Business Continuity Management System (BCMS)

Organisationen wie Unternehmen, Konzerne, Behörden, Handelsgesellschaften, NGOs etc. sind verschiedenen Risiken ausgesetzt. Unterbrechungen im Betriebsablauf oder in der Produktion gehören dabei sicherlich zu den Szenarien, die den größten Schaden anrichten, insbesondere wenn der Ausfall länger andauert. Das Business Continuity Management (BCM) oder Betriebliche Kontinuitätsmanagement (BKM) soll in diesem Fall schützen und durch einen Notfallplan alternative Abläufe ermöglichen.

Gemeinsam mit anderen Managementsystemen und Sicherheitsthemen trägt das BCM maßgeblich dazu bei, die Widerstandfähigkeit gegenüber den unterschiedlichsten Arten von Risiken und Schadensszenarien zu erhöhen. Wir unterstützen Sie bei der Entwicklung eines Business Continuity Management System (BCMS) oder optimieren Ihr bestehendes System, damit Sie auf alle Eventualitäten bestens vorbereitet sind. 

   

Was ist ein Business Continuity Management System (BCMS)?

Ein Business Continuity Management System (BCMS) greift bei einem Zwischenfall und soll die Organisation schnell wieder in einen handlungsfähigen Zustand versetzen. Das Ziel des BCM ist es, sicherzustellen, dass zeitkritische Geschäftsprozesse (GP) selbst in solchen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. 

Das BCMS wird genau auf die jeweilige Situation der Organisation zugeschritten – entsprechend der Größe, der Branche, den zu erwartenden Risiken etc. Eine Unterbrechung im Ablauf birgt immer die Gefahr, dass es zu einer Kettenreaktion kommt, bei der am Ende mehrere Abteilungen oder Bereiche bis hin zu einer ganzen Lieferkette betroffen ist. Der Zeitraum, der durch das BCM abgesichert werden soll, liegt meist zwischen 14 und 30 Tagen, in bestimmten Branchen (z. B. dem produzierenden Gewerbe) kann auch ein Zeitraum von mehreren Monaten im BCM betrachtet werden. 

 

   

Vor welchen kritischen Ereignissen sollte sich eine Organisation schützen?

Neben böswilligen Attacken (bspw. durch Hackerangriffe, Diebstähle, Sabotage) können Ausfälle in der Energieversorgung, Naturkatastrophen (Überschwemmungen, Stürme, Brände) oder andere unerwartete Bedingungen dazu führen, kurzfristig in einen Notfall- oder gar Krisenmodus wechseln zu müssen. Zum BCMS gehört daher mehr als nur ein IT-Notfallhandbuch zu haben! Auf die folgenden Arten von kritischen Ereignissen sollten sich Organisationen zielgerichtet vorbereiten: IT/System-Ausfall, Gebäudeausfall, Ausfall von Personal und Ausfall von Lieferanten/Partnern.

Durch die Berichterstattung über vermehrte Cyberattacken steht ein Ausfall der IT für Organisationen oft im Fokus. Die anderen drei Szenarien sind jedoch nicht minder wichtig und gehören zu einem ganzheitlichen BCMS. Denn um die Kontinuität der Organisation sicherzustellen, ist bei einem IT-Systemausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal (wie z. B. durch die Pandemie). 

   

Standards und Regelwerke für das BCM bzw. BCMS

Im Regelwerk der ISO gibt die ISO 22301 „Security and resilience — Business continuity management systems — Requirements“ die Struktur und Anforderungen für die Einführung und Aufrechterhaltung eines BCMS vor. Es besteht auch die Möglichkeit, ein BCMS nach ISO 22301 zertifizieren zu lassen. 

Im Bereich der Informationssicherheit ist das BCM als Notfallmanagement seit vielen Jahren fester Bestandteil des IT-Grundschutzes des BSI. Der BSI Standard 100-4 bietet eine Hilfestellung und praxisnahe Anleitung zur Entwicklung eines BCM und wird fortlaufend den neuen Entwicklungen angepasst. Seit 2021 liegt der BSI Standard 200-4 als Entwurfsfassung vor. Der Standard 200-4 des BSI ist kompatibel zum ISO-Standard. Weitere Umsetzungshilfen bieten auch die Good Practise Guidelines (GPG) des Business Continuity Institute. 

   

Synergien nutzen: BCMS, IT-Service Continuity Management und Krisenmanagement

Ein Notfallmanagement sollte stets im Rahmen einer Gesamtsicherheitsstrategie in der Organisation umgesetzt werden. Ein Informationssicherheits-Managementsystem (ISMS) oder ein IT-Service Continuity Management (ITSCM) sind zwar nicht Voraussetzung für den Aufbau und Betrieb eines BCMS, jedoch lassen sich durch eine zielgerichtete und möglichst frühzeitige Zusammenarbeit Synergieeffekte nutzen und finanzielle, personelle und zeitliche Ressourcen einsparen. 

Aufgrund der Vielzahl an möglichen Krisenszenarien ist eine enge Zusammenarbeit zwischen dem BCM und dem Krisenmanagement erforderlich. Für die optimale Vorbereitung auf eine Krise sollten die Verfahren und Strukturen in diesen Bereichen der Organisation aufeinander abgestimmt sein.

