BSI-Standard 200-4 – Softwaregestützt zum ausgereiften BCMS

BSI-Standard 200-4 und Anforderungskatalog

Pünktlich zum 3. IT-Grundschutz-Tag wurde am 14.06.2023 der neue BSI-Standard 200-4 für den Aufbau und die Etablierung eines Business Continuity Management Systems (BCMS) final freigegeben. In einem früheren Blogbeitrag haben wir bereits über den Inhalt und die generelle Umsetzung des Standards in der Software ibi systems iris berichtet. Dieser Beitrag konzentriert sich ergänzend dazu auf den Anforderungskatalog, der dem Standard als Hilfsmittel beiliegt.

Der Anforderungskatalog bietet einen komprimierten Überblick aller Anforderungen des Standard-BCMS und unterstützt die Anwender dabei, sich nach dem Standard auszurichten. Die Anforderungen sind dabei in MUSS- und SOLLTE-Kriterien untergliedert und sowohl den entsprechenden Kapiteln des Standards als auch der ISO 22301:2019 zugeordnet. Von der Struktur und Sortierung her folgt der Anforderungskatalog, wie auch der BSI-Standard 200-4, dem BCMS-Prozess. 

Systemgestützte Prüfung der Anforderungen

Wir haben den Anforderungskatalog in iris implementiert, so dass dieser im Rahmen einer strukturierten Prüfung genutzt werden kann. Hierbei kann für die einzelnen Anforderungen jeweils der Erfüllungsgrad (ja, teilweise, nein) angegeben werden und die Umsetzung gegebenenfalls durch das Anhängen relevanter Dokumente nachgewiesen werden. Werden bei der Prüfungsdurchführung Risiken, Feststellungen oder notwendige Maßnahmen identifiziert, können diese direkt bei den einzelnen Anforderungen aufgenommen werden. Mithilfe der Prüfautomationen können Maßnahmen sogar automatisch vorgeschlagen werden, entweder für einzelne Anforderungen oder die gesamte Prüfung.

Screenshot 1: Prüfungsdurchführung zum Anforderungskatalog des BSI-Standards 200-4

Um einen Überblick über den Erfüllungsgrad mehrerer oder aller Anforderungen zu erhalten, können Sie sich beispielweise den durchschnittlichen Erfüllungsgrad automatisch in Prozent berechnen lassen. Zudem ist ein umfangreiches Reporting über Berichte und Dashboards mit der Software möglich. Dadurch werden die Ergebnisse übersichtlich dargestellt.

Screenshot 2: Anzeige des durchschnittlichen Erfüllungsgrades zu Kapitel 09 des Anforderungskatalogs

Mit einer einmaligen Prüfung ist es jedoch meist nicht getan, da ein BCMS in regelmäßigen Abständen daraufhin überprüft werden muss, ob es angemessen, wirksam und effizient ist. Um Ihr BCMS beispielsweise jährlich zu evaluieren, können Sie unsere sogenannten Prüfaktivitäten nutzen. Dank dieser haben Sie die Möglichkeit, Prüfungen bereits im Voraus zu planen und festzulegen, wann diese automatisch anhand einer Prüfvorlage erstellt werden sollen. Hierbei können sowohl statische als auch dynamische Datensatzinhalte bestimmt werden, die in den erzeugten Prüfungen automatisch belegt werden. Alle bereits automatisch erstellten Prüfungen sind direkt auf der Übersichtsseite der Prüfaktivität zu sehen.

Screenshot 3: Prüfaktivität zur automatischen Erstellung von Prüfungen zur jährlichen Überprüfung des BCMS

Fazit

Der Anforderungskatalog des BSI-Standards 200-4 bietet einen schnellen Überblick über die verschiedenen Anforderungen an ein BCMS. Mithilfe der Prüfung zum Anforderungskatalog in iris werden Sie dabei unterstützt, Ihr BCMS regelmäßig zu evaluieren und Ihren aktuellen Leistungsstand zu überprüfen.

 

Haben wir Ihr Interesse geweckt?

Kontaktieren Sie uns!

 

Zurück zur Übersicht

_____________________

Quelle:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-4-Business-Continuity-Management/bsi-standard-200-4_Business_Continuity_Management_node.html

/von