Kapitel 02 | Coconote

Title: URL Source: blob://pdf/f5553ee7-885d-4e02-bf59-b2234bea2215 Markdown Content: 2 Prof. Dr. Gael Pentang [email protected] Sommersemester 2025 | Seminaristische Lehrveranstaltung # BCSM 402 BCM ## KAP. 02: STANDARDS UND RAHMENBEDINGUNGEN FR BCM BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 3 Kapitel 00: Organisatorisches Kapitel 01: Grundlagen des Business Continuity Management (BCM) Kapitel 02: Standards und Rahmenbedingungen fr BCM Kapitel 03: Rollen und Verantwortlichkeiten im BCM-Prozess Kapitel 04: Business Impact Analyse: Methoden und Techniken Kapitel 05: BCM Risikomanagement: Strategien und Umsetzung Kapitel 06: Betrieb & Leistungsberprfung und Verbesserung Kapitel 07: Krisenmanagement - Krisenbung Kapitel 08: Zertifizierung und Auditierung des BCMS Kapitel 09: IT-Service Continuity Management (ITSCM) 2. Gliederung > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 4 Am Ende sind Sie in der Lage, Die Bedeutung von Standards fr BCM zu erklren. Die wichtigsten BCM-Standards und deren Unterschiede zu nennen. Die Anforderungen des BSI Standards 200-4 und des ISO Standards 22301 zu verstehen. Den Anwendungsbereich eines BCMS zu definieren und zu erlutern. Die Vorteile und Herausforderungen bei der Umsetzung von BCM-Standards zu verstehen. > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Lernziele 5 1. Entstehung und Entwicklung von BCM-Standards 2. Bedeutung und Relevanz von BCM-Standards fr Unternehmen 3. BSI-Standard 100-4 / 200-4: Struktur und Inhalte 4. ISO 22301 als internationaler Standard 5. BCI Good Practive Guidelines: Anwendung und Nutzen 6. Anwendungsbereich des BCMS bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 6 1. Entstehung und Entwicklung von BCM-Standards 2. Bedeutung und Relevanz von BCM-Standards fr Unternehmen 3. BSI-Standard 100-4 / 200-4: Struktur und Inhalte 4. ISO 22301 als internationaler Standard 5. BCI Good Practive Guidelines: Anwendung und Nutzen 6. Anwendungsbereich des BCMS bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 7 2.1 Entstehung und Entwicklung von BCM-Standards BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Standards und Good Practices fr BCM Rechtliche Anforderungen Internationale und nationale Standards BCI Good Practice INTERNATIONAL STANDARD ISO 22301 Einbettung von Geschfts- kontinuitt 8 2.1 Entstehung und Entwicklung von BCM-Standards > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM berblick BCM Standards ISO-Standards 22301 und 22313 Legen fest, welche Anforderungen ein Business Continuity Management System erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen BSI 100-4 / 200-4 bietet eine systematische Methodik fr die Etablierung eines Notfallmanagements in Unternehmen oder Behrden, um die Geschftskontinuitt zu gewhrleisten 9 2.1 Entstehung und Entwicklung von BCM-Standards > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Historische Entwicklung ausgewhlte Krisennaher Standards 1995 NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs 2006 BS 25999-1 Business continuity management. Code of practice des BSI 2008 ISO/IEC 24762 IT disaster recovery BS 25777 IT-Continuity Management BSI 100-4 Deutscher BC-Standard 2011 PAS 200 Crisis Management (informal standard des BSI) ISO/IEC 27031 IT-Readiness fr Business Continuity 2019 ISO 22301:2019 2021 BSI 200-4 2002 Good Practice Guidelines Business Continuity Institute 1997 DRII Disaster Recovery Institute International: Professional Practices 2007 BS 25999-2 Business continuity management . Specification ISO/PAS 22399 erster international anerkannter Standard zum Kontinuitts-management 2010 ASIS/BSI BCM Standard Vervollstndigte BS 25999 2012 ISO 22301 ISO 22313 2020 ISO 22313:2020 2003 PAS 56 (informal standard des BSI) Basiert auf BCI Good Practice Guidelines 10 2.2 Bedeutung und Relevanz von BCM-Standards fr Unternehmen > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Warum sind Standards wichtig? Die Verwendung von Standards bietet bewhrte Anstze bei der Implementierung von Management-Systemen in Organisationen. Der Einsatz von Standards ermglicht: Kostenreduzierung durch Nutzung praxiserprobter Modelle, einheitliche Methoden und klare Ablufe Angemessenes Sicherheitsniveau - Ausrichtung an aktuellen Technologie- und Wissenschaftsstandards, Vollstndigkeit vom Prozess Wettbewerbsvorteile - durch Zertifizierung von Unternehmen und Produkten sowie Verbesserung des Unternehmensimages Compliance-Vorgaben - knnen eingehalten werden um regulatorischer Vorgaben, Marktanforderungen, insbesondere Kundenanforderungen zu erfllen 11 2.3 BSI-Standard 100-4 / 200-4 berblick > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM BSI-Standard 100-4 BSI-Standard 100-4: IT-Grundschutz-Standard des BSI Beinhaltet ein Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen Zu dem BSI-Standard 100-4 existiert ein Umsetzungsrahmenwerk zum Notfallmanagement , das der Untersttzung von Unternehmen bei der Implementierung des BSI 100-4 dient und verschiedene Hilfsmittel beinhaltet berarbeitung vom BSI-Standard 100-4 Verffentlichung des BSI-Standard 200-4 mit neuen Erkenntnissen aus BCM und Erfahrungen der Corona-Pandemie Passend fr alle Organisationen , unabhngig von Branche, Art oder Gre Ermglicht Einfhrung eines Business Continuity Management Systems (BCMS) 12 2.3 BSI-Standard 100-4 / 200-4 berblick > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM BSI-Standard 100-4 BSI 100-4 Herausgeber Bundesamt fr Sicherheit und Informationstechnik (BSI) Inhalte Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen Zertifizierung Keine Zertifizierung mglich 13 2.3 BSI-Standard 100-4 / 200-4 berarbeitung des BSI-Standard 200-4 > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Stufenmodell Das neue Stufenmodell soll Unternehmen mit den vereinfachten Reaktiv-und Aufbau-BCMS die schnellstmgliche Etablierung eines Systems zur Notfallbewltigung ermglichen. Durch den geringeren Ressourcenbedarf soll auch der Anwenderkreis des BSI 200-4 erweitert werden. Reaktiv-und Aufbau-BCMS stellen dabei Zwischenschritte auf dem Weg zum vollumfnglichen Standard-BCMS dar. > Vollstndig P DA C P DA C Standard BCMS Aufbau BCMS P DA C Reaktiv BCMS > x1 > eingeschrnkt > Prozessumfang > a > b > c > Methodik > Abbildung: In Anlehnung an den BSI-Standard 200-4 (BCMS-Stufen und bergang zwischen den Stufen), 2022. 