Title:

URL Source: blob://pdf/f5553ee7-885d-4e02-bf59-b2234bea2215

Markdown Content: 2

Prof. Dr. Gael Pentang

[email protected]

Sommersemester 2025 | Seminaristische Lehrveranstaltung

BCSM 402 BCM

KAP. 02: STANDARDS UND RAHMENBEDINGUNGEN FR BCM

BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 3

Kapitel 00: Organisatorisches

Kapitel 01: Grundlagen des Business Continuity Management (BCM)

Kapitel 02: Standards und Rahmenbedingungen fr BCM

Kapitel 03: Rollen und Verantwortlichkeiten im BCM-Prozess

Kapitel 04: Business Impact Analyse: Methoden und Techniken

Kapitel 05: BCM Risikomanagement: Strategien und Umsetzung

Kapitel 06: Betrieb & Leistungsberprfung und Verbesserung

Kapitel 07: Krisenmanagement - Krisenbung

Kapitel 08: Zertifizierung und Auditierung des BCMS

Kapitel 09: IT-Service Continuity Management (ITSCM)

Gliederung

Am Ende sind Sie in der Lage,

Die Bedeutung von Standards fr BCM zu erklren.

Die wichtigsten BCM-Standards und deren Unterschiede zu nennen.

Die Anforderungen des BSI Standards 200-4 und des ISO Standards 22301 zu verstehen.

Den Anwendungsbereich eines BCMS zu definieren und zu erlutern.

Die Vorteile und Herausforderungen bei der Umsetzung von BCM-Standards zu verstehen.

Lernziele 5

Entstehung und Entwicklung von BCM-Standards
Bedeutung und Relevanz von BCM-Standards fr Unternehmen
BSI-Standard 100-4 / 200-4: Struktur und Inhalte
ISO 22301 als internationaler Standard
BCI Good Practive Guidelines: Anwendung und Nutzen
Anwendungsbereich des BCMS

bersicht

Entstehung und Entwicklung von BCM-Standards
Bedeutung und Relevanz von BCM-Standards fr Unternehmen
BSI-Standard 100-4 / 200-4: Struktur und Inhalte
ISO 22301 als internationaler Standard
BCI Good Practive Guidelines: Anwendung und Nutzen
Anwendungsbereich des BCMS

bersicht

2.1 Entstehung und Entwicklung von BCM-Standards

BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Standards und Good Practices fr BCM

Rechtliche Anforderungen Internationale und nationale Standards BCI Good Practice

INTERNATIONAL

STANDARD

ISO

22301 Einbettung

von Geschfts-

kontinuitt 8

2.1 Entstehung und Entwicklung von BCM-Standards

berblick BCM Standards

ISO-Standards 22301 und 22313

Legen fest, welche Anforderungen ein Business Continuity Management System erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen

BSI 100-4 / 200-4

bietet eine systematische Methodik fr die Etablierung eines Notfallmanagements in Unternehmen oder Behrden, um die Geschftskontinuitt zu gewhrleisten 9

2.1 Entstehung und Entwicklung von BCM-Standards

Historische Entwicklung ausgewhlte Krisennaher Standards

1995

NFPA 1600

Standard on

Disaster/Emergency

Management and

Business Continuity

Programs

2006

BS 25999-1

Business continuity

management.

Code of practice

des BSI

2008

ISO/IEC 24762

IT disaster recovery

BS 25777

IT-Continuity

Management

BSI 100-4

Deutscher

BC-Standard

2011

PAS 200

Crisis Management

(informal standard des BSI)

ISO/IEC 27031

IT-Readiness fr

Business Continuity

2019

ISO 22301:2019 2021

BSI 200-4

2002

Good Practice

Guidelines

Business Continuity

Institute

1997

DRII

Disaster Recovery

Institute International:

Professional Practices

2007

BS 25999-2

Business continuity

management .

Specification

ISO/PAS 22399

erster international

anerkannter Standard zum Kontinuitts-management

2010

ASIS/BSI

BCM Standard

Vervollstndigte

BS 25999

2012

ISO 22301

ISO 22313

2020

ISO 22313:2020

2003

PAS 56

(informal standard

des BSI)

Basiert auf BCI

Good Practice

Guidelines 10

2.2 Bedeutung und Relevanz von BCM-Standards fr Unternehmen

Warum sind Standards wichtig?

