Business Continuity Management
Inhaltsverzeichnis
Was ist Business Continuity Management?
Business Continuity Management (BCM), ins deutsche übersetzt Betriebliches Kontinuitätsmanagement, umfasst ein geplantes und organisiertes Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse einer Institution nachhaltig zu steigern. Auf Schadensereignisse soll angemessen reagiert werden und die Geschäftstätigkeit soll schnellstmöglich wiederaufgenommen werden können.
Das Business Continuity Management umfasst technische, organisatorische sowie personelle Maßnahmen um nach einem Krisenfall die Fortführung des Kerngeschäftes zu sichern oder nach einer lang andauernden schweren Störung den Geschäftsbetrieb wiederherzustellen. Der ganzheitliche Prozess des BCM umfasst dabei sowohl reaktive als auch proaktive und strategische Maßnahmen die das Ziel haben Risiken langfristig zu reduzieren.
Fokus liegt auf den Geschäftsprozessen die für die Organisation von essentieller Bedeutung sind, deren kurz oder langfristiger Ausfall den Bestand des Unternehmens oder der Prozesse die die Erfüllung hoheitlicher Aufgaben beziehungsweise die Stabilität des Finanzsystems gefährden könnten.
Tipp
BCM wird auch gerne Notfallmanagement genannt.
Business Continuity Management System (BCMS)
Hierbei handelt es sich um einen gewichtigen Bestandteil der Aufrechterhaltung der Betriebsfähigkeit eines Unternehmens. Es ermöglicht durch eine geplante, strukturierte und organisierte Vorgehensweise das Erreichen eines angemessenen Business Continuity Niveaus.
Das Business Continuity Management System ist kein Bestandteil des Information Security Management System (ISMS, englisch für Managementsystem für Informationssicherheit). Es ist ein eigenständiges Managementsystem das in der Regel zahlreiche Schnittstellen besitzt.
Mögliche Szenarien für einen BCM-Fall
Der Bedarf für ein Business Continuity Management kann durch verschiedene Ereignisse ausgelöst werden. Folgende Ereignisse sind denkbar: Ausfall von IT-Prozessen, Netzwerk, Software oder Hardware, Naturkatastrophen sowie Stromausfälle oder Hackerangriffe. Auch der Ausfall von Dienstleistern, Partnern und Personal kann abgedeckt werden. Je nach Ereignis und Prozess werden spezifische Maßnahmen definiert.
Normen, Standards und Anforderungen
Die Beschreibung des Business Continuity Managements wird durch verschiedene Normen und Industriestandards vorgenommen.
Exempel
Beispielsweise durch ISO 17799 oder die Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk). Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 Notfallmanagement als Ergänzung zum IT-Grundschutz erstellt.
Bestandteile des Business Continuity Management
Ziel der Policy ist den Rahmen abzustecken und die Verantwortlichkeiten zu definieren.
Die BIA bildet die Grundlage für das Business Continuity Management.
Notfallbewältigung und Krisenmanagement
Nicht alle Risiken können vollständig eliminiert werden. Durch ein Krisenmanagement wird dem Rechnung getragen. Die Notfall- und Krisensituationen werden identifiziert und analysiert. Bewältigungsstrategien sowie die Einleitung beziehungsweise Verfolgung von Gegenmaßnahmen werden entwickelt. Dazu zählt auch die Definition der Rollen und Verantwortlichkeiten sowie Kommunikations- und Alarmierungswegen zur Überwachung und Steuerung im Ernstfall.
Tests und Übungen
Übungen trainieren die konzipierten Abläufe, schaffen Routine bei den Mitarbeitern und verifizieren die Effizienz der Maßnahmen. Das Notfallkonzept sowie das Krisenmanagement müssen regelmäßig überprüft werden. Um die Tests möglichst effizient zu machen sollte eine sinnvolle Planung zu Grunde liegen. Die daraus resultierenden Erfahrungen sollten direkt in das BCM aufgenommen werden.
Aufrechterhaltung und kontinuierliche Verbesserung
Der BCM-Lifecycle folgt dem Prinzip des Demingkreis: Plan (Planung), Do (Umsetzung), Check (Kontrolle) und Act (Verbesserung). Neben der stetigen Aktualisierung der Dokumente muss auch der Notfallmanagementprozess selbst regelmäßig überprüft werden um ihn effizient und aktuell zu halten. Durch Self-Assesments und Audits werden die Prozess regelmäßig kontrolliert.
Reifegradanalyse
Ist BCM bereits in der Organisation umgesetzt können die Prozesse und Strukturen mit Hilfe einer Reifegradanalyse bewertet werden. Es wird dabei eine Potentialbewertung vorgenommen um die Professionalität zu bewerten. Dies wird in der Regel entweder nach BSI 100-4 Notfallmanagement oder nach ISO 22301:2012 gemacht.
Sie haben noch Fragen?