16 2.3 BSI-Standard 100-4 / 200-4 berblick > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM BSI-Standard 200-4 BSI 200-4 Herausgeber Bundesamt fr Sicherheit und Informationstechnik (BSI) Als Nachfolger vom BSI 100-4 (Notfallmanagement) Inhalte Leitfaden fr das Business Continuity Management (BCM) und Anleitungen fr die Umsetzung eines BCM-Systems in Unternehmen und Organisationen Definitionen und Begriffe, Risikoanalyse und Risikomanagement, BIA, Notfall-und Krisenmanagement, bungen und Tests, Verbesserungsprozess Zertifizierung Keine Zertifizierung mglich 17 2.3 BSI-Standard 100-4 / 200-4 Synergien > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Gesamtsicherheitsstrategie Die Nutzung von Synergien fhrt zu einem besseren Austausch und Abgleich von Ergebnissen und verhindert, dass das BCMS als Insellsung betrachtet wird. ITSCM Outsourcing Management Krisenmanagement ISMS 18 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 1 Einleitung Allgemeine Informationen ber die Zielsetzung des Standards sowie den Adressatenkreis Kapitel 2 Einfhrung in das BCM Einordnung des Standards in die BSI-Standards, Begriffsdefinitionen (Strung, Notfall, Krise, ) sowie Vorstellung weiterer Standards zum Notfallmanagement Vorstellung und Erluterung des neuen BCMS Stufenmodells (Reaktiv-, Aufbau-, Standard-BCMS) Kapitel 3 Initiierung des BCMS Verantwortung der Institutsleitung fr die Initiierung des BCMS und dessen Verankerung in der Organisation Festlegung der Zielsetzung fr das BCM durch die Institutsleitung Entscheidung ber den Geltungsbereich des BCMS (Gesamte Organisation, Teilbereiche, Standorte, einzelne Prozesse) Benennung des BCM-Beauftragten und Definition der BCM-Aufbauorganisation Bereitstellung angemessener finanzieller, zeitlicher und personellen Ressourcen durch die Geschftsleitung Konzeption und Planung des BCMS Schulung und Sensibilisierung der Mitarbeiter 19 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 4 Konzeption und Planung des BCMS Definition und Abgrenzung Analyse der erweiterten Rahmenbedingungen Definition der BC-Aufbauorganisation Dokumentation Ressourcenplanung Schulung Sensibilisierung Leitlinie BCMS 20 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 5 Aufbau und Befhigung der BAO Aufbau der BAO Detektion, Alarmierung und Eskalation Definition von Sofortmanahmen Festlegung der Grundstze zur Stabsarbeit Definition der Geschftsordnung des Stabs Herstellung der Fhigkeit zur Stabsarbeit Notfall- und Krisen-Kommunikation (NuK-Kommunikation) Nacharbeiten und Deeskalation Analyse der Bewltigung 21 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 6 Voranalyse Vorbereitung der Voranalyse Konkretisierung des Begriffs zeitkritisch Durchfhrung der Voranalyse Konsolidierung und Vorstellung der Ergebnisse Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS 22 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 7 Business Impact Analyse Vorbereitung der BIA Durchfhrung der BIA Auswertung Kapitel 8 Soll-Ist-Vergleich Identifizierung der Ressourcenzustndigen Durchfhrung des Soll-Ist-Vergleichs Auswertung und Freigabe der Ergebnisse 23 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 9 BCM-Risikoanalyse Auswahl einer geeigneten Risikoanalyse-Methode Vorarbeiten zur Risikoanalyse Erstellung einer Gefhrdungsbersicht Risikoeinschtzung Risikobewertung Kapitel 10 Business-Continuity-Strategien und Lsungen Identifikation mglicher BC-Strategien Bewertung von BC-Strategien Auswahl der BC-Strategien durch die Institutionsleitung Umsetzung der BC-Strategien und Lsungen 24 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 11 Geschftsfortfhrungsplanung Vorbereitung der GFPs Erstellung der GFPs Qualittssicherung und Freigabe Kapitel 12 Wiederanlauf- und Wiederherstellungsplanung Vorbereitung der WAPs Erstellung der WAPs Qualittssicherung und Freigabe der WAPs Wiederherstellungsplanung im Rahmen des BCM ben und Testen 25 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 13 ben und Testen Rahmenbedingungen zum ben im Reaktiv-BCMS Festlegung der Rahmenbedingungen zum ben Erstellung einer Jahresbungsplanung Vorbereitung und Durchfhrung einer bung Auswertung und Nachbereitung von bungen Kapitel 14 Leistungsberprfung und Berichterstattung berwachung, Messung, Analyse und Bewertung Bewertung und berwachung von externen Dienstleistern Interne und externe berprfungen Managementbewertung 26 2.3 BSI-Standard 200-4 Inhalt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Kapitel 15 Aufrechterhaltung und Verbesserung Vorbereitung eines BCM-Manahmenplans Ableitung von Korrektur- und Verbesserungsmanahmen Umsetzung und berwachung von Korrektur- und Verbesserungsmanahmen Weiterentwicklung des Reaktiv-BCMS 27 2.3 BSI-Standard 200-4 Inhalt BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Anhang A Anforderungskatalog Anhang B Hinweise zu den Hilfsmitteln 28 2.4 ISO 22301 internationaler Standard > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM ISO 22301 ISO 22301 Herausgeber International Organization for Standardization (ISO) Inhalte Anwendungsbereich, Normative Weisungen, Begriffe, Kontext der Organisation, Fhrung, Planung, Untersttzung, Betrieb, Risikobeurteilung, Bewertung der Leistung, Verbesserung Zertifizierung Zertifizierung nach ISO 22301 mglich INTERNATIONAL STANDARD ISO 22301 29 2.4 ISO 22301 internationaler Standard > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM ISO 22301:2020 ISO 22301:2020 ist ein internationaler Standard . Es legt fest welche Anforderungen eines BCMS erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen. Unternehmen haben die Mglichkeit, sich nach ISO 22301 zertifizieren zu lassen, wodurch sie belegen knnen, dass sie den Anforderungen des Standards entsprechen. Seit Mai 2014 ist es nicht mehr mglich, nach dem Vorgngerstandard BS 25999-2 zertifiziert zu werden. ISO 22313:2020 ISO 22313 hingegen bietet Empfehlungen und Erlaubnisse zur Umsetzung der Anforderungen von ISO 22301 und untersttzt Unternehmen bei der Implementierung des BCMS. Die Struktur von ISO 22313 ist identisch mit ISO 22301. 30 2.4 ISO 22301 bersicht > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Entstehung des ISO 22301 wurde vom ISO/TC 223 Societal Security im Rahmen der Standardisierungsarbeiten entwickelt. In Deutschland wird die Normungsarbeit vom Komitee DIN NA 031-05 FBR Fachbereichsausschuss Sicherheit und Schutz des Gemeinwesens durchgefhrt. Der ISO 22301 folgt den Anforderungen der Next Generation of Management System Standards (NG-MSS) , die harmonisierte, integrierte und konsistente Managementsysteme frdern. Das Framework wird um bereichsspezifische Anforderungen ergnzt und ermglicht eine Kompatibilitt der Standards sowie eine leichtere Umsetzung fr Organisationen mit mehreren Managementsystemstandards. Durch die Integration von Scope, Policies und Prozeduren knnen Einsparungen erzielt werden.. 