Die Verwendung von Standards bietet bewhrte Anstze bei der Implementierung von Management-Systemen in Organisationen.

Der Einsatz von Standards ermglicht:

Kostenreduzierung durch Nutzung praxiserprobter Modelle, einheitliche Methoden und klare Ablufe

Angemessenes Sicherheitsniveau - Ausrichtung an aktuellen Technologie- und Wissenschaftsstandards, Vollstndigkeit vom Prozess

Wettbewerbsvorteile - durch Zertifizierung von Unternehmen und Produkten sowie Verbesserung des Unternehmensimages

Compliance-Vorgaben - knnen eingehalten werden um regulatorischer Vorgaben, Marktanforderungen, insbesondere Kundenanforderungen zu erfllen 11

2.3 BSI-Standard 100-4 / 200-4 berblick

BSI-Standard 100-4

BSI-Standard 100-4: IT-Grundschutz-Standard des BSI

Beinhaltet ein Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen

Zu dem BSI-Standard 100-4 existiert ein Umsetzungsrahmenwerk zum Notfallmanagement , das der Untersttzung von Unternehmen bei der Implementierung des BSI 100-4 dient und verschiedene Hilfsmittel beinhaltet

berarbeitung vom BSI-Standard 100-4 Verffentlichung des BSI-Standard 200-4 mit neuen Erkenntnissen aus BCM und Erfahrungen der Corona-Pandemie

Passend fr alle Organisationen , unabhngig von Branche, Art oder Gre

Ermglicht Einfhrung eines Business Continuity Management Systems (BCMS) 12

2.3 BSI-Standard 100-4 / 200-4 berblick

BSI-Standard 100-4

BSI 100-4 Herausgeber

Bundesamt fr Sicherheit und Informationstechnik (BSI)

Inhalte

Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen

Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen

Zertifizierung

Keine Zertifizierung mglich 13

2.3 BSI-Standard 100-4 / 200-4 berarbeitung des BSI-Standard 200-4

Stufenmodell

Das neue Stufenmodell soll Unternehmen mit den vereinfachten Reaktiv-und Aufbau-BCMS die schnellstmgliche Etablierung eines Systems zur Notfallbewltigung ermglichen.

Durch den geringeren Ressourcenbedarf soll auch der Anwenderkreis des BSI 200-4 erweitert werden.

Reaktiv-und Aufbau-BCMS stellen dabei Zwischenschritte auf dem Weg zum vollumfnglichen Standard-BCMS dar.

Standard BCMS

Aufbau BCMS

Reaktiv BCMS

2.3 BSI-Standard 100-4 / 200-4 berblick

BSI-Standard 200-4

BSI 200-4 Herausgeber

Bundesamt fr Sicherheit und Informationstechnik (BSI)

Als Nachfolger vom BSI 100-4 (Notfallmanagement)

Inhalte

Leitfaden fr das Business Continuity Management (BCM) und Anleitungen fr die Umsetzung eines BCM-Systems in Unternehmen und Organisationen

Definitionen und Begriffe, Risikoanalyse und Risikomanagement, BIA, Notfall-und Krisenmanagement, bungen und Tests, Verbesserungsprozess

Zertifizierung

Keine Zertifizierung mglich 17

2.3 BSI-Standard 100-4 / 200-4 Synergien

Gesamtsicherheitsstrategie

Die Nutzung von Synergien fhrt zu einem besseren Austausch und Abgleich von Ergebnissen und verhindert, dass das BCMS als Insellsung betrachtet wird.

