BSI veröffentlicht Community Draft zum Standard 200-4

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Aus Notfallmanagement wird Business Continuity Managemet

Am 19. Januar 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des Standards 200-4 vorgestellt. Die Projektleiter Cäcilia Jung und Daniel Gilles haben in Zusammenarbeit mit Marcel Lehmann (HiSolutions AG) den „Standard 100-4 Notfallmanagement“ weiterentwickelt zum CD „Standard 200-4 Business Continuity Management“ (BCM). Während des 1. IT-Grundschutz-Tags 2021 gaben sie Einblicke in die Modernisierung des Standards und warben um Feedback der Teilnehmer.

Was ist neu?

• Stufenmodell (ähnlich Standard 200-2 IT-Grundschutz-Methodik)
• Darstellung möglicher Synergien (ISMS, BCMS, Krisenmanagement)
• vereinfachte Methodik
• Hilfsmittel werden kontinuierlich bereitgestellt

Muss ich von vorne anfangen?

Wenn Sie bisher den Standard 100-4 Notfallmanagement umgesetzt haben, müssen Sie nicht von vorne starten. Laut Jung nimmt der neue Standard 200-4 den Faden auf und spinnt ihn weiter, sodass Sie auf Ihrem bisherigen Notfallmanagement aufbauen können.

Reicht mein ISMS aus?

Ein Informationssicherheits-Management-System (ISMS) reicht laut Gilles nicht aus. Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, wenn er ausgefallen ist, so schnell wie möglich wieder ans Laufen gebracht werden kann. Daher müsse ein weiteres Management-System eingeführt werden. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Wie gehe ich jetzt vor?

Ähnlich dem „Standard 200-2 IT-Grundschutz-Methodik“ bietet der CD Standard 200-4 ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

• Reaktiv-BCMS

  • dient als vereinfachter Einstieg
  • Notfallbewältigung wird ermöglicht
  • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen

• Aufbau-BCMS

  • erleichtert den Übergang zum Standard-BCMS
  • Formalisierung der Methodik
  • zusätzliche Geschäftsprozesse werden betrachtet

• Standard-BCMS (mit ISO 22301:2019 kompatibel)

  • Empfehlung vom BSI für alle Institutionen
  • vollständiges BCM
  • ISO 22301 kompatibel
  • Untersuchung aller Geschäftsprozesse

Gibt es Hilfsmittel?

Ja, es gibt bereits ein Hilfsmittel: Hilfsmittel zum BSI-Standard 200-4 | Weiterführende Aspekte zur Bewältigung. Es sind noch weitere geplant, die während der CD-Laufzeit veröffentlicht werden sollen:

• Dokumentenvorlagen mit Beispieltexten
• Business Impact Analysis: Auswertung
• Business Impact Analysis: Workshop-Präsentation
• BC-Strategien und Beispiellösungen
• Dokumentenvergleich zur ISO 22301:2019

Wo kann ich den CD kommentieren?

Die Kommentierungsphase lief bis zum 30. Juni 2021. Die Veröffentlichung des final Drafts ist für die zweite Jahreshälfte geplant, das hängt, laut den Projektleitern, auch ganz vom Anwender-Feedback ab.

Wir als SAVISCON GmbH verfolgen die Weiterentwicklung gespannt und generieren schon neue Ideen, wie wir das BCM in unser SAVISCON GRC-COCKPIT integrieren können.

Quellen:
Presseinformation vom BSI
CD BSI Standard 200-4 Business Continuity Management
Hilfsmittel zum BSI-Standard 200-4