31 2.4 ISO 22301 Vereinheitlichung von Standards > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Annex SL Leitfaden fr die Entwicklung von einheitlichen Managementsystemstandards High Level Structure Zuknftige Managementsystemstandards werden die folgende Struktur aufweisen: 0. Einleitung ( Introduction ) 1. Anwendungsbereich ( Scope ) 2. Normative Verweise ( Normative references ) 3. Begriffe ( Terms and definitions ) 4. Kontext der Organisation ( Context of the organization ) 5. Fhrung ( Leadership ) 6. Planung ( Planning ) 7. Untersttzung ( Support ) 8. Einsatz ( Operation ) 9. Leistungsauswertung ( Performance evaluation ) 10. Verbesserung ( Improvement ) In der ISO 22301:2012 wurden die Anforderungen des Annex SL bereits umgesetzt. 32 2.4 ISO 22301 ISO 223xx Familie > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Die ISO 223xx Familie Die ISO 223xx Familie umfasst mittlerweile insgesamt 16 verschiedene Standards. ISO 22300:2018 Security and resilience Vocabulary ISO 22301:2020 Security and resilience Business continuity management systemsRequirements ISO 22311:2012 Societal Security Video-surveillanceExport interoperability ISO/TR 22312:2011 Societal Security Technological capabilities ISO 22313:2020 Societal Security Business continuity management systemsGuidance ISO 22315:2014 Societal Security Mass evacuation Guidelines for planning ISO 22316:2017 Societal Security Organizational resilience Principles and guidelines ISO/TS 22317:2015 Societal Security Business continuity management systems Guidelines for business impact analysis (BIA) ISO/TS 22318:2015 Societal Security Business continuity management systems Guidelines for supply chain continuity 33 2.4 ISO 22301 ISO 223xx Familie > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Bereits verffentlichte Standards (Forts) ISO 22320:2018 Societal Security Emergency managementRequirements for incident response ISO 22322:2015 Societal Security Emergency management Public warning ISO 22324:2015 Societal Security Emergency management Colour-coded alert ISO 22325:2016 Societal Security Emergency management Guidelines for emergency management capability assessment ISO/TR 22351:2015 Societal Security Emergency management Message structure for exchange of information ISO 22397:2014 Societal Security Guidelines for establishing partnering arrangements ISO 22398:2013 Societal Security Guidelines for exercises 34 2.4 ISO 22301 Inhalte > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Einleitung ( Introduction ): Allgemeines Vorteile eines Business Continuity Management Systems PDCA Abschnitt 1 - Anwendungsbereich ( Scope ): Definition des Geltungsbereichs von ISO 22301 Abschnitt 2 - Normative Verweise ( Normative references ): Verweis auf ISO 22300 "Security and resilience-Vocabulary Abschnitt 3 - Begriffe ( Terms and definitions ): Definitionen der Begriffe nach ISO 22300 35 BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Abschnitt 4 - Kontext der Organisation: Verstehen der Organisation und ihres Kontextes Verstehen der Erfordernisse und Erwartungen interessierter Parteien Festlegen des Anwendungsbereichs des BCMS Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des BCMS gem ISO 22301 Anforderungen Abschnitt 5 - Fhrung: Fhrung und Verpflichtung Politik Rollen, Verantwortlichkeiten und Befugnisse in der Organisation Abschnitt 6 - Planung: Manahmen zum Umgang mit Risiken und Mglichkeiten Ziele zur Aufrechterhaltung der Betriebsfhigkeit und Planung zu deren Erreichung Planung von nderungen am BCMS 2.4 ISO 22301 Inhalte 36 2.4 ISO 22301 Inhalte > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Abschnitt 7 - Untersttzung ( Support ): Ressourcen Kompetenz Bewusstsein Kommunikation Dokumentierte Information Abschnitt 8 - Einsatz ( Operation ): Betriebliche Planung und Steuerung Business-Impact-Analyse und Risikobeurteilung Strategien und Lsungen zur Aufrechterhaltung der Betriebsfhigkeit Plne und Verfahren zur Aufrechterhaltung der Betriebsfhigkeit bungsprogramm Bewertung der Dokumentation und Fhigkeiten zur Aufrechterhaltung der Betriebsfhigkeit 37 2.4 ISO 22301 Inhalte > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Abschnitt 9 Leistungsauswertung ( Performance evaluation ) berwachung, Messung, Analyse der Bewertung Internes Audit Managementbewertung Abschnitt 10 Verbesserung ( Improvement ) Nichtkonformitt und Korrekturmanahmen Fortlaufende Verbesserung 38 2.5 BCI Good Practice Guidelines: Anwendung und Nutzen > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Inhalt der Good Practice Guidelines (GPG) Die GPG umfassen 6 Stufen des BCM-Lebenszyklus und ordnen diesen sog. Professional Practices zu (PP). Diese gliedern sich in 2 Management Practices und 4 Technical Practices. Management Practices PP1 Policy & Program Management o Steht am Beginn des BCM-Lebenszyklus o Definition der BCM-Leitlinie (Policy) und wie o diese Leitlinie implementiert, gesteuert und validiert werden soll. PP2 Embedding Business Continuity o Integration von BCM in das Alltagsgeschft und die o Organisationskultur. > Einbettung > von Geschfts- > kontinuitt 39 2.5 BCI Good Practice Guidelines: Anwendung und Nutzen > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Inhalt der Good Practice Guidelines Technical Practices PP3 Analysis o Analyse der Organisation hinsichtlich ihrer Ziele, ihrer Funktionsweise und der Beschrnkungen, die sich aus der Umwelt der Organisation ergeben. PP4 Design o Identifikation und Auswahl angemessener Strategien und Taktiken zur Sicherstellung der Kontinuitt und der Wiederherstellung nach einem disruptiven Ereignis. PP5 Implementation o Implementierung der vereinbarten Strategien und Taktiken durch die Entwicklung eines Business Continuity Plans. PP6 Validation berprfung, ob das BCM den Zielen der BCM-Leitlinie entsprechen und ob das BCM der Organisation wie gewnscht funktioniert. 