ITSCM

Outsourcing

Management

Krisenmanagement

ISMS 18

2.3 BSI-Standard 200-4 Inhalt

Kapitel 1 Einleitung

Allgemeine Informationen ber die Zielsetzung des Standards sowie den Adressatenkreis

Kapitel 2 Einfhrung in das BCM

Einordnung des Standards in die BSI-Standards, Begriffsdefinitionen (Strung, Notfall, Krise, ) sowie Vorstellung weiterer Standards zum Notfallmanagement

Vorstellung und Erluterung des neuen BCMS Stufenmodells (Reaktiv-, Aufbau-, Standard-BCMS)

Kapitel 3 Initiierung des BCMS

Verantwortung der Institutsleitung fr die Initiierung des BCMS und dessen Verankerung in der Organisation

Festlegung der Zielsetzung fr das BCM durch die Institutsleitung

Entscheidung ber den Geltungsbereich des BCMS (Gesamte Organisation, Teilbereiche, Standorte, einzelne Prozesse)

Benennung des BCM-Beauftragten und Definition der BCM-Aufbauorganisation

Bereitstellung angemessener finanzieller, zeitlicher und personellen Ressourcen durch die Geschftsleitung

Konzeption und Planung des BCMS

Schulung und Sensibilisierung der Mitarbeiter 19

2.3 BSI-Standard 200-4 Inhalt

Kapitel 4 Konzeption und Planung des BCMS

Definition und Abgrenzung

Analyse der erweiterten Rahmenbedingungen

Definition der BC-Aufbauorganisation

Dokumentation

Ressourcenplanung

Schulung

Sensibilisierung

Leitlinie BCMS 20

2.3 BSI-Standard 200-4 Inhalt

Kapitel 5 Aufbau und Befhigung der BAO

Aufbau der BAO

Detektion, Alarmierung und Eskalation

Definition von Sofortmanahmen

Festlegung der Grundstze zur Stabsarbeit

Definition der Geschftsordnung des Stabs

Herstellung der Fhigkeit zur Stabsarbeit

Notfall- und Krisen-Kommunikation (NuK-Kommunikation)

Nacharbeiten und Deeskalation

Analyse der Bewltigung 21

2.3 BSI-Standard 200-4 Inhalt

Kapitel 6 Voranalyse

Vorbereitung der Voranalyse

Konkretisierung des Begriffs zeitkritisch

Durchfhrung der Voranalyse

Konsolidierung und Vorstellung der Ergebnisse

Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS 22

2.3 BSI-Standard 200-4 Inhalt

Kapitel 7 Business Impact Analyse

Vorbereitung der BIA

Durchfhrung der BIA

Auswertung

Kapitel 8 Soll-Ist-Vergleich

Identifizierung der Ressourcenzustndigen

Durchfhrung des Soll-Ist-Vergleichs

Auswertung und Freigabe der Ergebnisse 23

2.3 BSI-Standard 200-4 Inhalt

Kapitel 9 BCM-Risikoanalyse

Auswahl einer geeigneten Risikoanalyse-Methode

Vorarbeiten zur Risikoanalyse

Erstellung einer Gefhrdungsbersicht

Risikoeinschtzung

Risikobewertung

Kapitel 10 Business-Continuity-Strategien und Lsungen

Identifikation mglicher BC-Strategien

Bewertung von BC-Strategien

Auswahl der BC-Strategien durch die Institutionsleitung

Umsetzung der BC-Strategien und Lsungen 24

2.3 BSI-Standard 200-4 Inhalt

Kapitel 11 Geschftsfortfhrungsplanung

Vorbereitung der GFPs

Erstellung der GFPs

Qualittssicherung und Freigabe

Kapitel 12 Wiederanlauf- und Wiederherstellungsplanung

Vorbereitung der WAPs

Erstellung der WAPs

Qualittssicherung und Freigabe der WAPs

Wiederherstellungsplanung im Rahmen des BCM

ben und Testen 25

2.3 BSI-Standard 200-4 Inhalt

Kapitel 13 ben und Testen

Rahmenbedingungen zum ben im Reaktiv-BCMS

Festlegung der Rahmenbedingungen zum ben

Erstellung einer Jahresbungsplanung

Vorbereitung und Durchfhrung einer bung

Auswertung und Nachbereitung von bungen

Kapitel 14 Leistungsberprfung und Berichterstattung

berwachung, Messung, Analyse und Bewertung

Bewertung und berwachung von externen Dienstleistern

Interne und externe berprfungen

Managementbewertung 26

2.3 BSI-Standard 200-4 Inhalt

Kapitel 15 Aufrechterhaltung und Verbesserung

Vorbereitung eines BCM-Manahmenplans

Ableitung von Korrektur- und Verbesserungsmanahmen

Umsetzung und berwachung von Korrektur- und Verbesserungsmanahmen

Weiterentwicklung des Reaktiv-BCMS 27

2.3 BSI-Standard 200-4 Inhalt

BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Anhang A Anforderungskatalog