Zwischen dem BCMS, dem ISMS und dem Krisenmanagement gibt es eine Reihe von Überschneidungen (siehe Abbildung) und durch die Berücksichtigung all dieser Themen und Prozesse lässt sich die Resilienz der Organisation deutlich erhöhen. Resilienz bedeutet Widerstandsfähigkeit durch die Fähigkeit, sich Situationen anpassen bzw. flexibel auf (plötzlich) auftretende interne und externe Veränderungen reagieren zu können. Eine umfassende und abgestimmte Sicherheitsstrategie leistet einen wichtigen Beitrag zur Verbesserung der organisatorischen Resilienz.

   

So können wir Sie bei der Einführung eines BCMS unterstützen

Ein BCMS hat mehrere Bestandteile und folgt sowohl im Ansatz des BSI (Standard 200-4) als auch in der ISO-Norm in seinem Aufbau dem Zyklus Plan-Do-Check-Act (PDCA): Nach der Planung und Umsetzung folgt die Überwachung bzw. Überprüfung und schließlich die Phase des Handelns (Aufrechterhaltung und Verbesserung des Systems). Durch diesen PDCA-Zyklus wird sichergestellt, dass das System nicht nur aufrechterhalten, sondern auch kontinuierlich verbessert wird.

Die Bestandteile des BCMS können in die folgenden Kategorien unterteilt werden:

  • BCM-Organisation (Rollen, Aufgaben, Zuständigkeiten etc. auf strategischer, taktischer und operativer Ebene)
  • BCM-Methoden (insbesondere Business Impact Analyse (BIA) und BCM-Risikoanalyse)
  • BCM-Prozess (Anwendung des PDCA-Zyklus; der Reifegrad des Managementsystems steigt mit jedem weiteren Zyklus)
  • BCM-Ressourcen (erforderliche finanzielle, personelle und zeitliche Ressourcen, die durch die Leitungsebene zur Verfügung gestellt werden müssen)
  • BCM-Dokumentation (u. a. Leitlinie des BCMS, Notfallvorsorgekonzept, Notfallhandbuch)

Wir begleiten Sie bei der Einführung eines BCMS nach ISO 22301 und/oder BSI Standard 200-4 oder unterstützen Sie auch nur in Teilbereichen, z. B. bei der Durchführung einer Business Impact Analyse (BIA) oder einer BCM-Risikoanalyse, der Entwicklung von Business-Continuity-Strategien, der Erstellung von Geschäftsfortführungsplänen, der Dokumentation oder der Schulung und Sensibilisierung der Mitarbeitenden.

So gehen wir vor

1. Initiierung des BCMS

Die Rahmenbedingungen und Ziele zur Initiierung des BCMS legen wir gemeinsam mit Ihnen in einem Workshop fest. Dazu werden Zielsetzung, Geltungsbereich, Vorgehensweise, Selbstverpflichtung der Geschäftsführung und die Benennung des BCM-Beauftragten mit den relevanten Ansprechpartnern über bereitgestellte Muster abgestimmt.

2. Konzeption und Planung

Anschließend werden die Konzeption und Planung des BCMS auf Basis der zuvor durch die Geschäftsführung festgelegten Rahmenbedingungen und Ziele in Workshops erarbeitet. Zusammen mit Ihrem BCM-Beauftragten stimmen wir dazu die folgenden Punkte ab:

  • Definition und Abgrenzung von Begriffen, Zuständigkeiten, Kriterien, Systemen etc.
  • BCM-Aufbauorganisation (Notfallorganisation und Notfallbewältigungsorganisation, Rollen innerhalb des BCMS festlegen)
  • Dokumentation (präventive und reaktive Dokumente)
  • Ressourcenplanung entsprechend den Zielsetzungen und Vorgaben, der Stufe des BCMS, der Größe der Organisation, der gewählten Aufbauorganisation etc.
  • Schulung und Sensibilisierung der BCM-Rolleninhaber

Die Ergebnisse der Workshops werden mit Empfehlungen zum Aufbau des BCMS dokumentiert.

3. Umsetzung und weitere Unterstützung

Wir begleiten sowohl die Durchführung der BCM-Methoden und BCM-Prozesse als auch die Umsetzung durch den BCM-Beauftragten. Für die kontinuierliche Weiterentwicklung und Verbesserung von Methoden und Prozessen stehen wir Ihnen auf Wunsch ebenfalls gerne beratend zur Seite.

4. Gap-Analyse

Wenn Sie in Ihrer Organisation bereits ein BCMS haben, dann können Abweichungen zu den gesetzten Zielen und zugrunde liegenden Standards mithilfe einer Gap-Analyse aufgedeckt werden. Dazu erfassen wir die bestehenden Regelungen, umgesetzten Prozesse und Maßnahmen im Rahmen eines Workshops auf Interviewbasis. Anschließend wird die Konformität zur ISO 22301 und/oder dem BSI Standard 200-4 bewertet. Wir dokumentieren den Ist-Stand und bewerten den Konformitäts- und Umsetzungsgrad im Vergleich zum angestrebten Zustand. So werden systematisch die Stellen identifiziert, die noch zu verbessern sind und hierfür schlagen wir Ihnen geeignete Maßnahmen zur Umsetzung vor.

   

Ihr Ansprechpartner

Sie haben Fragen zur Entwicklung eines BCMS für Ihre Organisation oder möchten das bestehende Notfallmanagement einmal überprüfen? Nutzen Sie unsere Erfahrung und Branchenkenntnisse und kontaktieren Sie uns. Gerne erstellen wir für Sie ein unverbindliches Beratungsangebot.

Wolfgang Oesting
Senior Berater Informationssicherheit 

E-Mail: woesting@datenschutz-nord.de
Telefon: +49 421 69 66 32-361

   

FAQ – Häufig gestellte Fragen zum BCMS