40 2.6 Anwendungsbereich des BCMS Orientierung > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Organisation des BCMS Business Impact Analyse Risiko Analyse Strategie und Wiederanlauf berwachung und Verbesserung Kontinuierliche Verbesserung des BCMS Do Plan Notfalltests Check Anwendungsbereich des BCMS Rolle des Managements Ziele und Planung des BCMS Untersttzung des BCMS BIA-Methode zur Identifikation kritischer Prozesse Zuordnung von Assets (Service Komponenten) Festlegung der Ausfall-und Wiederanlaufzeiten Erstellung von bungs- und Testverfahren Regelmige berprfung des BCMS Risikoidentifikation Risikobewertung Risikobehandlung Strategien und Manahmen zur Aufrechterhaltung der Betriebsfhigkeit Business Continuity Plne und Manahmen zur Wiederherstellung Act 41 2.6 Anwendungsbereich des BCMS berblick > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Um geschftlichen Ziele im Rahmen des BCMS zu erreichen Ermittlung relevanter externer und interner Aspekte Kenntnis und Bercksichtigung der Bedrfnisse, Erwartungen, Anforderungen der Stakeholder der Organisation (externe Partner oder Organisation, auch interessierte Parteien) Einhaltung behrdlicher und gesetzlicher Vorgaben Ziele festlegen Interne und externe Parameter festlegen Anwendungsbereich und Rollen Festlegen des Kontextes Kultur Politik Gesetz Finanzen Extern (auerhalb der Organisation) Trends mit Auswirkungen auf Ziele der Organisation (Vertragliche) Beziehungen zu externen Partnern/Kunden Governance Interne Strukturen Rollen und Verantwortlichkeiten Interne Stakeholder 42 2.6 Anwendungsbereich des BCMS die Organisation und ihre Umwelt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Verstndnis des Geschfts der Organisation Zunchst sollte ein detailliertes Verstndnis dafr entwickelt werden, was die Organisation tut. Bestimmte interne und externe Aspekte sollten dabei in jedem Fall bestimmt und dokumentiert werden: Ziele Dienstleistungen und Produkte Ausma und Typ des akzeptierten Risikos Zudem knnen die folgenden Aspekte bercksichtigt werden Aktivitten Funktionen Partnerschaften Supply Chains Beziehungen mit Stakeholdern Potenzieller Einfluss eines Vorfalls mit Betriebsunterbrechung. 43 2.6 Anwendungsbereich des BCMS die Organisation und ihre Umwelt > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Aktivitten Was macht das Unternehmen Wie ist es organisiert? Wer sind die wichtigsten Kunden? Partnerschaften Mit welchen Organisationen bestehen Partnerschaften? Welcher Art sind diese, welche Produkte/Dienstleistungen/ ? Supply Chains Welche direkten Lieferabhngigkeiten bestehen? Welche Organisationen sind beteiligt? Welche Prozesse und Produkte/Dienstleistungen hngen von diesen ab? Dienstleistungen Wer sind die Kunden? Welche sind am profitabelsten? Welche die bekanntesten? Gibt es Abhngigkeiten zwischen den Dienstleistungen? Produkte Wer sind die Kunden der Produkte? Welche sind am profitabelsten? Welcher sind die bekanntesten? Gibt es Abhngigkeiten zwischen den Dienstleistungen? Beziehungen zu den Stakeholdern Welche gibt es? Name der Organisationen? Welches Interesse besteht an der Organisation? Funktionen Buchhaltung Personal Forschung und Entwicklung Organigramm inklusive Standorten der Funktionen Kontext 44 Management der Stakeholder Festlegung der Stakeholder und deren Anforderungen an das BCMS der Organisation, um die Bedrfnisse und Erwartungen feststellen zu knnen. Sowohl das Verfahren zur Festlegung der Stakeholder und deren Anforderungen (insbes. in rechtlicher und regulatorischer Hinsicht) als auch die Ergebnisse dieses Verfahrens sollten dokumentiert werden. Dokumentation der Bedrfnisse und Erwartungen in Bezug auf BCM 2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Festlegung der Stakeholder Mitarbeiter Kunden Lieferanten Partner Anforderungen der festgelegten Stakeholder Gesetze Vertragliche Vereinbarungen Normen 45 2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Interne und externe Stakeholder (Beispiel) Citizen Customers Distributors Shareholders Investors Owners Insurers Government Regulators Recovery service suppliers Competitors Media Commentators Trade groups Neighbours Pressure groups Emergency services Other response agencies Transport services Dependants of staff Organization Management Top management Those who establish policies and objectives for the BCMS Those who set up and manage business continuity Those who maintain business continuity procedures Owners of business continuity procedures Management Those with authority to invoke Appropriate spokespeople Response teams Other Staff Other Staff Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 46 2.6 Anwendungsbereich des BCMS Erwartungen der Stakeholder > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Anforderungen der Stakeholder Die Anforderungen knnen regulatorische, vertragliche sowie interne betriebliche Vorgaben sein. Ein Beispiel einer betrieblichen Vereinbarung knnten Konzernvorgaben sein, die vorschreiben, dass in kritischen Geschftsbereichen BCM-Manahmen implementiert sind. Beispiele fr rechtliche Anforderungen an BCM GoB GoBD AktG GmbHG HGB Allgemeine Anforderungen BDSG/ DSGVO TKG BAIT VAG Basel III EnWG KWG Branchenspezifische Anforderungen IT-Sicherheits- gesetz/KRITIS VAIT Solvency II MaRisk 47 2.6 Anwendungsbereich des BCMS Festlegung des Anwendungsbereichs > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Festlegung des Anwendungsbereichs des BCMS Es muss eine Entscheidung getroffen werden, fr welchen Teil der Organisation ein BCMS umgesetzt werden soll so knnte ein BCMS die gesamte Organisation umfassen, aber auch nur einen Teilbereich. Der Anwendungsbereich fr das BCMS sollte dokumentiert sein und folgende Aspekte bercksichtigen: Verstndnis der Organisation und ihrer Umwelt o z.B. Gre der Organisation Verstndnis der Bedrfnisse und Erwartungen von Stakeholdern z.B. vertragliche Vereinbarungen, rechtliche und regulatorische Anforderungen Mission und Ziele sowie interne und externe Verpflichtungen der Organisation. Ausnahmen fr den Geltungsbereich sind mglich, solange begrndet werden kann, dass diese die Kontinuitt der kritischen Geschftsprozesse sowie die Erfllung rechtlicher und regulatorischer Anforderungen nicht gefhrden knnen. Der Anwendungsbereich kann nach und nach erweitert werden. 48 Business Continuity Management System Die Organisation soll ein BCMS, einschlielich der erforderlichen Prozesse und ihrer Wechselwirkungen in bereinstimmung mit den Anforderungen dieses Dokuments einrichten, implementieren, pflegen und kontinuierlich verbessern. 2.6 Anwendungsbereich des BCMS Business Continuity Management System > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Plan Do Act Check Plan Do Act Check Reifegrad Zeit Kontinuierlicher Prozess Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 49 2.6 Anwendungsbereich des BCMS Dokumentation > BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM Dokumente und Nachweise Pflicht Dokument/Nachweis Verstehen der Organisation und ihres Kontexts Verfahren zur Identifizierung relevanter rechtlicher und regulatorischer Anforderungen Rechtliche, regulatorische und andere Anforderungen Geltungsbereich des BCMS (Scope) und Erklrung der Ausschlsse 50 Fragen zur Veranstaltung BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 51 Impressum Prof. Dr. Gael Pentang Cybersecurity Management [email protected] BCSM 402 Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Title:

