Business Continuity Management
Unsere Welt und Wirtschaft wird nach den letzten Jahren nicht mehr dieselbe sein. Ein unsauber implementiertes Business Continuity Management, welches den heutigen Herausforderungen nicht gerecht wird, kann ein Risiko darstellen. Wir möchten gemeinsam mit Ihnen Maßnahmen entwickeln, mit denen Sie Ihr Unternehmen sicher(er) durch Krisen bringen. Wir möchten Ihre Risiken minimieren und den negativen Impact der Krise auf Ihre Organisation reduzieren.
Wir haben einen Leitfaden ausgearbeitet und bieten Ihnen als ersten Schritt einen Check zur Kontinuität der Betriebsfähigkeit an, der selbstverständlich auch Aspekte des Wiederanlaufs und der strategischen Neuausrichtung enthält.
Was ist Business Continuity Management?
Treiber - Vorfälle und Krisensituationen
Die Vorteile eines Business Continuity Management Systems liegen auf der Hand
Gängige Standards und Umsetzungshilfen für die Etablierung eines Business Continuity Management Systems
ISO 22301
Die ISO 22301 (aktuellste Fassung 2. Edition von Oktober 2019) als internationale Norm legt Anforderungen an Business Continuity Management Systeme für Organisationen und für die Erstellung und den Umgang mit einem effektiven Business Continuity Management Systems (BCMS) fest.
Organisationen können gegenüber einem anerkannten Standardisierungsgremium eine ISO-Zertifizierung ihres Business Continuity Management Systems beantragen.
ISO 22301
Ein BCMS hebt folgende Aspekte hervor:
- Verständnis für die Bedürfnisse der Organisation sowie der Notwendigkeit der Einführung von Leitlinien und Zielsetzungen für das Business Continuity Management.
- Das Einführen und Betreiben von Kontrollmechanismen und Maßnahmen für das Management der Gesamtfähigkeit einer Organisation, mit Zwischenfällen und Betriebsunterbrechung umzugehen.
- Das Überwachen und Überprüfen der Leistung und der Effektivität des BCMS.
- Die ständige Verbesserung auf Grundlage objektiver Messungen.
Änderungen in der Version 2019:
- Anforderungen an Management Systeme der ISO wurden angepasst.
- Anforderungen an ein BCMS sind nun (fast) ausschließlich im Kapitel 8 „Operations“ enthalten.
- Das Kapitel 8 „Operations“ wurde vereinfacht und strukturierter (jedoch gleichzeitig ausgedehnter).
- Die Terminologie in Kapitel 3 wurde angepasst und verbessert (Verweis auf ISO 22300).
- Die Version 2019 ist konziser, gestraffter und fokussierter auf den Bereich „Operations“.
BSI-Standard 200-4
Der aktualisierte BSI-Standard 200-4 bietet einen erprobten Rahmen, um ein Business Continuity Management System (BCMS) aufzubauen. Der Standard richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.
BSI-Standard 200-4
200-4
Der aktualisierte BSI-Standard 200-4 bietet einen erprobten Rahmen, um ein Business Continuity Management System (BCMS) aufzubauen. Der Standard richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.
Er führt die 200-x Reihe der BSI-Standards fort und richtet sich an alle relevanten Adressaten (BCM-Beauftragte, Krisenstabsmitglieder, Sicherheitsverantwortliche und -experten etc.). Der modernisierte BSI-Standard 200-4 bietet verschiedene Hilfsmittel und Dokumentvorlagen an, die darin unterstützen sollen, die beschriebenen Prozesse und Methoden im BCM effektiv umzusetzen. Die Hilfsmittel richten sich primär an die Institutionen, die ein BCMS nach BSI Standard 200-4 aufbauen oder aufgebaut haben, können jedoch teilweise losgelöst vom BSI-Standard 200-4 eingesetzt werden. Der neue Standard erfüllt alle Anforderungen des ISO 22301.
Good Practice Guidelines
Die BCI Good Practice Guidelines sind seit ihrer ersten Veröffentlichung im Jahr 2001 zum führenden globalen Leitfaden für Business Continuity Fachleute geworden. Der darin beschriebene Business Continuity Management Lifecycle bietet einen Rahmen zur Strukturierung der Business Continuity Methode. Die GPG beschreiben nicht nur, was Fachleute tun sollten, sondern enthalten auch Informationen zum Warum und Wie der Durchführung.
