Business Continuity Management – Neuer BSI-Standard 200-4

veröffentlicht am 23. Februar 2021

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Standard im Bereich Notfallmanagement weiterentwickelt und einen Entwurf des Nachfolgers veröffentlicht: Aus 100-4 Notfallmanagement wird der neue Standard 200-4 Business Continuity Management.
 

Business Continuity Management

Business Continuity Management (BCM) ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren und somit den geplanten und strukturierten Umgang mit Geschäftsunterbrechungen zu regeln. Mithilfe des BCM wird somit die angemessene und schnelle Reaktion auf Notfälle und Krisen sichergestellt und damit die geforderte Ausfallsicherheit und Robustheit der Geschäftsprozesse sichergestellt.
 

Änderungen am Standard 200-4

Der neue Standard 200-4 enthält verschiedene Änderungen und Weiterentwicklungen und richtet sich grundsätzlich an Unternehmen und Behörden unterschiedlicher Größe. Er bietet eine praxisorientierte Anleitung zur Umsetzung eines BCMs in der eigenen Organisation und enthält verschiedene Weiterentwicklungen und Neuerungen. Dabei wurden laut BSI aktuelle Erkenntnisse und Entwicklungen im Bereich Business Continuity Management sowie Erfahrungen aus der Corona-Pandemie berücksichtigt.

Im Überblick ergeben sich folgenden Änderungen und Neuerungen:

• Analog zur Vorgehensweise im Standard 200-2 (IT-Grundschutz) ist 200-4 als Stufenmodell konzipiert
• Der BCM-Prozess wird als PDCA-Zyklus (Plan-Do-Check-Act) implementiert und betrieben
• Eine Kompatibilität zur Norm ISO 22301:2019 wird geschaffen
• Synergie zu anderen Standard der 200er-Reihe sowie zum IT Service Continuity Management (ITSCM) 
• Institutionen beliebiger Art, Branche und Größe werden angesprochen
• Anleitungen als „Best Practices” zur Etablierung und Aufrechterhaltung sowie kontinuierlichen Verbesserung eines institutionsweiten BCM-Systems
• Vereinfachungen in der Business Impact Analyse (BIA) sowie Vererbung von Prozessabhängigkeiten
• Systematische Anleitungen zum Üben und Testen werden bereitgestellt
   

Stufenmodell und PDCA-Zyklus

Im Vergleich zur Vorgängerversion bietet 200-4 die Möglichkeit, die Implementierung des BCM als Stufenmodell zu realisieren:

Abbildung 1: Die drei Stufen des Standards BCM 200-4, Quelle: BSI.

In der Einstiegs-Stufe („Reaktive-BCMS”) entfallen verschiedene Prozessschritte im Vergleich zu einem vollumfänglichen BCM um einen einfacheren und ressourcenschonenden Einstieg zu ermöglichen. Der Fokus liegt auf einer praxisnahen Vorgehensweise, um die überlebensnotwendiger Geschäftsprozess abzusichern, eine BCM-Risikoanalyse muss dabei nicht erfolgen.

Die Zwischenstufe („Aufbau-BCMS”) erweitert die Betrachtung um zusätzliche Geschäftsprozesse und ergänzt das Reaktiv-BCMS um weitere Prozessschritte im PDCA-Zyklus. Über das Aufbau-BCMS wird somit bereits die Methodik formal und vollständig eingeführt.

Über die Integration der noch fehlenden Prozesse kann das Aufbau-BCMS in ein Standard-BCMS überführt werden. Erst in dieser Stufe wird die Kompatibilität den allen Anforderungen der Norm ISO 22301 sichergestellt.

Abbildung 2: Schrittweise Implementation des BCMS, Quelle: BSI.

Diese Vorgehensweise ermöglicht Institutionen somit einen leichteren Einstieg in das Thema BCM und stellt jedoch von Beginn an sicher, dass die „Kronjuwelen” ausreichend geschützt werden. Mit dem erneuten Anwenden des PDCA-Zyklus und der Erweiterung im Prozessumfang erfolgt eine systematische Überführung in das vollumfängliche BCM.

Der Aufbau des Standards als PDCA-Zyklus ist eine weitere wesentliche Neuerung. Das BSI setzt dabei auf eine in Managementsystemen bekannte und erprobte Methodik (Planung, Umsetzung, Überprüfung sowie Korrektur und Verbesserung des BCMS).

Abbildung 3: Der PDCA-Zyklus, Quelle: BSI

Community Draft

Die veröffentlichte Version des BSI-Standards 200-4 ist ein sogenannter „Community Draft” und bietet Anwendern und Interessierten die Möglichkeit, Anmerkungen und Kommentare an grundschutz@bsi.bund.de zu senden. Im Anschluss erfolgt eine finale Veröffentlichung des 200-4.