BSI-Standard 200-4 – Inhalt und Umsetzung

BSI-Standard 200-4 — Inhalt und Umsetzung nach BSI-Standard 200-4

Management Summary

Nachdem bislang der BSI-Standard 100-4 „Notfallmanagement“ eine Hilfestellung für das Business Continuity Management (BCM) bietet, wird derzeit der BSI-Standard 200-4 „Business Continuity Management“ als Modernisierung des bisherigen Standards aufbereitet. Der neue BSI-Standard 200-4 wird den BSI-Standard 100-4 ablösen. Dieser soll als alleinstehender Standard anwendbar sein und den Aufbau und die Etablierung eines Business Continuity Management Systems (BCMS) mithilfe praxisnaher Anleitungen unterstützen.

Die umfassenden Neuerungen können bereits in der vorläufigen Version, die auf der Webseite des BSI heruntergeladen werden kann, eingesehen werden.

Kerninhalte des BSI-Standards 200-4

Anschließend möchten wir Ihnen einen kurzen Überblick über die Kerninhalte des BSI-Standards 200-4 geben.

Planung des BCMS (Plan)

In der ersten Phase „Planung des BCMS“ werden die Anforderungen relevanter Interessensgruppen an das BCMS analysiert, die Dokumentation wird näher festgelegt und die Leitlinie verfasst.

Umsetzung des BCMS (Do)

Im Rahmen der zweiten Phase „Umsetzung des BCMS“ wird die Besondere Aufbauorganisation (BAO) aufgebaut und befähigt. Das heißt, dass sie im Krisen- und Notfall erreichbar und handlungsfähig ist. Im Fokus dieser Phase stehen die Geschäftsprozesse. Sie sollen erfasst und angemessen abgesichert werden. Die Software ibi systems iris bietet hier umfassende Unterstützungsmöglichkeiten, welche in einem der folgenden Kapitel aufgezeigt werden.

Überprüfung des BCMS (Check)

Bei der „Überprüfung des BCMS“ wird anhand von Tests und Übungen überprüft, ob die in der Theorie beschriebenen Strukturen, Notfallpläne und im Besonderen die reaktiven Maßnahmen auch in der Praxis wirksam sind. Darüber hinaus wird mittels Leistungsüberprüfungen untersucht, ob die Vorgaben des BCMS eingehalten und die Ziele erreicht werden.

Korrektur und Verbesserung des BCMS (Act)

In der vierten Phase „Korrektur und Verbesserung des BCMS“ werden mithilfe der identifizierten Verbesserungsmöglichkeiten und Korrekturbedarfe konkrete Verbesserungs- und Korrekturmaßnahmen entwickelt, umgesetzt und weiter nachverfolgt.

Absicherung der Geschäftsprozesse mit der Software ibi systems iris nach BSI-Standard 200-4

Im Folgenden wird aufgezeigt, welche Schritte zur angemessenen Absicherung der Geschäftsprozesse notwendig sind und wie Sie unsere Software ibi systems iris bei der Umsetzung der Schritte unterstützen kann.

Vorgehen zur Absicherung der Prozesse nach BSI-Standard 200-4

Voranalyse

Um die Anzahl an Geschäftsprozessen zu beschränken, die in der anschließenden Business Impact Analyse untersucht werden, kann im ersten Schritt eine Voranalyse durchgeführt werden. Hierbei wird eine Vorauswahl getroffen, durch die auf die potenziell zeitkritischsten Prozesse eingegrenzt wird. Um auf zeitkritische Prozesse eingrenzen zu können, muss allerdings zuerst der Begriff „zeitkritisch“ definiert werden. Dies geschieht, indem ein Untersuchungszeitraum (z.B. innerhalb von 7 Tagen), Schadensszenarien (z.B. negative Außenwirkung) und Schadenskategorien (z.B. gering – sehr hoch) festgelegt werden. Durch ein Untragbarkeitsniveau wird dann in Form einer Schadenskategorie (z.B. hoch) die Grenze bestimmt, ab der die Auswirkungen durch den Ausfall eines Geschäftsprozesses nicht länger toleriert werden können.

Aufbauend darauf können die potenziell zeitkritischsten Prozesse identifiziert werden, indem ausgewählte Organisationseinheiten dazu befragt werden, ob bei einem Ausfall der Geschäftsprozesse dieser Organisationseinheit z.B. innerhalb von 7 Tagen hohe Schäden für die Institution zu erwarten sind.

In der Software ibi systems iris können die bei der Voranalyse festgelegten Schadensszenarien und Schadenskategorien bereits als Vorarbeit für die anschließende BIA individuell für Sie konfiguriert werden. Alternativ steht Ihnen diesbezüglich aber auch eine Standardkonfiguration zur Verfügung. Nachdem die zeitkritischsten Prozesse mittels der Befragungen bestimmt wurden, können diese in ibi systems iris bei den Prozessen erfasst und als kritisch vermerkt werden. In der Software werden alle Prozesse in einer filterbaren Listenansicht ausgegeben, wodurch mittels des Filters nach kritischen Prozessen eine schnelle Übersicht über alle kritischen Prozesse möglich ist.

Listenansicht kritischer Prozesse in iris

Business Impact Analyse (BIA)

Mittels der anschließenden Business Impact Analyse wird die Voranalyse verfeinert. Diesbezüglich wird untersucht, welche Geschäftsprozesse hinsichtlich des Analysebereichs zeitkritisch sind und ab wann es zu nicht tolerierbaren Auswirkungen durch deren Ausfall kommt.

