“, „Negative Innen-/Außenwirkung“, „Compliance-Verstöße“ und „Persönliche Unversehrtheit“ benötigt. Dabei sollten unbedingt die besonderen Kritikalitätskriterien der Organisation Berücksichtigung finden, z.B. für das Risikoakzeptanzniveau und die Bewertungshorizonte.
-
Zweistufige Vorgehensweise
Mit einer zweistufigen Vorgehensweise lässt sich viel Zeit einsparen, weil nach der ersten Phase der Prozessbewertung nur noch die Ressourcen der zeitkritischen Prozesse zu betrachten sind.
-
Soll-Ist-Vergleich
Beim Soll-Ist-Vergleich werden die selbst gesetzten mit den real erreichbaren Wiederherstellungszielen abgeglichen. Die Ergebnisse der Tests und Übungen sollten in den Soll-Ist-Vergleich zurückfließen, um die behandlungsbedürftigen Ressourcen zu ermitteln.
-
Überwachung und Zertifizierung
In einem KPI-Dashboard können Bearbeiter und Verantwortliche den aktuellen Stand des Managementsystems auf einen Blick erfassen und dringenden Handlungsbedarf erkennen.
-
Zuverlässige Dokumentation
Bei der Erstellung von Berichten kommt es darauf an, diese den prüfenden Behörden aktuell und in einem gut prüfbaren Format bereitstellen zu können. Ein integriertes BCM-Dokumentenmanagement und das verschlüsselte Speichern der PDF-Dokumente in einer Cloud bieten zusätzliche Sicherheit.
-
Pläne für den Notfall
Zur Absicherung eines Notfalls sollten im Business Continuity Management System Geschäftsfortführungspläne, Wiederanlaufpläne und insbesondere IT-Wiederanlauf-Koordinierungspläne bereitstehen, die sowohl die Herstellung eines angemessenen Notbetriebes als auch die Wiederaufnahme des Normalbetriebes regeln.
-
Alarmierung im Krisenfall
Im Falle einer Krise werden Notfallteams oder Krisenstäbe benötigt. Diese werden am besten direkt in der BCM-Software als besondere Aufbauorganisation (BAO) mit Verantwortlichkeiten und Eskalationsketten beschrieben, damit die Alarmierung im Ernstfall automatisiert ablaufen kann.