Notfallmanagement / Business Continuity Management

Vermeidung

Im Fokus steht die Ver­mei­dung von Not­fäl­len bzw. Betriebs­aus­fäl­len. Dazu kann ein funk­tio­nie­ren­des ISMS bereits viel bei­tra­gen. Not­fall­vor­sor­ge wird häu­fig ver­nach­läs­sigt. Dabei sind Not­fall­plä­ne allei­ne noch kein Not­fall­ma­nage­ment.

Reaktion

Ließ sich der Ein­tritt eines Not­falls trotz aller Vor­keh­run­gen nicht ver­mei­den, hel­fen belast­ba­re und erprob­te Not­fall­plä­ne bei der zeit­na­hen Besei­ti­gung. Zie­le: Redu­zie­rung des Scha­dens­aus­maß sowie schnel­ler Wie­der­an­lauf der Orga­ni­sa­ti­on.

Management

Wie die Infor­ma­ti­ons­si­cher­heit soll­te auch das Not­fall­ma­nage­ment in einem Manage­ment­sys­tem ein­ge­führt und auf­recht­erhal­ten wer­den. Dies hilft, neue Risi­ken früh zu erken­nen und recht­zei­tig dar­auf vor­be­rei­tet zu sein.

BSI IT-Grundschutz 200–4 Business Continuity Management

Als Nach­fol­ger des frü­he­ren Stan­dards 100–4 Not­fall­ma­nage­ment stellt die Nach­fol­ge­ver­si­on 200–4 die Syn­er­gien mit den angren­zen­den The­men Infor­ma­ti­ons­si­cher­heits­ma­nage­ment und Kri­sen­ma­nage­ment in den Vor­der­grund. Dadurch soll die Här­tung gegen­über Geschäfts­aus­fäl­len / Not­fäl­len (Resi­li­enz) einer Orga­ni­sa­ti­on ver­bes­sert wer­den.

Quel­le: Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik

Dabei unter­stützt die Norm sowohl uner­fah­re­ne Orga­ni­sa­tio­nen bei der Ein­füh­rung als auch ver­sier­te Orga­ni­sa­tio­nen bei der Ver­bes­se­rung des Busi­ness Con­ti­nui­ty Manage­ments (BCM) / Not­fall­ma­nage­ments.

Wer es etwas nied­rig­schwel­li­ger mag, kann sich dem The­ma nach wie vor über die frü­he­re Vor­ge­hens­wei­se nach 100–4 nähern. Für baye­ri­sche Kom­mu­nen stellt das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern (kurz LSI) ein prag­ma­ti­sches Not­fall­ma­nage­ment­pa­ket kos­ten­frei zur Ver­fü­gung. Die­ses unter­stützt (geführt durch einen roten Faden) bei den ers­ten Schrit­ten der Ein­füh­rung eines Not­fall­ma­nage­ments (Schwer­punkt: IT-Not­fall­ma­nage­ment). Wei­te Tei­le des Kur­ses “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) bau­en auf die­sem Paket auf und schla­gen inhalt­lich eine Brü­cke zur BSI Norm 200–4.

Unver­bind­li­che Anfra­ge

Business Continuity Management / Notfallmanagement im Tagesgeschäft

“Was sol­len wir denn noch alles machen?” hören wir ger­ne und oft auf die Fra­ge, ob es denn bereits ein belast­ba­res Not­fall­ma­nage­ment in einer Orga­ni­sa­ti­on gibt. Und ja, es stimmt, Ein­füh­rung und Betrieb kos­ten Zeit und Ner­ven aller Betei­lig­ten. Und dar­an betei­ligt sind zahl­rei­che Rol­len / Funk­tio­nen in einer Orga­ni­sa­ti­on. Ein Not­fall­be­auf­trag­ter dient der Koor­di­na­ti­on, Über­wa­chung und Kon­trol­le. Er oder sie ist aber nicht dafür zustän­dig, Not­fall­ma­nage­ment allei­ne ein­zu­füh­ren, damit der Rest der Orga­ni­sa­ti­on nichts damit zu tun hat. Übri­gens ein weit ver­brei­te­ter Irr­tum, der auch bei den Funk­tio­nen Daten­schutz­be­auf­trag­ter und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter häu­fig anzu­tref­fen ist.

Orga­ni­sa­ti­ons­weit gilt es, Pro­zes­se und Struk­tu­ren zu erfas­sen und zu ana­ly­sie­ren im Hin­blick auf die Kri­ti­k­ali­tät für die wich­tigs­ten Geschäfts­pro­zes­se der Orga­ni­sa­ti­on. Im Anschluss sind mög­li­che Risi­ken für die­se kri­ti­schen Pro­zes­se zu iden­ti­fi­zie­ren und nach Ein­tritts­wahr­schein­lich­keit und Scha­dens­hö­he zu bewer­ten. Im nächs­ten Schritt gilt es, tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men zu iden­ti­fi­zie­ren und ein­zu­füh­ren, die hel­fen kön­nen, die Ein­tritts­wahr­schein­lich­keit und Scha­dens­hö­he zu mini­mie­ren (Not­fall­vor­sor­ge). Hier­bei kann ein vor­han­de­nes ISMS (Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem) auf Basis des BSI IT-Grund­schutz, der ISO 27001, von CISIS12 oder der Arbeits­hil­fe sehr gut unter­stüt­zen. Für ver­blei­ben­de Risi­ken wer­den danach Not­fall­plä­ne / Wie­der­an­lauf­plä­ne ent­wi­ckelt und regel­mä­ßig erprobt (Not­fall­be­hand­lung).  Für all das sind Mit­ar­bei­ter aus vie­len Berei­chen der Orga­ni­sa­ti­on und Zeit not­wen­dig

Und wofür das Gan­ze? Gutes und wirk­sa­mes Not­fall­ma­nage­ment / Busi­ness Con­ti­nui­ty Manage­ment hilft,

  • Aus­fall­zei­ten kri­ti­scher Geschäfts­pro­zes­se zu ver­kür­zen bzw. zu ver­mei­den,
  • im Ernst­fall schnell reagie­ren und damit den poten­ti­el­len Scha­den redu­zie­ren zu kön­nen,
  • struk­tu­rier­te Vor­ge­hens­wei­sen und Ver­ant­wort­lich­kei­ten für die Bewäl­ti­gung sol­cher Vor­fäl­le zu schaf­fen und damit schnell reagie­ren zu kön­nen,
  • das not­wen­di­ge Bewusst­sein in der Orga­ni­sa­ti­on für das The­ma zu schaf­fen,
  • die eige­ne Orga­ni­sa­ti­on und deren Abläu­fe bes­ser zu ver­ste­hen und zu opti­mie­ren (Über­gang in das Pro­zess­ma­na­ga­ment),
  • vor­han­de­ne recht­li­che Auf­la­gen (KRITIS, NIS1 / NIS2, IT-Sicher­heits­ge­setz, Kre­dit­we­sen usw.) oder Anfor­de­run­gen von Auf­trag­ge­bern zu erfül­len,
  • Haf­tungs­ri­si­ken zu redu­zie­ren,
  • bes­se­re Ver­si­che­rungs­kon­di­tio­nen für Poli­cen zu Elek­tro­nik­aus­fall, Cyber­ri­si­ken etc. zu erhal­ten und
  • als Orga­ni­sa­ti­ons­lei­tung nachts ruhi­ger schla­fen zu kön­nen 🙂

Pragmatische Umsetzung des Notfallmanagements / BCM

Unser Anlie­gen ist es, mit Ihnen einen prag­ma­ti­schen Weg zur Ein­füh­rung und zum Betrieb von Not­fall­ma­nage­ment und Busi­ness Con­ti­nui­ty Manage­ment für Ihre Orga­ni­sa­ti­on zu fin­den und dabei alle Betei­lig­ten intern “mit­zu­neh­men”. Akzep­tanz des The­mas ist von ent­schei­den­der Bedeu­tung für erfolg­rei­ches Vor­sor­gen und Reagie­ren bei Not­fäl­len.

Seit vie­len Jah­ren unter­stüt­zen wir Fir­men und Kom­mu­nen bei Ein­füh­rung und Betrieb eines Not­fall­ma­nage­ments. Unse­re prak­ti­schen Erfah­run­gen aus die­sen Pro­jek­ten kom­men nicht nur unse­ren neu­en und bestehen­den Kun­den zugu­te, son­dern wir dür­fen unser Wis­sen im Rah­men des Kur­ses Not­fall­ma­nage­ment und ande­rer Kur­se zum The­ma Infor­ma­ti­ons­si­cher­heit an der Baye­ri­schen Ver­wal­tungs­schu­le wei­ter­ge­ben.

Wann dür­fen wir Sie dabei unter­stüt­zen?

Unver­bind­li­che Anfra­ge