Business Continuity Management

Was ist Business Continuity Management?

Business Continuity Management (BCM), ins deutsche übersetzt Betriebliches Kontinuitätsmanagement, umfasst ein geplantes und organisiertes Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern. Auf Schadensereignisse soll angemessen reagiert werden und die Geschäftstätigkeit soll schnellstmöglich wiederaufgenommen werden können.

Das Business Continuity Management umfasst technische, organisatorische sowie personelle Maßnahmen um nach einem Krisenfall die Fortführung des Kerngeschäftes zu sichern oder nach einer lang andauernden schweren Störung den Geschäftsbetrieb wiederherzustellen. Der ganzheitliche Prozess des BCM umfasst dabei sowohl reaktive als auch proaktive und strategische Maßnahmen die das Ziel haben Risiken langfristig zu reduzieren.

Fokus liegt auf den Geschäftsprozessen die für die Organisation von essentieller Bedeutung sind, deren kurz oder langfristiger Ausfall den Bestand des Unternehmens oder der Prozesse die die Erfüllung hoheitlicher Aufgaben beziehungsweise die Stabilität des Finanzsystems gefährden könnten.

BCM wird auch gerne Notfallmanagement genannt.

Business Continuity Management System (BCMS)

Hierbei handelt es sich um einen gewichtigen Bestandteil der Aufrechterhaltung der Betriebsfähigkeit eines Unternehmens. Es ermöglicht durch eine geplante, strukturierte und organisierte Vorgehensweise das Erreichen eines angemessenen Business Continuity Niveaus.

Das Business Continuity Management System ist kein Bestandteil des Information Security Management System (ISMS, englisch für Managementsystem für Informationssicherheit). Es ist ein eigenständiges Managementsystem das in der Regel zahlreiche Schnittstellen besitzt.

Mögliche Szenarien für einen BCM-Fall

Der Bedarf für ein Business Continuity Management kann durch verschiedene Ereignisse ausgelöst werden. Folgende Ereignisse sind denkbar: Ausfall von IT-Prozessen, Netzwerk, Software oder Hardware, Naturkatastrophen sowie Stromausfälle oder Hackerangriffe. Auch der Ausfall von Dienstleistern, Partnern und Personal kann abgedeckt werden. Je nach Ereignis und Prozess werden spezifische Maßnahmen definiert.

Normen, Standards und Anforderungen

Die Beschreibung des Business Continuity Managements wird durch verschiedene Normen und Industriestandards vorgenommen. Beispielsweise durch ISO 17799 oder die Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk). Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 Notfallmanagement als Ergänzung zum IT-Grundschutz erstellt.

Bestandteile des Business Continuity Management

BCM-Policy

Innerhalb des Business Continuity Managements steht die BCM-Policy ganz am Anfang. Im ersten Schritt wird festgelegt welche Bereiche der Organisation durch BCM gesichert werden sollen, welche Standards genutzt werden und welche Ziele verfolgt werden.

Ziel der Policy ist den Rahmen abzustecken und die Verantwortlichkeiten zu definieren.

BIA (Business Impact Analyse)

Bei der Business Impact Analyse (BIA) werden potenzielle Schadensszenarien durchgespielt. Die Geschäftsprozesse werden analysiert um Ressourcen zu identifizieren. Wechselseitige Abhängigkeiten zwischen Prozessen oder ganzen Unternehmensbereichen werden aufgezeigt. Außerdem wird die Kritikalität der Prozesse sowie deren Wiederanlaufzeiten identifiziert.

Die BIA bildet die Grundlage für das Business Continuity Management.

Notfallplankonzeption

Der Wiederanlauf kann auf verschiedene Weisen realisiert werden. Die Optionen unterscheiden sich durch verschiedene Parameter wie Kosten und Zuverlässigkeit oder Wiederanlaufzeit. Die Alternativen werden identifiziert und für die Organisation ausgewählt. Häufig wird dies auf Basis einer Kosten-Nutzen-Analyse gemacht. Die Notfallpläne werden auf Prozess- und Ressourcenebene übertragen beziehungsweise entwickelt und konkretisiert.

Notfallbewältigung und Krisenmanagement

Nicht alle Risiken können vollständig eliminiert werden. Durch ein Krisenmanagement wird dem Rechnung getragen. Die Notfall- und Krisensituationen werden identifiziert und analysiert. Bewältigungsstrategien sowie die Einleitung beziehungsweise Verfolgung von Gegenmaßnahmen werden entwickelt. Dazu zählt auch die Definition der Rollen und Verantwortlichkeiten sowie Kommunikations- und Alarmierungswegen zur Überwachung und Steuerung im Ernstfall.

Tests und Übungen

Übungen trainieren die konzipierten Abläufe, schaffen Routine bei den Mitarbeitern und verifizieren die Effizienz der Maßnahmen. Das Notfallkonzept sowie das Krisenmanagement müssen regelmäßig überprüft werden. Um die Tests möglichst effizient zu machen sollte eine sinnvolle Planung zu Grunde liegen. Die daraus resultierenden Erfahrungen sollten direkt in das BCM aufgenommen werden.

Aufrechterhaltung und kontinuierliche Verbesserung

Der BCM-Lifecycle folgt dem Prinzip des Demingkreis: Plan (Planung), Do (Umsetzung), Check (Kontrolle) und Act (Verbesserung). Neben der stetigen Aktualisierung der Dokumente muss auch der Notfallmanagementprozess selbst regelmäßig überprüft werden um ihn effizient und aktuell zu halten. Durch Self-Assesments und Audits werden die Prozess regelmäßig kontrolliert.

Reifegradanalyse

Ist BCM bereits in der Organisation umgesetzt können die Prozesse und Strukturen mit Hilfe einer Reifegradanalyse bewertet werden. Es wird dabei eine Potentialbewertung vorgenommen um die Professionalität zu bewerten. Dies wird in der Regel entweder nach BSI 100-4 Notfallmanagement oder nach ISO 22301:2012 gemacht.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte