Notfallmanagement. Das bringt der neue BSI-Standard 200-4.
Mit dem derzeit als Community-Draft vorliegenden BSI-Standard 200-4 stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Nachfolger des BSI-Standards 100-4 zur Diskussion. Der Standard dient dem Notfallmanagement durch klare Prozess- und Aufgabenfestlegung.
Zu den Neuerungen zählt die Einführung eines Business Continuity Managementsystems (BCMS), das in ein Stufenmodell mit vereinfachten Einstiegstufen (Reaktiv-BCMS und Aufbau-BCMS) und einer mit der internationalen Norm ISO 22301:2019 kompatiblen Stufe (Standard-BCMS) eingeteilt ist. In den neuen Standard sind aktuelle Erkenntnisse im Bereich Business Continuity sowie Erfahrungen aus der Corona-Pandemie eingeflossen. Neu sind unter anderem auch umfangreiche Darstellungen möglicher Synergien zwischen dem Managementsystem für Informationssicherheit (ISMS), dem Krisenmanagement und dem Business Continuity Management System.
BSI Standard 200-4. Das sind die zentralen Neuerungen.
- Erstellung praxisnaher Anleitungen, für den Aufbau, Betrieb und die kontinuierliche Weiterentwicklung eines BCMS.
- Anpassung an den ISO-Standard 22301:2019.
- Ganzheitliche Betrachtung des Business Continuity Management im Fokus der Resilienz.
- Änderung des Begriffs „Notfallmanagement“ in „Business Continuity Management“.
- Ergänzung der BCM-Prozessschritte Voranalyse und Soll-Ist-Abgleich.
- Berücksichtigung der Schnittstellen und Synergien des BCM mit beispielsweise dem IT-Service Continuity Management.
- Ausführlichere Beschreibung der Bewältigungsorganisation mit ihren Strukturen.
Das Standard-BCMS beinhaltet alle Schritte, um ein vollständiges, angemessenes und interessengruppengerechtes BCMS zu etablieren. Werden alle Schritte des Standard-BCMS umgesetzt, ist das daraus entstandene BCMS zur Norm ISO 22301 kompatibel.
Dienstleister und Lieferketten im Notfallmanagement nicht vergessen. So handeln Sie richtig.
Gerade in der Pandemie hat sich gezeigt, dass Dienstleister und Lieferketten für von zentraler Bedeutung für ein funktionierendes Notfallmanagement sind. Im neuen Standard wird diesem Umstand ein eigenes Kapitel gewidmet. So wird beispielsweise gefordert. mittels zuvor definierten KPIs und regelmäßiger Dienstleisterberichte die Eignung der Dienstleister fortlaufend zu überwachen. Nur so kann effizient kontrolliert werden, inwieweit der Dienstleister, die an ihn gestellten BCM-Anforderungen tatsächlich auch erfüllt. Darüber hinaus sollte jeder zeitkritische Dienstleister risikobasiert oder anlassbezogen kontrolliert werden. Wobei die Kontrollrechte, Audits und Berichte vertraglich zu regeln sind. Nur so können Sie in einem Notfall sicher sein, dass ihre Dienstleister tatsächlich zur Verfügung stehen.
Fazit.
Der neue BSI Standard 200-4 befindet sich im Rahmen des Prozessumfangs und der Methodik auf höchster Ebene und stellt ein vollumfängliches und regulatorisch konformes BCMS dar. Insbesondere die Integration in das ISMS und Krisenmanagement sind für ein ganzheitliches Risikomanagement im Unternehmen unabdingbar. Hier liefert der neue Standard wertvolle und vor allem praxisnahe Hilfestellungen. Durch das Stufenmodell können auch kleinere Unternehmen mit wenig Aufwand ein sachgerechtes Notfallmanagement aufbauen. Der Standard liefert sehr gute Informationen und eine sehr gute Aufbereitung mit Praxistipps und Best Practice Lösungen (Aus der Praxis für die Praxis). Wer noch kein BCMS etabliert hat oder das vorhandene optimieren möchte, der sollte sich an dem BSI-Standard orientieren, bzw. diesen als Best Practice im Unternehmen umsetzen.
Sprechen Sie uns an. Wir unterstützen Sie bei der Umsetzung des neuen Standards.