Anhang B Hinweise zu den Hilfsmitteln 28

2.4 ISO 22301 internationaler Standard

ISO 22301

ISO 22301 Herausgeber

International Organization for Standardization (ISO)

Inhalte

Anwendungsbereich, Normative Weisungen, Begriffe, Kontext der Organisation, Fhrung, Planung, Untersttzung, Betrieb, Risikobeurteilung, Bewertung der Leistung, Verbesserung

Zertifizierung

Zertifizierung nach ISO 22301 mglich

INTERNATIONAL

STANDARD

ISO

22301 29

2.4 ISO 22301 internationaler Standard

ISO 22301:2020

ISO 22301:2020 ist ein internationaler Standard . Es legt fest welche Anforderungen eines BCMS erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen. Unternehmen haben die Mglichkeit, sich nach ISO 22301 zertifizieren zu lassen, wodurch sie belegen knnen, dass sie den Anforderungen des Standards entsprechen. Seit Mai 2014 ist es nicht mehr mglich, nach dem Vorgngerstandard BS 25999-2 zertifiziert zu werden.

ISO 22313:2020

ISO 22313 hingegen bietet Empfehlungen und Erlaubnisse zur Umsetzung der Anforderungen von ISO 22301 und untersttzt Unternehmen bei der Implementierung des BCMS. Die Struktur von ISO 22313 ist identisch mit ISO 22301. 30

2.4 ISO 22301 bersicht

Entstehung des ISO 22301

wurde vom ISO/TC 223 Societal Security im Rahmen der Standardisierungsarbeiten entwickelt.

In Deutschland wird die Normungsarbeit vom Komitee DIN NA 031-05 FBR Fachbereichsausschuss Sicherheit und Schutz des Gemeinwesens durchgefhrt.

Der ISO 22301 folgt den Anforderungen der Next Generation of Management System Standards (NG-MSS) , die harmonisierte, integrierte und konsistente Managementsysteme frdern.

Das Framework wird um bereichsspezifische Anforderungen ergnzt und ermglicht eine Kompatibilitt der Standards sowie eine leichtere Umsetzung fr Organisationen mit mehreren Managementsystemstandards.

Durch die Integration von Scope, Policies und Prozeduren knnen Einsparungen erzielt werden.. 31

2.4 ISO 22301 Vereinheitlichung von Standards

Annex SL Leitfaden fr die Entwicklung von einheitlichen Managementsystemstandards High Level Structure

Zuknftige Managementsystemstandards werden die folgende Struktur aufweisen:

Einleitung ( Introduction )
Anwendungsbereich ( Scope )
Normative Verweise ( Normative references )
Begriffe ( Terms and definitions )
Kontext der Organisation ( Context of the organization )
Fhrung ( Leadership )
Planung ( Planning )
Untersttzung ( Support )
Einsatz ( Operation )
Leistungsauswertung ( Performance evaluation )
Verbesserung ( Improvement )

In der ISO 22301:2012 wurden die Anforderungen

des Annex SL bereits umgesetzt. 32

2.4 ISO 22301 ISO 223xx Familie

Die ISO 223xx Familie

Die ISO 223xx Familie umfasst mittlerweile insgesamt 16 verschiedene Standards.

ISO 22300:2018 Security and resilience Vocabulary

ISO 22301:2020 Security and resilience Business continuity management systemsRequirements

ISO 22311:2012 Societal Security Video-surveillanceExport interoperability

ISO/TR 22312:2011 Societal Security Technological capabilities

ISO 22313:2020 Societal Security Business continuity management systemsGuidance

ISO 22315:2014 Societal Security Mass evacuation Guidelines for planning

ISO 22316:2017 Societal Security Organizational resilience Principles and guidelines

ISO/TS 22317:2015 Societal Security Business continuity management systems Guidelines for business impact analysis (BIA)

ISO/TS 22318:2015 Societal Security Business continuity management systems Guidelines for supply chain continuity 33

2.4 ISO 22301 ISO 223xx Familie

Bereits verffentlichte Standards (Forts)

ISO 22320:2018 Societal Security Emergency managementRequirements for incident response

ISO 22322:2015 Societal Security Emergency management Public warning

ISO 22324:2015 Societal Security Emergency management Colour-coded alert

ISO 22325:2016 Societal Security Emergency management Guidelines for emergency management capability assessment

ISO/TR 22351:2015 Societal Security Emergency management Message structure for exchange of information

ISO 22397:2014 Societal Security Guidelines for establishing partnering arrangements

ISO 22398:2013 Societal Security Guidelines for exercises 34

2.4 ISO 22301 Inhalte

Einleitung ( Introduction ):

Allgemeines

Vorteile eines Business Continuity Management Systems

PDCA

Abschnitt 1 - Anwendungsbereich ( Scope ):

Definition des Geltungsbereichs von ISO 22301

Abschnitt 2 - Normative Verweise ( Normative references ):

Verweis auf ISO 22300 "Security and resilience-Vocabulary

Abschnitt 3 - Begriffe ( Terms and definitions ):

Definitionen der Begriffe nach ISO 22300 35 BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Abschnitt 4 - Kontext der Organisation:

Verstehen der Organisation und ihres Kontextes

Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Festlegen des Anwendungsbereichs des BCMS

Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des BCMS gem ISO 22301 Anforderungen

Abschnitt 5 - Fhrung:

Fhrung und Verpflichtung

Politik

Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Abschnitt 6 - Planung:

Manahmen zum Umgang mit Risiken und Mglichkeiten

Ziele zur Aufrechterhaltung der Betriebsfhigkeit und Planung zu deren Erreichung

Planung von nderungen am BCMS

2.4 ISO 22301 Inhalte 36

2.4 ISO 22301 Inhalte

Abschnitt 7 - Untersttzung ( Support ):

Ressourcen

Kompetenz

Bewusstsein

Kommunikation

Dokumentierte Information

Abschnitt 8 - Einsatz ( Operation ):

Betriebliche Planung und Steuerung

Business-Impact-Analyse und Risikobeurteilung

Strategien und Lsungen zur Aufrechterhaltung der Betriebsfhigkeit

Plne und Verfahren zur Aufrechterhaltung der Betriebsfhigkeit

bungsprogramm

Bewertung der Dokumentation und Fhigkeiten zur Aufrechterhaltung der Betriebsfhigkeit 37

2.4 ISO 22301 Inhalte

Abschnitt 9 Leistungsauswertung ( Performance evaluation )

berwachung, Messung, Analyse der Bewertung

Internes Audit

Managementbewertung

Abschnitt 10 Verbesserung ( Improvement )

Nichtkonformitt und Korrekturmanahmen

Fortlaufende Verbesserung 38

2.5 BCI Good Practice Guidelines: Anwendung und Nutzen

Inhalt der Good Practice Guidelines (GPG)

Die GPG umfassen 6 Stufen des BCM-Lebenszyklus und ordnen diesen sog. Professional Practices zu (PP). Diese gliedern sich in 2 Management Practices und 4 Technical Practices.

Management Practices

PP1 Policy & Program Management

o Steht am Beginn des BCM-Lebenszyklus

o Definition der BCM-Leitlinie (Policy) und wie

o diese Leitlinie implementiert, gesteuert und validiert

werden soll.

PP2 Embedding Business Continuity

o Integration von BCM in das Alltagsgeschft und die

o Organisationskultur.

2.5 BCI Good Practice Guidelines: Anwendung und Nutzen

Inhalt der Good Practice Guidelines

Technical Practices

PP3 Analysis

o Analyse der Organisation hinsichtlich ihrer Ziele, ihrer Funktionsweise und der Beschrnkungen, die sich aus der Umwelt der Organisation ergeben.

PP4 Design

o Identifikation und Auswahl angemessener Strategien und Taktiken zur Sicherstellung der Kontinuitt und der Wiederherstellung nach einem disruptiven Ereignis.

PP5 Implementation

o Implementierung der vereinbarten Strategien und Taktiken durch die Entwicklung eines Business Continuity Plans.