URL Source: blob://pdf/f5553ee7-885d-4e02-bf59-b2234bea2215

Markdown Content:
2

Prof. Dr. Gael Pentang

Gael.Pentang@hs-niederrhein.de

Sommersemester 2025 | Seminaristische Lehrveranstaltung

# BCSM 402 BCM

## KAP. 02: STANDARDS UND RAHMENBEDINGUNGEN FR BCM

BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 3

Kapitel 00: Organisatorisches

Kapitel 01: Grundlagen des Business Continuity Management (BCM)

Kapitel 02: Standards und Rahmenbedingungen fr BCM

Kapitel 03: Rollen und Verantwortlichkeiten im BCM-Prozess

Kapitel 04: Business Impact Analyse: Methoden und Techniken

Kapitel 05: BCM Risikomanagement: Strategien und Umsetzung

Kapitel 06: Betrieb & Leistungsberprfung und Verbesserung

Kapitel 07: Krisenmanagement - Krisenbung

Kapitel 08: Zertifizierung und Auditierung des BCMS

Kapitel 09: IT-Service Continuity Management (ITSCM)

2. Gliederung

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 4

Am Ende sind Sie in der Lage,

Die Bedeutung von Standards fr BCM zu erklren.

Die wichtigsten BCM-Standards und deren Unterschiede zu nennen.

Die Anforderungen des BSI Standards 200-4 und des ISO Standards 22301 zu verstehen.

Den Anwendungsbereich eines BCMS zu definieren und zu erlutern.

Die Vorteile und Herausforderungen bei der Umsetzung von BCM-Standards zu verstehen.

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Lernziele 5

1.  Entstehung und Entwicklung von BCM-Standards

2.  Bedeutung und Relevanz von BCM-Standards fr Unternehmen

3.  BSI-Standard 100-4 / 200-4: Struktur und Inhalte

4.  ISO 22301 als internationaler Standard

5.  BCI Good Practive Guidelines: Anwendung und Nutzen

6.  Anwendungsbereich des BCMS

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 6

1.  Entstehung und Entwicklung von BCM-Standards

2.  Bedeutung und Relevanz von BCM-Standards fr Unternehmen

3.  BSI-Standard 100-4 / 200-4: Struktur und Inhalte

4.  ISO 22301 als internationaler Standard

5.  BCI Good Practive Guidelines: Anwendung und Nutzen

6.  Anwendungsbereich des BCMS

bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

2.1 Entstehung und Entwicklung von BCM-Standards

BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Standards und Good Practices fr BCM

Rechtliche Anforderungen  Internationale und nationale Standards  BCI Good Practice

INTERNATIONAL

STANDARD

ISO

22301  Einbettung

von Geschfts-

kontinuitt 8

2.1 Entstehung und Entwicklung von BCM-Standards

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

berblick BCM Standards

ISO-Standards 22301 und 22313

Legen fest, welche Anforderungen ein Business Continuity Management System erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen

BSI 100-4 / 200-4

bietet eine systematische Methodik fr die Etablierung eines Notfallmanagements in Unternehmen oder Behrden, um die Geschftskontinuitt zu gewhrleisten 9

2.1 Entstehung und Entwicklung von BCM-Standards

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Historische Entwicklung ausgewhlte Krisennaher Standards

1995

NFPA 1600

Standard on

Disaster/Emergency

Management and

Business Continuity

Programs

2006

BS 25999-1

Business continuity

management.

Code of practice

des BSI

2008

ISO/IEC 24762

IT disaster recovery

BS 25777

IT-Continuity

Management

BSI 100-4

Deutscher

BC-Standard

2011

PAS 200

Crisis Management

(informal standard des BSI)

ISO/IEC 27031

IT-Readiness fr

Business Continuity

2019

ISO 22301:2019  2021

BSI 200-4

2002

Good Practice

Guidelines

Business Continuity

Institute

1997

DRII

Disaster Recovery

Institute International:

Professional Practices

2007

BS 25999-2

Business continuity

management .

Specification

ISO/PAS 22399

erster international

anerkannter Standard zum Kontinuitts-management

2010

ASIS/BSI

BCM Standard

Vervollstndigte

BS 25999

2012

ISO 22301

ISO 22313

2020

ISO 22313:2020

2003

PAS 56

(informal standard

des BSI)

Basiert auf BCI

Good Practice

Guidelines 10

2.2 Bedeutung und Relevanz von BCM-Standards fr Unternehmen

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Warum sind Standards wichtig?

Die Verwendung von Standards bietet bewhrte Anstze bei der Implementierung von Management-Systemen in Organisationen.

Der Einsatz von Standards ermglicht:

Kostenreduzierung  durch Nutzung praxiserprobter Modelle, einheitliche Methoden und klare Ablufe

Angemessenes Sicherheitsniveau - Ausrichtung an aktuellen Technologie- und Wissenschaftsstandards, Vollstndigkeit vom Prozess

Wettbewerbsvorteile - durch Zertifizierung von Unternehmen und Produkten sowie Verbesserung des Unternehmensimages

Compliance-Vorgaben - knnen eingehalten werden um regulatorischer Vorgaben, Marktanforderungen, insbesondere Kundenanforderungen zu erfllen 11

2.3 BSI-Standard 100-4 / 200-4  berblick

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

BSI-Standard 100-4

BSI-Standard 100-4: IT-Grundschutz-Standard des BSI

Beinhaltet ein Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen  Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen

Zu dem BSI-Standard 100-4 existiert ein Umsetzungsrahmenwerk zum Notfallmanagement , das der Untersttzung von Unternehmen bei der Implementierung des BSI 100-4 dient und verschiedene Hilfsmittel beinhaltet

berarbeitung vom BSI-Standard 100-4  Verffentlichung des BSI-Standard 200-4 mit neuen Erkenntnissen aus BCM und Erfahrungen der Corona-Pandemie

Passend fr alle Organisationen , unabhngig von Branche, Art oder Gre

Ermglicht Einfhrung eines Business Continuity Management Systems (BCMS) 12

2.3 BSI-Standard 100-4 / 200-4  berblick

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

BSI-Standard 100-4

BSI 100-4  Herausgeber

Bundesamt fr Sicherheit und Informationstechnik (BSI)

Inhalte

Vorgehensmodell fr Einfhrung, Betrieb und Weiterentwicklung des Notfallmanagements in Organisationen

Empfehlungen zur Umsetzung von Manahmen in den verschiedenen Phasen

Zertifizierung

Keine Zertifizierung mglich 13

2.3 BSI-Standard 100-4 / 200-4  berarbeitung des BSI-Standard 200-4

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Stufenmodell

Das neue Stufenmodell soll Unternehmen mit den vereinfachten Reaktiv-und Aufbau-BCMS die schnellstmgliche Etablierung eines Systems zur Notfallbewltigung ermglichen.

Durch den geringeren Ressourcenbedarf soll auch der Anwenderkreis des BSI 200-4 erweitert werden.

Reaktiv-und Aufbau-BCMS stellen dabei Zwischenschritte auf dem Weg zum vollumfnglichen Standard-BCMS dar.

> Vollstndig

Standard BCMS

Aufbau BCMS

Reaktiv BCMS

> x1
> eingeschrnkt
> Prozessumfang
> a
> b
> c
> Methodik
> Abbildung: In Anlehnung an den BSI-Standard 200-4 (BCMS-Stufen und bergang zwischen den Stufen), 2022. 16

2.3 BSI-Standard 100-4 / 200-4  berblick

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

BSI-Standard 200-4

BSI 200-4  Herausgeber

Bundesamt fr Sicherheit und Informationstechnik (BSI)

Als Nachfolger vom BSI 100-4 (Notfallmanagement)

Inhalte

Leitfaden fr das Business Continuity Management (BCM) und Anleitungen fr die Umsetzung eines BCM-Systems in Unternehmen und Organisationen

Definitionen und Begriffe, Risikoanalyse und Risikomanagement, BIA, Notfall-und Krisenmanagement, bungen und Tests, Verbesserungsprozess

Zertifizierung

Keine Zertifizierung mglich 17

2.3 BSI-Standard 100-4 / 200-4  Synergien

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Gesamtsicherheitsstrategie

Die Nutzung von Synergien fhrt zu einem besseren Austausch und Abgleich von Ergebnissen und verhindert, dass das BCMS als Insellsung betrachtet wird.

