Business Continuity Management

Business Continutity Management

Copyright ┬ę Shutterstock / G-Stock Studio

Was ist Business Continuity Management?

Business Continuity Management (BCM), ins deutsche ├╝bersetzt Betriebliches Kontinuit├Ątsmanagement, umfasst ein geplantes und organisiertes Vorgehen, um die Widerstandsf├Ąhigkeit der (zeit-)kritischen Gesch├Ąftsprozesse einer Institution nachhaltig zu steigern. Auf Schadensereignisse soll angemessen reagiert werden und die Gesch├Ąftst├Ątigkeit soll schnellstm├Âglich wiederaufgenommen werden k├Ânnen.

Das Business Continuity Management umfasst technische, organisatorische sowie personelle Ma├čnahmen um nach einem Krisenfall die Fortf├╝hrung des Kerngesch├Ąftes zu sichern oder nach einer lang andauernden schweren St├Ârung den Gesch├Ąftsbetrieb wiederherzustellen. Der ganzheitliche Prozess des BCM umfasst dabei sowohl reaktive als auch proaktive und strategische Ma├čnahmen die das Ziel haben Risiken langfristig zu reduzieren.

Fokus liegt auf den Gesch├Ąftsprozessen die f├╝r die Organisation von essentieller Bedeutung sind, deren kurz oder langfristiger Ausfall den Bestand des Unternehmens oder der Prozesse die die Erf├╝llung hoheitlicher Aufgaben beziehungsweise die Stabilit├Ąt des Finanzsystems gef├Ąhrden k├Ânnten.

Tipp

BCM wird auch gerne Notfallmanagement genannt.

Business Continuity Management System (BCMS)

Hierbei handelt es sich um einen gewichtigen Bestandteil der Aufrechterhaltung der Betriebsf├Ąhigkeit eines Unternehmens. Es erm├Âglicht durch eine geplante, strukturierte und organisierte Vorgehensweise das Erreichen eines angemessenen Business Continuity Niveaus.

Das Business Continuity Management System ist kein Bestandteil des Information Security Management System (ISMS, englisch f├╝r Managementsystem f├╝r Informationssicherheit). Es ist ein eigenst├Ąndiges Managementsystem das in der Regel zahlreiche Schnittstellen besitzt.

M├Âgliche Szenarien f├╝r einen BCM-Fall

Der Bedarf f├╝r ein Business Continuity Management kann durch verschiedene Ereignisse ausgel├Âst werden. Folgende Ereignisse sind denkbar: Ausfall von IT-Prozessen, Netzwerk, Software oder Hardware, Naturkatastrophen sowie Stromausf├Ąlle oder Hackerangriffe. Auch der Ausfall von Dienstleistern, Partnern und Personal kann abgedeckt werden. Je nach Ereignis und Prozess werden spezifische Ma├čnahmen definiert.

Normen, Standards und Anforderungen

Die Beschreibung des Business Continuity Managements wird durch verschiedene Normen und Industriestandards vorgenommen.

Exempel

Beispielsweise durch ISO 17799 oder die Mindestanforderungen an das Risikomanagement f├╝r Kreditinstitute (MaRisk). Das deutsche Bundesamt f├╝r Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 Notfallmanagement als Erg├Ąnzung zum IT-Grundschutz erstellt.

Bestandteile des Business Continuity Management

Innerhalb des Business Continuity Managements steht die BCM-Policy ganz am Anfang. Im ersten Schritt wird festgelegt welche Bereiche der Organisation durch BCM gesichert werden sollen, welche Standards genutzt werden und welche Ziele verfolgt werden.

Ziel der Policy ist den Rahmen abzustecken und die Verantwortlichkeiten zu definieren.

Bei der Business Impact Analyse (BIA) werden potenzielle Schadensszenarien durchgespielt. Die Gesch├Ąftsprozesse werden analysiert um Ressourcen zu identifizieren. Wechselseitige Abh├Ąngigkeiten zwischen Prozessen oder ganzen Unternehmensbereichen werden aufgezeigt. Au├čerdem wird die Kritikalit├Ąt der Prozesse sowie deren Wiederanlaufzeiten identifiziert.

Die BIA bildet die Grundlage f├╝r das Business Continuity Management.

Der Wiederanlauf kann auf verschiedene Weisen realisiert werden. Die Optionen unterscheiden sich durch verschiedene Parameter wie Kosten und Zuverl├Ąssigkeit oder Wiederanlaufzeit. Die Alternativen werden identifiziert und f├╝r die Organisation ausgew├Ąhlt. H├Ąufig wird dies auf Basis einer Kosten-Nutzen-Analyse gemacht. Die Notfallpl├Ąne werden auf Prozess- und Ressourcenebene ├╝bertragen beziehungsweise entwickelt und konkretisiert.

Notfallbew├Ąltigung und Krisenmanagement

Nicht alle Risiken k├Ânnen vollst├Ąndig eliminiert werden. Durch ein Krisenmanagement wird dem Rechnung getragen. Die Notfall- und Krisensituationen werden identifiziert und analysiert. Bew├Ąltigungsstrategien sowie die Einleitung beziehungsweise Verfolgung von Gegenma├čnahmen werden entwickelt. Dazu z├Ąhlt auch die Definition der Rollen und Verantwortlichkeiten sowie Kommunikations- und Alarmierungswegen zur ├ťberwachung und Steuerung im Ernstfall.

Tests und ├ťbungen

├ťbungen trainieren die konzipierten Abl├Ąufe, schaffen Routine bei den Mitarbeitern und verifizieren die Effizienz der Ma├čnahmen. Das Notfallkonzept sowie das Krisenmanagement m├╝ssen regelm├Ą├čig ├╝berpr├╝ft werden. Um die Tests m├Âglichst effizient zu machen sollte eine sinnvolle Planung zu Grunde liegen. Die daraus resultierenden Erfahrungen sollten direkt in das BCM aufgenommen werden.

Aufrechterhaltung und kontinuierliche Verbesserung

Der BCM-Lifecycle folgt dem Prinzip des Demingkreis: Plan (Planung), Do (Umsetzung), Check (Kontrolle) und Act (Verbesserung). Neben der stetigen Aktualisierung der Dokumente muss auch der Notfallmanagementprozess selbst regelm├Ą├čig ├╝berpr├╝ft werden um ihn effizient und aktuell zu halten. Durch Self-Assesments und Audits werden die Prozess regelm├Ą├čig kontrolliert.

Reifegradanalyse

Ist BCM bereits in der Organisation umgesetzt k├Ânnen die Prozesse und Strukturen mit Hilfe einer Reifegradanalyse bewertet werden. Es wird dabei eine Potentialbewertung vorgenommen um die Professionalit├Ąt zu bewerten. Dies wird in der Regel entweder nach BSI 100-4 Notfallmanagement oder nach ISO 22301:2012 gemacht.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte