Business Continuity Management Umsetzung

business continuity management, business continuity umsetzung

Dank der Norm ISO 22301:2012 «Societal security – Business continuity management systems – Requirements» können sich Organisationen aller Art ungeachtet ihrer Grösse, ihres Standorts oder ihres Tätigkeitsbereichs besser und mit grösserer Sicherheit auf alle möglichen Betriebsunterbrechungen vorbereiten. Dabei müssen die Inhalte der Normen für Praktiker in die "unternehmerische Praxis und Kultur" umgesetzt werden. Dies erfordert viel praktische Umsetzungserfahrung - was nicht immer ganz einfach ist.

Zu Betriebsstörungen bzw. Zwischenfällen kann es jederzeit kommen. Die Anwendung der Norm ISO 22301 kann Voraussetzungen schaffen, dass auch in einem solchen Fall noch reagiert und der Betrieb aufrechterhalten werden kann. Als Zwischenfälle können sehr unterschiedliche Ereignisse wie schwere Naturkatastrophen oder Cyber- bzw. Terroranschläge, aber auch technisches Versagen oder ökologische Unfälle bezeichnet werden.

 

 

Vorgehen Umsetzung Business Continuity Management / Governance und BCM Kultur

business continuity management, umsetzung, business continuityDie Übersicht "Umsetzung Business Continuity Management" hilft die ISO und BSI Normenwerke und Standards zu verstehen, so dass auch nicht BCM Professionals die Zusammenhänge erkennen und den Projektablauf verstehen können. Die Abbildung bildet im wesentlichen den BCM Lebenszyklus in fünf Schritten ab. Business Continuity Management ist nicht als Projekt mit Start und Endtermin zu verstehen sondern ist ein Thema der Governance, des Risk und Compliance Managements, welche im Sinne der definierten Risikokultur (Risk Management Strategie) als BCM Kultur durch die verantwortlichen Prozess Owner gelebt werden soll.

Das Resilenz-Management und Krisenmanagement / Cyber Krisenmanagement eines Unternehmens sollte sich unbedingt den folgenden beiden Themen widmen:

- Blackout und Strommangellage sowie
- Cyber Angriffe, auf betriebskritische Anlagen, Systeme, Apparate und Netzwerke

Es geht dabei darum, die Business-kritischen Systeme, Anlagen, Apparate, Werkzeuge und Netzwerke zu identifizieren (Risk Asset Management), um auf dieser Basis danach die notwendigen Notfallpläne erarbeiten zu können (Business Continuity Pläne oder "Plan B".

 

 

Service- und Lieferfähigkeit / Business Continuity Management - Sind Sie fit im Umgang mit Krisensituationen?

business continuity, resilienzBevor man überhaupt an das Thema herangeht, sollten existenzgefährdende und unternehmerische Fragen in der Geschäftsführung und dem Verwaltungsrat / Aufsichtsrat angesprochen und den Rahmen im Umgang mit solchen Risiken abgesteckt bzw. definiert werden:

  1. Definition Risk Management Strategie und Risiko-Appetit: Strategische Ausrichtung und anzustrebende BCM Sicherheitskultur
  2. Professionellen und erfahrenen BCM Projekt-Partner suchen und einbinden
  3. Wer trainiert "praktisch" die Führungskrafte im Krisenmanagement (nicht theoretisch!) - Höhere Führungsausbildung

Da die Thematik Umgang mit kritischen Infrastruktursystemen in Unternehnen und Verwaltungen/ Behörden nicht trivial ist, ist es ratsam, erfahrene Experten ins Projektteam einzubinden. 

Unsere hochentwickelte und vernetzte Gesellschaft führt zu Ausfallrisiken, welche den Betreibern und Unternehmern meist nicht bekannt sind. Die Industrialisierung 4.0 und Digitalisierung wird diese Risiken noch treiben. Deshalb ist es sehr ratsam das Thema Business Continuity Management und Resilienz als Top-Disziplin im Unternehmen anzusiedeln und künftig als fortlaufender Prozess zu betreiben.

Glücklicherweise haben sich im Bereich der Business Continuity Management / IT Continuity & Recovery verschiedene Standards entwickelt, bei denen teilweise andere Zielgruppen oder Themenbereiche im Vordergrund stehen. Der Einsatz von Sicherheitsstandards in Unternehmen oder Behörden verbessert nicht nur das Sicherheitsniveau, er erleichtert auch die Abstimmung zwischen verschiedenen Institutionen darüber, welche Sicherheitsmassnahmen in welcher Form umzusetzen sind. Der folgende Überblick im nächsten Abschnitt zeigt die Ausrichtungen der wichtigsten Standards auf.

 

ISO Standards und BSI Standards für Business Continuity Management / IT Service Contingency Management (IT SCM)

ISO 22301
Dieser Standard definiert Anforderungen für die Einrichtung und Steuerung eines BCM-Systems und hilft Ihnen, Ihr Unternehmen auf kritische Prozesse und unerwartete Situationen vorzubereiten, die Kontinuität Ihrer Betriebsabläufe im Notfall zu sichern. In der Konsequenz bedeutet dies Schutz für Ihre Mitarbeiter, die Bewahrung Ihres guten Rufs und die Überlebensfähigkeit Ihres Unternehmens.

ISO 27001
Der ISO-Standard 27001 "Information technology - Security techniques - Information security management systems requirements specification" ist der erste internationale Standard zum Management von Informationssicherheit, der auch eine Zertifizierung ermöglicht.

 

BSI Standards für das IT Service Contingency Management

cyber krisenmanagement, krisenmanagement

In Deutschland ist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein äquivalenter Standard BSI 100-4 als Teil des IT-Grundschutz verfügbar. Eine vergleichbare internationale Norm im Rahmen der ISO Reihe stellt die ISO Norm 22301 dar, sowie einige Ansätze in den bereits existierenden Norm ISO 27001.

 

BSI-Standard 100-1 (Managementsysteme für Informationssicherheit I ISMS)

Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard 27001 und berücksichtigt weiterhin die Empfehlungen der anderen ISO-Standards der ISO 2700x-Familie wie beispielsweise ISO 27002 (früher ISO 17799).


BSI-Standard 100-2 (IT-Grundschutz Vorgehensweise)

Die IT-Grundschutz-Vorgehensweise beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit in der Praxis aufgebaut und betrieben werden kann.


BSI-Standard 100-3 (Risikoanalyse auf der Basis von IT-Grundschutz)

Das BSI hat einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Massnahmen arbeiten und möglichst nahtlos eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.


BSI-Standard 100-4 (Notfallmanagement)

Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem grösseren Schadensereignis zu sichern.

Wer kann Ihnen bei der Erarbeitung oder beim Testen von Business Continuity Management Herausforderungen helfen?
Kontaktieren Sie uns. Gerne besprechen wir mit Ihnen die Möglichkeiten.

Ein Unternehmen ist gerade dann am meisten verwundbar, wenn es sich vorwiegend auf die Lösung von technischen Schwierigkeiten konzentriert und für Ausfälle keinen getesteten Plan B hat.
Eugen Leibundgut, Partner RM Risk Management AG

 

nach oben