ITSCM

Outsourcing

Management

Krisenmanagement

ISMS 18

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 1 Einleitung

Allgemeine Informationen ber die Zielsetzung des Standards sowie den Adressatenkreis

Kapitel 2 Einfhrung in das BCM

Einordnung des Standards in die BSI-Standards, Begriffsdefinitionen (Strung, Notfall, Krise, ) sowie Vorstellung weiterer Standards zum Notfallmanagement

Vorstellung und Erluterung des neuen BCMS Stufenmodells (Reaktiv-, Aufbau-, Standard-BCMS)

Kapitel 3 Initiierung des BCMS

Verantwortung der Institutsleitung fr die Initiierung des BCMS und dessen Verankerung in der Organisation

Festlegung der Zielsetzung fr das BCM durch die Institutsleitung

Entscheidung ber den Geltungsbereich des BCMS (Gesamte Organisation, Teilbereiche, Standorte, einzelne Prozesse)

Benennung des BCM-Beauftragten und Definition der BCM-Aufbauorganisation

Bereitstellung angemessener finanzieller, zeitlicher und personellen Ressourcen durch die Geschftsleitung

Konzeption und Planung des BCMS

Schulung und Sensibilisierung der Mitarbeiter 19

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 4  Konzeption und Planung des BCMS

Definition und Abgrenzung

Analyse der erweiterten Rahmenbedingungen

Definition der BC-Aufbauorganisation

Dokumentation

Ressourcenplanung

Schulung

Sensibilisierung

Leitlinie BCMS 20

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 5 Aufbau und Befhigung der BAO

Aufbau der BAO

Detektion, Alarmierung und Eskalation

Definition von Sofortmanahmen

Festlegung der Grundstze zur Stabsarbeit

Definition der Geschftsordnung des Stabs

Herstellung der Fhigkeit zur Stabsarbeit

Notfall- und Krisen-Kommunikation (NuK-Kommunikation)

Nacharbeiten und Deeskalation

Analyse der Bewltigung 21

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 6  Voranalyse

Vorbereitung der Voranalyse

Konkretisierung des Begriffs zeitkritisch

Durchfhrung der Voranalyse

Konsolidierung und Vorstellung der Ergebnisse

Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS 22

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 7  Business Impact Analyse

Vorbereitung der BIA

Durchfhrung der BIA

Auswertung

Kapitel 8  Soll-Ist-Vergleich

Identifizierung der Ressourcenzustndigen

Durchfhrung des Soll-Ist-Vergleichs

Auswertung und Freigabe der Ergebnisse 23

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 9  BCM-Risikoanalyse

Auswahl einer geeigneten Risikoanalyse-Methode

Vorarbeiten zur Risikoanalyse

Erstellung einer Gefhrdungsbersicht

Risikoeinschtzung

Risikobewertung

Kapitel 10  Business-Continuity-Strategien und Lsungen

Identifikation mglicher BC-Strategien

Bewertung von BC-Strategien

Auswahl der BC-Strategien durch die Institutionsleitung

Umsetzung der BC-Strategien und Lsungen 24

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 11  Geschftsfortfhrungsplanung

Vorbereitung der GFPs

Erstellung der GFPs

Qualittssicherung und Freigabe

Kapitel 12  Wiederanlauf- und Wiederherstellungsplanung

Vorbereitung der WAPs

Erstellung der WAPs

Qualittssicherung und Freigabe der WAPs

Wiederherstellungsplanung im Rahmen des BCM

ben und Testen 25

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 13  ben und Testen

Rahmenbedingungen zum ben im Reaktiv-BCMS

Festlegung der Rahmenbedingungen zum ben

Erstellung einer Jahresbungsplanung

Vorbereitung und Durchfhrung einer bung

Auswertung und Nachbereitung von bungen

Kapitel 14  Leistungsberprfung und Berichterstattung

berwachung, Messung, Analyse und Bewertung

Bewertung und berwachung von externen Dienstleistern

Interne und externe berprfungen

Managementbewertung 26

2.3 BSI-Standard 200-4  Inhalt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Kapitel 15  Aufrechterhaltung und Verbesserung

Vorbereitung eines BCM-Manahmenplans

Ableitung von Korrektur- und Verbesserungsmanahmen

Umsetzung und berwachung von Korrektur- und Verbesserungsmanahmen

Weiterentwicklung des Reaktiv-BCMS 27

2.3 BSI-Standard 200-4  Inhalt

BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Anhang A  Anforderungskatalog

Anhang B  Hinweise zu den Hilfsmitteln 28

2.4 ISO 22301  internationaler Standard

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

ISO 22301

ISO 22301  Herausgeber

International Organization for Standardization (ISO)

Inhalte

Anwendungsbereich, Normative Weisungen, Begriffe, Kontext der Organisation, Fhrung, Planung, Untersttzung, Betrieb, Risikobeurteilung, Bewertung der Leistung, Verbesserung

Zertifizierung

Zertifizierung nach ISO 22301 mglich

INTERNATIONAL

STANDARD

ISO

22301 29

2.4 ISO 22301  internationaler Standard

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

ISO 22301:2020

ISO 22301:2020 ist ein internationaler Standard . Es legt fest welche Anforderungen eines BCMS erfllen muss, um effektiv geplant, implementiert, betrieben und stndig verbessert werden zu knnen. Unternehmen haben die Mglichkeit, sich nach ISO 22301 zertifizieren zu lassen, wodurch sie belegen knnen, dass sie den Anforderungen des Standards entsprechen. Seit Mai 2014 ist es nicht mehr mglich, nach dem Vorgngerstandard BS 25999-2 zertifiziert zu werden.

ISO 22313:2020

ISO 22313 hingegen bietet Empfehlungen und Erlaubnisse zur Umsetzung der Anforderungen von ISO 22301 und untersttzt Unternehmen bei der Implementierung des BCMS. Die Struktur von ISO 22313 ist identisch mit ISO 22301. 30

2.4 ISO 22301  bersicht

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Entstehung des ISO 22301

wurde vom ISO/TC 223 Societal Security im Rahmen der Standardisierungsarbeiten entwickelt.

In Deutschland wird die Normungsarbeit vom Komitee DIN NA 031-05 FBR Fachbereichsausschuss Sicherheit und Schutz des Gemeinwesens durchgefhrt.

Der ISO 22301 folgt den Anforderungen  der Next Generation of Management System Standards (NG-MSS) , die harmonisierte, integrierte und konsistente Managementsysteme frdern.

Das Framework wird um bereichsspezifische Anforderungen ergnzt und ermglicht eine Kompatibilitt der Standards sowie eine leichtere Umsetzung fr Organisationen mit mehreren Managementsystemstandards.

