Business Continuity Management: Was ist das?
BSI Standard 200-4: Ein weiteres Management-System?
Von Ingo Simon, Geschäftsführer der SAVISCON GmbH
Anfang 2021 hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des „Standards 200-4 Business Continuity Management (BCM)“ vorgestellt. Dieser Standard soll in der zweiten Jahreshälfte 2021 den bisher gültigen „Standard 100-4 Notfallmanagement“ ablösen. Doch was ist Business Continuity Management überhaupt? Müssen wir von vorne anfangen und ein neues Managementsystem aufsetzen? Das besprechen wir in diesem Blog-Beitrag:
Was ist Business Continuity Management?
Mit Business Continuity Management ist gemeint, dass gefährliche Situationen, die die Geschäftsfähigkeit von Unternehmen ganz oder teilweise beeinträchtigen können, bereits im Vorfeld identifiziert und antizipiert werden. Für den Fall eines Eintritts werden dann entsprechende Vorsorgestrategien und Maßnahmen entwickelt. So soll erreicht werden, dass die Geschäftsfähigkeit in Notfällen nicht zum Erliegen kommt, beziehungsweise schnellstmöglich wieder hergestellt werden kann, und das Unternehmen nicht durch das Ereignis gefährdet wird.
Wie startet man mit BCM?
Als erstes wird das Unternehmen analysiert und alle unternehmenskritischen Prozesse evaluiert. Diese wesentlichen Prozesse werden dann im nächsten Schritt in den Fokus genommen. In einem Risikoassessment muss evaluiert werden, welche Risiken es in Bezug auf diese Prozesse gibt, die potenziell existenzgefährdend sind. Es werden dann Vorsorge-Maßnahmen definiert, durch die das Unternehmen bereits im Vorhinein geschützt werden kann. Welche wesentlichen Risiken es für kleine und mittelständische Unternehmen gibt, haben wir bereits in einem anderen Blog-Beitrag behandelt: Wesentliche Risiken für kleine und mittelständische Unternehmen.
Im Grunde unterliegt das Business Continuity Management, wie alle gängigen Management-Systeme – auch dem Plan-Do-Act-Check-Zyklus (PDCA-Zyklus) und ist Teil eines kontinuierlichen Verbesserungsprozesses:
Standard 100-4 vs. 200-4
Jetzt fragen Sie sich vielleicht: Ist meine bisherige Arbeit zum Standard 100-4 hinfällig? Nein, ist sie nicht! Denn das Notfallmanagement ist nach wie vor Teil des Business Continuity Managements. Oben haben wir von Vorsorgemaßnahmen (proaktiv) gesprochen. Doch tritt ein katastrophales Ereignis trotz allem ein, werden die Notfallmaßnahmen (reaktiv) ja trotzdem benötigt. Sie können alles bisher Erarbeitete also weiterverwenden und ergänzen. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.
Stufenmodell BSI Standard 200-4
Der Standard 200-4 ist ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:
Reaktiv-BCMS
Das Reaktive-BCMS ist vor allem für Unternehmen geeignet, die als Ziel haben, besonders für mögliche Notfälle gewappnet zu sein und schnell reagieren zu können. Dabei greifen die Unternehmen auf bereits vorhandene Sicherheits- und Vorsorgemaßnahmen zurück und setzen sich nur mit ausgewählten, zeitkritischen Unternehmensprozessen auseinander. Andere BCM-Maßnahmen werden beim Reaktiv-BCM vorerst zurückgestellt, weil die Analyse im ersten Schritt zu aufwändig wäre. Dies wird dann beim Wechsel in das Aufbau- bzw. Standard-BCMS nachgeholt. Dieser Wechsel ist nötig, denn das Reaktiv-BCMS stellt nur einen stark vereinfachten Einstieg dar und muss zum Aufbau bzw. Standard-BCMS weiterentwickelt werden.
Zusammenfassend halten wir fest:
- dient als vereinfachter Einstieg
- Notfallbewältigung wird ermöglicht
- Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen
Aufbau-BCMS
Auch das Aufbau-BCMS steht für den Schutz von zeitkritischen Geschäftsprozessen und Assets eines Unternehmens. Hierbei wird zunächst der Prozessumfang eines Geltungsbereiches näher analysiert und innerhalb des BCM abgesichert. Vorteil gegenüber dem Standard-BCMS: Die Unternehmen können ihre zeitlichen- und personellen Ressourcen schrittweise festlegen und nach dem ersten Zyklus mit den gewonnenen Erfahrungen anpassen und verbessern. Unternehmen, die über geringe Erfahrungswerte verfügen und ihr BCMS schrittweise sowie risikoorientiert aufbauen wollen, sind mit dem Aufbau-BCMS gut beraten.
Zusammenfassend halten wir fest:
- erleichtert den Übergang zum Standard-BCMS
- Formalisierung der Methodik
- zusätzliche Geschäftsprozesse werden betrachtet
Standard-BCMS (mit ISO 22301:2019 kompatibel)
Beim Standard-BCMS werden alle Geschäftsprozesse analysiert, die im Geltungsbereich des BCM liegen. Das entspricht laut BSI einem vollständigen und angemessenen BCMS und wird allen Stakeholdern gerecht. Mit Einführung des Standard-BCMS werden alle zeitkritischen Geschäftsprozesse entsprechend des Ausfallrisikos mittels Vorsorge- und Notfallmaßnahmen abgesichert. Wenn ein Unternehmen diesen Status erreicht hat, kann es sich für die Zertifizierung nach ISO-Standard 22301 qualifizieren.
Zusammenfassend halten wir fest:
- Empfehlung vom BSI für alle Institutionen
- vollständiges BCM
- ISO 22301 kompatibel
- Untersuchung aller Geschäftsprozess
Reicht mein ISMS noch aus?
Laut BSI reicht ein reguläres Informationssicherheits-Management-System (ISMS) nicht mehr aus. Ein Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, falls er ausgefallen ist, so schnell wie möglich wieder aufgenommen werden kann. Daher müsse es als ein weiteres, korrespondierendes Management-System eingeführt werden.
Wir empfehlen im Sinne der Digitalisierung, dass sich Unternehmen beim Neuaufbau Ihres BCM (oder generell eines jeden Management Systems) direkt für eine Umsetzung in einer geeigneten Software entscheiden, die alle Management-Systeme abbilden kann und die einzelnen Risiken und Maßnahmen sinnvoll miteinander verbindet.
Genau das machen wir im SAVISCON GRC-COCKPIT. So können die Risiken und Gegenmaßnahmen auch abteilungsübergreifend und Management-System übergreifend durchgängig und effizient erfasst werden. Alle notwendigen Informationen sind in konsolidierter Form im System vorhanden. Im Übrigen wird durch die Dokumentation im GRC-COCKPIT auch der jeweilige Audit-Prozess pro Management-System wesentlich effizienter abgewickelt werden können.
Wann erscheint die finale Fassung des Standard 200-4?
Bis Juni 2021 konnte der Community Draft kommentiert werden. Im Nachgang werden die Kommentare eingearbeitet und die Veröffentlichung des finalen Standards ist für die zweite Jahreshälfte geplant. Ein genaues Datum steht nicht fest, da man den Umfang des Anwender-Feedbacks nicht einschätzen kann. Sobald der Standard 200-4 vom BSI offiziell herausgegeben wird, werden wir Sie hier informieren.
Über den Autor
Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446