ISO 22301
Die ISO 22301 (aktuellste Fassung 2. Edition von Oktober 2019) als internationale Norm legt Anforderungen an Business Continuity Management Systeme für Organisationen und für die Erstellung und den Umgang mit einem effektiven Business Continuity Management Systems (BCMS) fest.
Organisationen können gegenüber einem anerkannten Standardisierungsgremium eine ISO-Zertifizierung ihres Business Continuity Management Systems beantragen.
ISO 22301
Ein BCMS hebt folgende Aspekte hervor:
- Verständnis für die Bedürfnisse der Organisation sowie der Notwendigkeit der Einführung von Leitlinien und Zielsetzungen für das Business Continuity Management.
- Das Einführen und Betreiben von Kontrollmechanismen und Maßnahmen für das Management der Gesamtfähigkeit einer Organisation, mit Zwischenfällen und Betriebsunterbrechung umzugehen.
- Das Überwachen und Überprüfen der Leistung und der Effektivität des BCMS.
- Die ständige Verbesserung auf Grundlage objektiver Messungen.
Änderungen in der Version 2019:
- Anforderungen an Management Systeme der ISO wurden angepasst.
- Anforderungen an ein BCMS sind nun (fast) ausschließlich im Kapitel 8 „Operations“ enthalten.
- Das Kapitel 8 „Operations“ wurde vereinfacht und strukturierter (jedoch gleichzeitig ausgedehnter).
- Die Terminologie in Kapitel 3 wurde angepasst und verbessert (Verweis auf ISO 22300).
- Die Version 2019 ist konziser, gestraffter und fokussierter auf den Bereich „Operations“.
BSI-Standard 100-4 / 200-4
Im BSI-Standard 100-4 Notfallmanagement Version 1.0, welcher 2008 veröffentlicht wurde, wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten internen Notfallmanagements vorgestellt.
Der BSI-Standard 200-4 ist aktuell als Community Draft Version 2.0 vorzufinden. Er richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS.
BSI-Standard 100-4 / 200-4
100-4
Im BSI-Standard 100-4 Notfallmanagement Version 1.0, welcher 2008 veröffentlicht wurde, wird eine Methodik zur Etablierung und Aufrechterhaltung eines behörden- bzw. unternehmensweiten internen Notfallmanagements vorgestellt. Die beschriebene Methodik baut dabei auf der im BSI-Standard 100-2 beschriebenen IT Grundschutz-Vorgehensweise auf.
200-4
Der BSI-Standard 200-4 ist aktuell als Community Draft Version 1.0 vorzufinden. In Kürze erscheint die Version 2.0 und 2023 die offizielle Version. Er richtet sich an alle Institutionen unabhängig von ihrer Größe und bietet eine individuelle, ressourcenschonende und zielführende Methodik für den Aufbau und der Weiterentwicklung eines BCMS. Er führt die 200-x Reihe der BSI-Standards fort und richtet sich an alle relevanten Adressaten (BCM-Beauftragte, Krisenstabsmitglieder, Sicherheitsverantwortliche und -experten, etc.). Der modernisierte BSI-Standard 200-4 bietet verschiedene Hilfsmittel und Dokumentvorlagen an, die darin unterstützen sollen, die beschriebenen Prozesse und Methoden im BCM effektiv umzusetzen. Die Hilfsmittel richten sich primär an die Institutionen, die ein BCMS nach BSI Standard 200-4 aufbauen oder aufgebaut haben, können jedoch teilweise losgelöst vom BSI-Standard 200-4 eingesetzt werden. Der neue Standard erfüllt alle Anforderungen des ISO 22301.
Unterschiede von 100-4 zu 200-4 (High-Level Änderungshistorie)
- Neukonzeption basierend auf dem BSI-Standard 100-4.
- Einführung eines Stufenmodells (Reaktiv-BCMS, Aufbau-BCMS, Standard-BCMS).
- Erstellung praxisnaher Anleitungen für den Aufbau, Betrieb und die kontinuierliche Weiterentwicklung eines BCMS (prozessuale Darstellung, kein Fokus auf den zu erstellenden Dokumenten).
- Anpassung an den ISO-Standard 22301:2019.
- Ganzheitliche Betrachtung des BCM im Fokus der Resilienz.
- Änderung der Begriffe „Notfallmanagement“ in „Business Continuity Management (BCM)“ sowie „Notfallmanagementprozess“ in „Business Continuity Management System (BCMS)“.
- Ergänzung der BCM-Prozessschritte „Voranalyse“ und „Soll-Ist-Abgleich“.
- Berücksichtigung der Schnittstellen und Synergien des BCM mit ISMS, ITSCM und Krisenmanagement.