Durch die Integration von Scope, Policies und Prozeduren knnen Einsparungen erzielt werden.. 31

2.4 ISO 22301  Vereinheitlichung von Standards

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Annex SL  Leitfaden fr die Entwicklung von einheitlichen Managementsystemstandards  High Level Structure

Zuknftige Managementsystemstandards werden die folgende Struktur aufweisen:

0. Einleitung ( Introduction )

1. Anwendungsbereich ( Scope )

2. Normative Verweise ( Normative references )

3. Begriffe ( Terms and definitions )

4. Kontext der Organisation ( Context of the organization )

5. Fhrung ( Leadership )

6. Planung ( Planning )

7. Untersttzung ( Support )

8. Einsatz ( Operation )

9. Leistungsauswertung ( Performance evaluation )

10. Verbesserung ( Improvement )

In der ISO 22301:2012 wurden die Anforderungen

des Annex SL bereits umgesetzt. 32

2.4 ISO 22301  ISO 223xx Familie

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Die ISO 223xx Familie

Die ISO 223xx Familie umfasst mittlerweile insgesamt 16 verschiedene Standards.

ISO 22300:2018  Security and resilience  Vocabulary

ISO 22301:2020  Security and resilience  Business continuity management systemsRequirements

ISO 22311:2012  Societal Security  Video-surveillanceExport interoperability

ISO/TR 22312:2011  Societal Security  Technological capabilities

ISO 22313:2020  Societal Security  Business continuity management systemsGuidance

ISO 22315:2014  Societal Security  Mass evacuation Guidelines for planning

ISO 22316:2017  Societal Security  Organizational resilience Principles and guidelines

ISO/TS 22317:2015  Societal Security  Business continuity management systems Guidelines for business impact analysis (BIA)

ISO/TS 22318:2015  Societal Security  Business continuity management systems Guidelines for supply chain continuity 33

2.4 ISO 22301  ISO 223xx Familie

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Bereits verffentlichte Standards (Forts)

ISO 22320:2018  Societal Security  Emergency managementRequirements for incident response

ISO 22322:2015  Societal Security  Emergency management Public warning

ISO 22324:2015  Societal Security  Emergency management Colour-coded alert

ISO 22325:2016  Societal Security  Emergency management Guidelines for emergency management capability assessment

ISO/TR 22351:2015  Societal Security  Emergency management Message structure for exchange of information

ISO 22397:2014  Societal Security  Guidelines for establishing partnering arrangements

ISO 22398:2013  Societal Security  Guidelines for exercises 34

2.4 ISO 22301  Inhalte

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Einleitung ( Introduction ):

Allgemeines

Vorteile eines Business Continuity Management Systems

PDCA

Abschnitt 1 - Anwendungsbereich ( Scope ):

Definition des Geltungsbereichs von ISO 22301

Abschnitt 2 - Normative Verweise ( Normative references ):

Verweis auf ISO 22300 "Security and resilience-Vocabulary

Abschnitt 3 - Begriffe ( Terms and definitions ):

Definitionen der Begriffe nach ISO 22300 35 BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Abschnitt 4 - Kontext der Organisation:

Verstehen der Organisation und ihres Kontextes

Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Festlegen des Anwendungsbereichs des BCMS

Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des BCMS gem ISO 22301 Anforderungen

Abschnitt 5 - Fhrung:

Fhrung und Verpflichtung

Politik

Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Abschnitt 6 - Planung:

Manahmen zum Umgang mit Risiken und Mglichkeiten

Ziele zur Aufrechterhaltung der Betriebsfhigkeit und Planung zu deren Erreichung

Planung von nderungen am BCMS

2.4 ISO 22301  Inhalte 36

2.4 ISO 22301  Inhalte

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Abschnitt 7 - Untersttzung ( Support ):

Ressourcen

Kompetenz

Bewusstsein

Kommunikation

Dokumentierte Information

Abschnitt 8 - Einsatz ( Operation ):

Betriebliche Planung und Steuerung

Business-Impact-Analyse und Risikobeurteilung

Strategien und Lsungen zur Aufrechterhaltung der Betriebsfhigkeit

Plne und Verfahren zur Aufrechterhaltung der Betriebsfhigkeit

bungsprogramm

Bewertung der Dokumentation und Fhigkeiten zur Aufrechterhaltung der Betriebsfhigkeit 37

2.4 ISO 22301  Inhalte

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Abschnitt 9 Leistungsauswertung ( Performance evaluation )

berwachung, Messung, Analyse der Bewertung

Internes Audit

Managementbewertung

Abschnitt 10 Verbesserung ( Improvement )

Nichtkonformitt und Korrekturmanahmen

Fortlaufende Verbesserung 38

2.5 BCI Good Practice Guidelines: Anwendung und Nutzen

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Inhalt der Good Practice Guidelines (GPG)

Die GPG umfassen 6 Stufen des BCM-Lebenszyklus und ordnen diesen sog. Professional Practices zu (PP). Diese gliedern sich in 2 Management Practices und 4 Technical Practices.

Management Practices

PP1 Policy & Program Management

o Steht am Beginn des BCM-Lebenszyklus

o Definition der BCM-Leitlinie (Policy) und wie

o diese Leitlinie implementiert, gesteuert und validiert

werden soll.

PP2 Embedding Business Continuity

o Integration von BCM in das Alltagsgeschft und die

o Organisationskultur.

> Einbettung
> von Geschfts-
> kontinuitt 39

2.5 BCI Good Practice Guidelines: Anwendung und Nutzen

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Inhalt der Good Practice Guidelines

Technical Practices

PP3 Analysis

o Analyse der Organisation hinsichtlich ihrer Ziele, ihrer Funktionsweise und der Beschrnkungen, die sich aus der Umwelt der Organisation ergeben.

PP4 Design

o Identifikation und Auswahl angemessener Strategien und Taktiken zur Sicherstellung der Kontinuitt und der Wiederherstellung nach einem disruptiven Ereignis.

PP5 Implementation

o Implementierung der vereinbarten Strategien und Taktiken durch die Entwicklung eines Business Continuity Plans.

PP6 Validation

berprfung, ob das BCM den Zielen der BCM-Leitlinie entsprechen und ob das BCM der Organisation wie gewnscht funktioniert. 40

2.6 Anwendungsbereich des BCMS  Orientierung

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Organisation des BCMS

Business Impact Analyse  Risiko Analyse  Strategie und Wiederanlauf  berwachung und Verbesserung

Kontinuierliche Verbesserung des BCMS

Do Plan

Notfalltests

Check

Anwendungsbereich des BCMS

Rolle des Managements

Ziele und Planung des BCMS

Untersttzung des BCMS

BIA-Methode zur Identifikation kritischer Prozesse

Zuordnung von Assets (Service Komponenten)

Festlegung der Ausfall-und Wiederanlaufzeiten

Erstellung von bungs- und Testverfahren

Regelmige berprfung des BCMS

Risikoidentifikation

Risikobewertung

Risikobehandlung

Strategien und Manahmen zur Aufrechterhaltung der Betriebsfhigkeit

Business Continuity Plne und Manahmen zur Wiederherstellung

Act 41

2.6 Anwendungsbereich des BCMS  berblick

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Um geschftlichen Ziele im Rahmen des BCMS zu erreichen

Ermittlung relevanter externer und interner Aspekte

Kenntnis und Bercksichtigung der Bedrfnisse, Erwartungen, Anforderungen der Stakeholder der Organisation (externe Partner oder Organisation, auch interessierte Parteien)