Good Practice Guidelines
Die BCI GPG basieren auf den ISO-Anforderungen, indem sie definieren, was Einzelpersonen im Zusammenhang mit Business Continuity Managementmethoden wissen müssen. Auch die wichtigsten Phasen bei der Entwicklung, der Implementierung und beim Management eines erfolgreichen Business Continuity Programms sind beschrieben.
Unsere Vorgehensweise für die Etablierung eines BCMS
Unsere Business Continuity Management- und Krisenmanagement-Schwerpunkte sowie Beratungsleistungen
Reifegrad-Analyse BCM (GAP-Analyse)
- Erhebung gemäß BSI 200-4 / ISO 22301 GAP Analyse
- Dokumentensichtung
- Durchführung Experten-Interviews
- Konsolidierung & Ergebnisbericht
Business Impact Analyse
- Voranalyse
- Konzeption der Methodik
- Schadensbewertung
- Bestimmung RTO & Wiederanlaufparameter
- Identifizierung der Vererbung von Abhängigkeiten
- Erstellung BIA Bericht
Soll-Ist-Vergleich
- Erhebung gemäß BSI 200-4 auf Basis der BIA
- Identifizierung der Ressourcen-
verantwortlichen - Abgleich der RTA (IST-Zustand) mit RTO (SOLL-Zustand)
BCM-Risikoanalyse
- Konzeption der Methodik
- Festlegung der Rahmenparameter
- Definition eines Gefährdungskatalogs
- Risikobewertung
- Ableitung der Notfallszenarien
BC-Strategien & -Lösungen
- Ermittlung möglicher Handlungsoptionen (HO) im Notfall
- Bestimmung der Ressourcen pro HO
- Durchführung Kosten-Nutzen-Analyse pro HO
- Erstellung Maßnahmenpläne zur Prävention und Risikominderung
Outsourcing & Lieferketten BCM
- Klassifizierung kritischer Dienstleister
- Erstellung Anforderungskatalog an Dienstleister-BCM
- Vertragsprüfung & BCM-Audit auf Dienstleisterebene
Migration BSI 100-4 auf 200-4
- Analyse des Ist-Standes / Dokumentensichtung
- Konzeption des 200-4 Soll-Zustands und Anforderungsfeststellung (Dokumentenlandkarte, Prozesse, etc.)
- Ableitung/Planung der umzusetzenden Maßnahmen
- Umsetzung der Maßnahmen
Notfallbewältigung/-planung
- Erstellung der Geschäftsfortführungspläne
- Definition Wiederanlauf- & Wiederherstellungspläne
- Dokumentation des Notfallhandbuchs
Aufbau & Befähigung BAO
- Festlegung Rahmenbedingungen für Alarmierung inkl. Meldewege
- Aufbau der BAO (Rollen und Verantwortlichkeiten)
- Regeln zur Notfallkommunikation
- Schulung & Sensibilisierung
Üben & Testen
- Befähigung der mitwirkenden Personen auf Rollen durch Übungsdurchführungen (Alarmierungsübung, Stabsübung, etc.)
- Konzeption des Übungshandbuchs und der mitgeltenden Dokumente
- Unterstützung bei der Jahresübungsplanung
Zivile Alarmplanung
- Vorsorge zur Aufrechterhaltung von Regierungsfunktionen
- Erarbeitung Alarmkalender
- Unterstützung bei Abstimmungsbedarfen zwischen Behörden
- Identifikation kritische Kernfunktionen und Schlüsselpersonal
- Durchführung Alarmierungsübung
Audit Unterstützung
- Begleitung, Konzeption und Entwicklung der Vorbereitung von Audits
- Anforderungscheck gegenüber ISO 22301 Anforderungskatalog
- Katalogisierung der Anforderungen (Definition des Soll-Zustandes)
- Erstellung Auditcheckliste und -programm
Krisenmanagement
- Absicherung gegen den Ausfall von Ressourcen und Infrastrukturen
- Entwicklung eines Radarsystems zur Analyse sowie Monitoring von Angriffen
- Bildung einer internen und externen Kommunikationsstrategie für Notfälle
- Definition und Alarmierung der besonderen Aufbauorganisation
Ihre Ansprechpartner zum Thema Business Continuity