In der Software ibi systems iris kann dies über die Schadensbewertung der Geschäftsprozesse ermittelt werden.

BIA in ibi systems iris

Hierbei wird das Schadenspotenzial (z.B. gering – sehr hoch) unterschiedlicher Schadensszenarien (z.B. negative Außenwirkung) zu unterschiedlichen Zeiten (z.B. 24 Stunden – 30 Tage) aufgezeigt. Daraus kann in Zusammenhang mit dem zuvor in der Voranalyse festgelegtem Untragbarkeitsniveau die maximal tolerierbare Ausfallzeit abgelesen und angegeben werden.

Für zeitkritische Geschäftsprozesse können zusätzlich die Prozessabhängigkeiten, die zugrundeliegenden Ressourcen und Wiederanlaufzeiten in der Software erfasst werden.

Soll-Ist-Vergleich

Bei dem folgenden Soll-Ist-Vergleich werden die geforderte Wiederanlaufzeit und die erreichbare Wiederanlaufzeit gegenübergestellt. Es wird überprüft, ob die Wiederanlaufzeit durch vorhandene organisatorische und technische Maßnahmen erreicht werden kann.

Um den Soll-Ist-Vergleich von Wiederanlaufzeiten in ibi systems iris durchführen zu können, werden die entsprechenden Zeiten inkl. Notfallaktivitäten bei den Prozessen eingetragen.

Für eine Übersicht des Vergleichs werden zuerst Notfallszenarien, die theoretisch eintreten könnten, mit Prozessen und Assets verknüpft, deren Ausfall sie verursachen können. Aus einem Notfallszenario für betroffene Assets und Prozesse kann anschließend ein Notfallereignis als Übung abgeleitet werden, bei dem der Soll-Ist-Vergleich der Wiederanlaufzeiten zu sehen ist.

Soll-Ist-Vergleich in ibi systems iris

Wird die geforderte Wiederanlaufzeit nicht erreicht, ermöglicht dies die Einschätzung möglicher Risiken. Diese können in der Software ibi systems iris unter anderem mit betroffenen Prozessen und Assets verknüpft werden.

BCM-Risikoanalyse und Business-Continuity-Strategien und -Lösungen

Die BCM-Risikoanalyse betrachtet die möglichen Ursachen für den Ausfall des Geschäftsbetriebs. Es wird ermittelt, gegen welche Gefährdungen der Geschäftsbetrieb abgesichert werden soll, bzw. bei welchen Gefährdungen das Risiko so hoch ist, dass abgesichert werden soll.

Um dies abzubilden, werden in ibi systems iris zuerst Risiken hinterlegt und mit den betroffenen Prozessen und Assets verknüpft. Mithilfe des Widgets „Zuordnungen“ oder geeigneter Filter lassen sich die Verknüpfungen übersichtlich darstellen und einfach erkennen. Im Anschluss kann die Risikoeinschätzung und -bewertung hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit eines Risikos anhand mehrerer alternativer Bewertungsmethoden (einfach, kategoriebasierte Bewertung mit Durchschnitt bzw. Maximalwert) durchgeführt werden. Hierbei wird zuerst eine (IST-)Bewertung vorgenommen. Danach kann als rein kalkulatorischer Wert noch eine SOLL-Bewertung angegeben werden, die die gewünschte Risikoentwicklung darstellt.

Risikobewertung mit ibi systems iris

Mittels einer Risikomatrix kann die erfolgte (IST-)Bewertung übersichtlich dargestellt und der weitere Handlungsbedarf im Sinne der Risikobehandlungsstrategie (z.B. Risikoreduktion) abgeleitet und der Software hinterlegt werden.

Risikomatrix in ibi systems iris

Die abgeleiteten Handlungsbedarfe bilden die Grundlage der weiteren Notfallplanung. Folglich müssen die Handlungsbedarfe mit Business-Continuity-Strategien und -Lösungen behandelt werden.

Hierfür können in ibi systems iris mögliche Maßnahmen mit den Risiken verknüpft werden. Nachdem eine Maßnahme umgesetzt und das Risiko behandelt wurde, erfolgt eine Neubewertung des Risikos in Form einer neuen (IST-)Bewertung.

Dieser iterative Vorgang wird solange wiederholt, bis das Risiko auf einem Niveau ist, welches so hingenommen werden kann (Risikobehandlung = Risikoakzeptanz).

Geschäftsfortführungs-, Wiederanlauf- und Wiederherstellungsplanung

Die Geschäftsfortführungs- Wiederanlauf- und Wiederherstellungspläne bilden zusammen mit den Informationen aus dem Aufbau und der Befähigung der BAO die Inhalte des Notfallhandbuchs, welches die zentrale Dokumentensammlung zur erfolgreichen Notfallbewältigung ist.

In der Software ibi systems iris gibt es die Möglichkeit anhand von Berichten einen Wiederanlauf- und Wiederherstellungsplan zu erstellen. Ersterer baut beispielsweise auf den hinterlegten Notfallaktivitäten hinsichtlich der Wiederanlaufzeit bei den Prozessen auf. Des Weiteren können auch bei den Notfallszenarien Notfallaktivitäten hinterlegt und durch einen Bericht ausgegeben werden.

Wiederanlaufplan mit ibi systems iris

Fazit zum BSI-Standard 200-4 mit ibi systems iris

Die Software ibi systems iris kann Ihnen also bei den Schritten zur Umsetzung der angemessen Absicherung der Geschäftsprozesse nach BSI-Standard 200-4 behilflich sein. Kommen Sie bei Interesse daran oder offenen Fragen gerne jederzeit auf uns zu.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________