- Ausführliche Beschreibung der Bewältigungsorganisation und ihrer Strukturen.
Good Practice Guidelines
Die BCI Good Practice Guidelines sind seit ihrer ersten Veröffentlichung im Jahr 2001 zum führenden globalen Leitfaden für Business Continuity Fachleute geworden. Der darin beschriebene Business Continuity Management Lifecycle bietet einen Rahmen zur Strukturierung der Business Continuity Methode. Die GPG beschreiben nicht nur, was Fachleute tun sollten, sondern enthalten auch Informationen zum Warum und Wie der Durchführung.
Good Practice Guidelines
Die BCI GPG basieren auf den ISO-Anforderungen, indem sie definieren, was Einzelpersonen im Zusammenhang mit Business Continuity Managementmethoden wissen müssen. Auch die wichtigsten Phasen bei der Entwicklung, der Implementierung und beim Management eines erfolgreichen Business Continuity Programms sind beschrieben.
Reifegrad-Analyse BCM (GAP-Analyse)
- Erhebung gemäß BSI 200-4 / ISO 22301 GAP Analyse
- Dokumentensichtung
- Durchführung Experten-Interviews
- Konsolidierung & Ergebnisbericht
Business Impact Analyse
- Voranalyse
- Konzeption der Methodik
- Schadensbewertung
- Bestimmung RTO & Wiederanlaufparameter
- Identifizierung der Vererbung von Abhängigkeiten
- Erstellung BIA Bericht
Soll-Ist-Vergleich
- Erhebung gemäß BSI 200-4 auf Basis der BIA
- Identifizierung der Ressourcen-
verantwortlichen - Abgleich der RTA (IST-Zustand) mit RTO (SOLL-Zustand)
BCM-Risikoanalyse
- Konzeption der Methodik
- Festlegung der Rahmenparameter
- Definition eines Gefährdungskatalogs
- Risikobewertung
- Ableitung der Notfallszenarien
BC-Strategien & -Lösungen
- Ermittlung möglicher Handlungsoptionen (HO) im Notfall
- Bestimmung der Ressourcen pro HO
- Durchführung Kosten-Nutzen-Analyse pro HO
- Erstellung Maßnahmenpläne zur Prävention und Risikominderung
Outsourcing & Lieferketten BCM
- Klassifizierung kritischer Dienstleister
- Erstellung Anforderungskatalog an Dienstleister-BCM
- Vertragsprüfung & BCM-Audit auf Dienstleisterebene
Migration BSI 100-4 auf 200-4
- Analyse des Ist-Standes / Dokumentensichtung
- Konzeption des 200-4 Soll-Zustands und Anforderungsfeststellung (Dokumentenlandkarte, Prozesse, etc.)
- Ableitung/Planung der umzusetzenden Maßnahmen
- Umsetzung der Maßnahmen
Notfallbewältigung/-planung
- Erstellung der Geschäftsfortführungspläne
- Definition Wiederanlauf- & Wiederherstellungspläne
- Dokumentation des Notfallhandbuchs
Aufbau & Befähigung BAO
- Festlegung Rahmenbedingungen für Alarmierung inkl. Meldewege
- Aufbau der BAO (Rollen und Verantwortlichkeiten)
- Regeln zur Notfallkommunikation
- Schulung & Sensibilisierung
Üben & Testen
- Befähigung der mitwirkenden Personen auf Rollen durch Übungsdurchführungen (Alarmierungsübung, Stabsübung, etc.)
- Konzeption des Übungshandbuchs und der mitgeltenden Dokumente
- Unterstützung bei der Jahresübungsplanung
Zivile Alarmplanung
- Vorsorge zur Aufrechterhaltung von Regierungsfunktionen
- Erarbeitung Alarmkalender
- Unterstützung bei Abstimmungsbedarfen zwischen Behörden
- Identifikation kritische Kernfunktionen und Schlüsselpersonal
- Durchführung Alarmierungsübung
Audit Unterstützung
- Begleitung, Konzeption und Entwicklung der Vorbereitung von Audits
- Anforderungscheck gegenüber ISO 22301 Anforderungskatalog
- Katalogisierung der Anforderungen (Definition des Soll-Zustandes)
- Erstellung Auditcheckliste und -programm
Krisenmanagement
- Absicherung gegen den Ausfall von Ressourcen und Infrastrukturen
- Entwicklung eines Radarsystems zur Analyse sowie Monitoring von Angriffen
- Bildung einer internen und externen Kommunikationsstrategie für Notfälle
- Definition und Alarmierung der besonderen Aufbauorganisation
*Pflichtangaben