Einhaltung behrdlicher und gesetzlicher Vorgaben

Ziele festlegen

Interne und externe Parameter festlegen

Anwendungsbereich und Rollen

Festlegen des Kontextes

Kultur

Politik

Gesetz

Finanzen

Extern

(auerhalb der Organisation)

Trends mit Auswirkungen auf Ziele der Organisation

(Vertragliche) Beziehungen zu externen Partnern/Kunden

Governance

Interne Strukturen

Rollen und Verantwortlichkeiten

Interne Stakeholder

2.6 Anwendungsbereich des BCMS  die Organisation und ihre Umwelt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Verstndnis des Geschfts der Organisation

Zunchst sollte ein detailliertes Verstndnis dafr entwickelt werden, was die Organisation tut. Bestimmte interne und externe Aspekte sollten dabei in jedem Fall bestimmt und dokumentiert werden:

Ziele

Dienstleistungen und Produkte

Ausma und Typ des akzeptierten Risikos

Zudem knnen die folgenden Aspekte bercksichtigt werden

Aktivitten

Funktionen

Partnerschaften

Supply Chains

Beziehungen mit Stakeholdern

Potenzieller Einfluss eines Vorfalls mit Betriebsunterbrechung. 43

2.6 Anwendungsbereich des BCMS  die Organisation und ihre Umwelt

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Aktivitten

Was macht das Unternehmen

Wie ist es organisiert?

Wer sind die wichtigsten Kunden?

Partnerschaften

Mit welchen Organisationen bestehen Partnerschaften?

Welcher Art sind diese, welche Produkte/Dienstleistungen/ ?

Supply Chains

Welche direkten Lieferabhngigkeiten bestehen?

Welche Organisationen sind beteiligt?

Welche Prozesse und Produkte/Dienstleistungen hngen von diesen ab?

Dienstleistungen

Wer sind die Kunden?

Welche sind am profitabelsten?

Welche die bekanntesten?

Gibt es Abhngigkeiten zwischen den Dienstleistungen?

Produkte

Wer sind die Kunden der Produkte?

Welche sind am profitabelsten?

Welcher sind die bekanntesten?

Gibt es Abhngigkeiten zwischen den Dienstleistungen?

Beziehungen zu den Stakeholdern

Welche gibt es? Name der Organisationen?

Welches Interesse besteht an der Organisation?

Funktionen

Buchhaltung

Personal

Forschung und Entwicklung

Organigramm inklusive Standorten der Funktionen

Kontext 44

Management der Stakeholder

Festlegung der Stakeholder und deren Anforderungen an das BCMS der Organisation, um die Bedrfnisse und Erwartungen feststellen zu knnen.

Sowohl das Verfahren zur Festlegung der Stakeholder und deren Anforderungen (insbes. in rechtlicher und regulatorischer Hinsicht) als auch die Ergebnisse dieses Verfahrens sollten dokumentiert werden.

Dokumentation der Bedrfnisse und Erwartungen in Bezug

auf BCM

2.6 Anwendungsbereich des BCMS  Erwartungen der Stakeholder

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Festlegung der Stakeholder

Mitarbeiter

Kunden

Lieferanten

Partner

Anforderungen der festgelegten Stakeholder

Gesetze

Vertragliche Vereinbarungen

Normen

2.6 Anwendungsbereich des BCMS  Erwartungen der Stakeholder

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Interne und externe Stakeholder (Beispiel)

Citizen

Customers

Distributors

Shareholders

Investors

Owners

Insurers

Government

Regulators

Recovery service suppliers

Competitors

Media

Commentators

Trade groups

Neighbours

Pressure groups

Emergency services

Other response agencies

Transport services

Dependants of staff

Organization

Management

Top management

Those who establish policies and objectives for the BCMS

Those who set up and manage business continuity

Those who maintain business continuity procedures

Owners of business continuity procedures

Management

Those with authority to invoke

Appropriate spokespeople

Response teams

Other Staff  Other Staff

Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 46

2.6 Anwendungsbereich des BCMS  Erwartungen der Stakeholder

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Anforderungen der Stakeholder

Die Anforderungen knnen regulatorische, vertragliche sowie interne betriebliche Vorgaben sein. Ein Beispiel einer betrieblichen Vereinbarung knnten Konzernvorgaben sein, die vorschreiben, dass in kritischen Geschftsbereichen BCM-Manahmen implementiert sind.

Beispiele fr rechtliche Anforderungen an BCM

GoB

GoBD

AktG

GmbHG

HGB

Allgemeine Anforderungen

BDSG/

DSGVO

TKG

BAIT

VAG

Basel III EnWG

KWG

Branchenspezifische Anforderungen

IT-Sicherheits-

gesetz/KRITIS

VAIT

Solvency II

MaRisk 47

2.6 Anwendungsbereich des BCMS  Festlegung des Anwendungsbereichs

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Festlegung des Anwendungsbereichs des BCMS

Es muss eine Entscheidung getroffen werden, fr welchen Teil der Organisation ein BCMS umgesetzt werden soll so knnte ein BCMS die gesamte Organisation umfassen, aber auch nur einen Teilbereich. Der Anwendungsbereich fr das BCMS sollte dokumentiert sein und folgende Aspekte bercksichtigen:

Verstndnis der Organisation und ihrer Umwelt

o z.B. Gre der Organisation

Verstndnis der Bedrfnisse und Erwartungen von Stakeholdern

z.B. vertragliche Vereinbarungen, rechtliche und regulatorische Anforderungen

Mission und Ziele sowie interne und externe Verpflichtungen der Organisation.

Ausnahmen fr den Geltungsbereich sind mglich, solange begrndet werden kann, dass diese die Kontinuitt der kritischen Geschftsprozesse sowie die Erfllung rechtlicher und regulatorischer Anforderungen nicht gefhrden knnen. Der Anwendungsbereich kann nach und nach erweitert werden. 48

Business Continuity Management System

Die Organisation soll ein BCMS, einschlielich der erforderlichen Prozesse und ihrer Wechselwirkungen in bereinstimmung mit den Anforderungen dieses Dokuments einrichten, implementieren, pflegen und kontinuierlich verbessern.

2.6 Anwendungsbereich des BCMS  Business Continuity Management System

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Plan

Do Act

Check

Plan

Do Act

Check

Reifegrad

Zeit

Kontinuierlicher Prozess

Angelehnt an die Darstellung von Limbach, BCM Vorlesung SoSe 2022 - HSNR 49

2.6 Anwendungsbereich des BCMS  Dokumentation

> BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Dokumente und Nachweise

Pflicht  Dokument/Nachweis

Verstehen der Organisation und ihres Kontexts

Verfahren zur Identifizierung relevanter rechtlicher und regulatorischer Anforderungen

Rechtliche, regulatorische und andere Anforderungen

Geltungsbereich des BCMS (Scope) und Erklrung der Ausschlsse 50

Fragen zur Veranstaltung

BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM 51

Impressum

Prof. Dr. Gael Pentang

Cybersecurity Management

Gael.Pentang@hs-niederrhein.de

BCSM 402  Business Continuity Management (BCM) - Kap.02: Standards und Rahmenbedingungen fr BCM

Transcript for:Kapitel 02

Transcript for:
Kapitel 02