PP6 Validation

berprfung, ob das BCM den Zielen der BCM-Leitlinie entsprechen und ob das BCM der Organisation wie gewnscht funktioniert. 40

2.6 Anwendungsbereich des BCMS Orientierung

Organisation des BCMS

Business Impact Analyse Risiko Analyse Strategie und Wiederanlauf berwachung und Verbesserung

Kontinuierliche Verbesserung des BCMS

Do Plan

Notfalltests

Check

Anwendungsbereich des BCMS

Rolle des Managements

Ziele und Planung des BCMS

Untersttzung des BCMS

BIA-Methode zur Identifikation kritischer Prozesse

Zuordnung von Assets (Service Komponenten)

Festlegung der Ausfall-und Wiederanlaufzeiten

Erstellung von bungs- und Testverfahren

Regelmige berprfung des BCMS

Risikoidentifikation

Risikobewertung

Risikobehandlung

Strategien und Manahmen zur Aufrechterhaltung der Betriebsfhigkeit

Business Continuity Plne und Manahmen zur Wiederherstellung

Act 41

2.6 Anwendungsbereich des BCMS berblick

Um geschftlichen Ziele im Rahmen des BCMS zu erreichen

Ermittlung relevanter externer und interner Aspekte

Kenntnis und Bercksichtigung der Bedrfnisse, Erwartungen, Anforderungen der Stakeholder der Organisation (externe Partner oder Organisation, auch interessierte Parteien)

Einhaltung behrdlicher und gesetzlicher Vorgaben

Ziele festlegen

Interne und externe Parameter festlegen

Anwendungsbereich und Rollen

Festlegen des Kontextes

Kultur

Politik

Gesetz

Finanzen

Extern

(auerhalb der Organisation)

Trends mit Auswirkungen auf Ziele der Organisation

(Vertragliche) Beziehungen zu externen Partnern/Kunden

Governance

Interne Strukturen

Rollen und Verantwortlichkeiten

Interne Stakeholder

2.6 Anwendungsbereich des BCMS die Organisation und ihre Umwelt

Verstndnis des Geschfts der Organisation

Zunchst sollte ein detailliertes Verstndnis dafr entwickelt werden, was die Organisation tut. Bestimmte interne und externe Aspekte sollten dabei in jedem Fall bestimmt und dokumentiert werden:

Ziele

Dienstleistungen und Produkte

Ausma und Typ des akzeptierten Risikos

Zudem knnen die folgenden Aspekte bercksichtigt werden

Aktivitten

Funktionen

Partnerschaften

Supply Chains

Beziehungen mit Stakeholdern

Potenzieller Einfluss eines Vorfalls mit Betriebsunterbrechung. 43

2.6 Anwendungsbereich des BCMS die Organisation und ihre Umwelt

Aktivitten

Was macht das Unternehmen

Wie ist es organisiert?

Wer sind die wichtigsten Kunden?

Partnerschaften

Mit welchen Organisationen bestehen Partnerschaften?

Welcher Art sind diese, welche Produkte/Dienstleistungen/ ?

Supply Chains

Welche direkten Lieferabhngigkeiten bestehen?

Welche Organisationen sind beteiligt?

Welche Prozesse und Produkte/Dienstleistungen hngen von diesen ab?

Dienstleistungen

Wer sind die Kunden?

Welche sind am profitabelsten?

Welche die bekanntesten?

Gibt es Abhngigkeiten zwischen den Dienstleistungen?

Produkte

Wer sind die Kunden der Produkte?

Welche sind am profitabelsten?

Welcher sind die bekanntesten?

Gibt es Abhngigkeiten zwischen den Dienstleistungen?

Beziehungen zu den Stakeholdern

Welche gibt es? Name der Organisationen?

Welches Interesse besteht an der Organisation?

Funktionen

Buchhaltung

Personal

Forschung und Entwicklung

Organigramm inklusive Standorten der Funktionen

Kontext 44

Management der Stakeholder

Festlegung der Stakeholder und deren Anforderungen an das BCMS der Organisation, um die Bedrfnisse und Erwartungen feststellen zu knnen.

Sowohl das Verfahren zur Festlegung der Stakeholder und deren Anforderungen (insbes. in rechtlicher und regulatorischer Hinsicht) als auch die Ergebnisse dieses Verfahrens sollten dokumentiert werden.

Dokumentation der Bedrfnisse und Erwartungen in Bezug

auf BCM

2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder

Festlegung der Stakeholder

Mitarbeiter

Kunden

Lieferanten

Partner

Anforderungen der festgelegten Stakeholder

Gesetze

Vertragliche Vereinbarungen

Normen

2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder

Interne und externe Stakeholder (Beispiel)

Citizen

Customers

Distributors

Shareholders

Investors

Owners

Insurers

Government

Regulators

Recovery service suppliers

Competitors

Media

Commentators

Trade groups

Neighbours

Pressure groups

Emergency services

Other response agencies

Transport services

Dependants of staff

Organization

Management

Top management

Those who establish policies and objectives for the BCMS

Those who set up and manage business continuity

Those who maintain business continuity procedures

Owners of business continuity procedures

Management

Those with authority to invoke

Appropriate spokespeople

Response teams

Other Staff Other Staff

Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 46

2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder

Anforderungen der Stakeholder

Die Anforderungen knnen regulatorische, vertragliche sowie interne betriebliche Vorgaben sein. Ein Beispiel einer betrieblichen Vereinbarung knnten Konzernvorgaben sein, die vorschreiben, dass in kritischen Geschftsbereichen BCM-Manahmen implementiert sind.

Beispiele fr rechtliche Anforderungen an BCM

GoB

GoBD

AktG

GmbHG

HGB

Allgemeine Anforderungen

BDSG/

DSGVO

TKG

BAIT

VAG

Basel III EnWG

KWG

Branchenspezifische Anforderungen

IT-Sicherheits-

gesetz/KRITIS

VAIT

Solvency II

MaRisk 47

2.6 Anwendungsbereich des BCMS Festlegung des Anwendungsbereichs

Festlegung des Anwendungsbereichs des BCMS

Es muss eine Entscheidung getroffen werden, fr welchen Teil der Organisation ein BCMS umgesetzt werden soll so knnte ein BCMS die gesamte Organisation umfassen, aber auch nur einen Teilbereich. Der Anwendungsbereich fr das BCMS sollte dokumentiert sein und folgende Aspekte bercksichtigen:

Verstndnis der Organisation und ihrer Umwelt

o z.B. Gre der Organisation

Verstndnis der Bedrfnisse und Erwartungen von Stakeholdern

z.B. vertragliche Vereinbarungen, rechtliche und regulatorische Anforderungen

Mission und Ziele sowie interne und externe Verpflichtungen der Organisation.

Ausnahmen fr den Geltungsbereich sind mglich, solange begrndet werden kann, dass diese die Kontinuitt der kritischen Geschftsprozesse sowie die Erfllung rechtlicher und regulatorischer Anforderungen nicht gefhrden knnen. Der Anwendungsbereich kann nach und nach erweitert werden. 48

Business Continuity Management System

Die Organisation soll ein BCMS, einschlielich der erforderlichen Prozesse und ihrer Wechselwirkungen in bereinstimmung mit den Anforderungen dieses Dokuments einrichten, implementieren, pflegen und kontinuierlich verbessern.

2.6 Anwendungsbereich des BCMS Business Continuity Management System

Plan

Do Act

Check

Plan

Do Act

Check

Reifegrad

Zeit

Kontinuierlicher Prozess

Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 49

2.6 Anwendungsbereich des BCMS Dokumentation

Dokumente und Nachweise

Pflicht Dokument/Nachweis

Verstehen der Organisation und ihres Kontexts

Verfahren zur Identifizierung relevanter rechtlicher und regulatorischer Anforderungen

Rechtliche, regulatorische und andere Anforderungen

Geltungsbereich des BCMS (Scope) und Erklrung der Ausschlsse 50

Fragen zur Veranstaltung

BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 51

Impressum

Prof. Dr. Gael Pentang

Cybersecurity Management

[email protected]

BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Transcript for:Kapitel 02

BCSM 402 BCM

KAP. 02: STANDARDS UND RAHMENBEDINGUNGEN FR BCM

Transcript for:
Kapitel 02