BSI Standard 100-4 als Basis des Notfallmanagements

Notfallmanagement ist mehr als die Dokumentation der Systemwiederherstellung

03.12.2009 | Autor / Redakteur: Manuela Reiss / Peter Schmitz

Wer glaubt, dass mit der Erstellung eines IT-Notfallhandbuches alles getan ist irrt. Wie Notfallmanagement richtig geht zeigt der neue BSI-Standard 100-4.
Wer glaubt, dass mit der Erstellung eines IT-Notfallhandbuches alles getan ist irrt. Wie Notfallmanagement richtig geht zeigt der neue BSI-Standard 100-4.

Noch immer herrscht in vielen Unternehmen der Irrglaube, dass mit der einmaligen Erstellung eines IT-Notfallhandbuches, das aufzeigt wie die Systeme im Notfall wiederherzustellen sind, alles für den Notfall getan ist. Wie es richtig gehen soll zeigt ab sofort der neue BSI-Standard 100-4.

Notfallmanagement ist kein alleinstehendes Konzept, sondern ein eigenständiger Prozess und dazu noch sehr komplexer. Dies zeigt auch der neue Standard 100-4 „Notfallmanagement“ den das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Februar 2009 in der finalen Version veröffentlicht hat.

Der Standard ist ein wichtiges Regelwerk für den Aufbau und die Dokumentation eines effizienten und umfassenden Notfallmanagements. Denn nicht die Wiederherstellung der Systeme steht bei einem Notfall im Vordergrund, sondern die Wiederherstellung der wichtigen Geschäftsprozesse.

Dabei beschreibt der 100-4 aber nicht nur eine abstrakte Vorgehensweise, sondern gibt vielmehr konkrete Hinweise zur Umsetzung der geforderten Maßnahmen und zeigt einen systematischen Weg auf, um bei Notfällen angemessen reagieren zu können. Ziel der Anstrengungen soll natürlich in jedem Fall sein, die wichtigen Geschäftsprozesse schnell wieder aufnehmen zu können.

Notfallvorsorge + Notfallbewältigung + Notfallnachsorge = Notfallmanagement

Gemäß BSI muss das Notfallmanagement sowohl die Notfallvorsorge, die Notfallbewältigung wie auch die Notfallnachsorge umfassen.

Entsprechend handelt es sich hierbei um einen komplexen Prozess, der aus den folgenden Phasen besteht:

  • Initiierung eines Notfallprozesses
  • Erstellung eines Notfallvorsorgekonzepts
  • Erstellung eines Notfallhandbuchs zur Notfallbewältigung
  • Planung und Durchführung von Übungen und Tests
  • Kontinuierliche Verbesserung des Notfallprozesses

Initiierung eines Notfallprozesses

Aufgrund der Bedeutung und der weitreichenden Konsequenzen sollte Notfallmanagement Prozess von der obersten Leitungsebene initiiert, gesteuert und kontrolliert werden. Zu den ersten Maßnahmen gehört daher die Erstellung einer Leitlinie (Policy) zum Notfallmanagement, in der u.a. dessen Ziele beschreiben werden und die Schaffung der organisatorischen Voraussetzungen. Die Leitlinie sollte den Aufbau und die Aufrechterhaltung des Notfallmanagements fest.

Erstellung eines Notfallvorsorgekonzepts

Die Prozesse eines Unternehmens sind logisch miteinander verknüpft. Dies gilt insbesondere für die IT-Prozesse, denn kaum ein Geschäftsbereich kommt heute ohne IT-Unterstützung aus. Genau diese – oft unterschätzten – Abhängigkeiten können in einer Business Impact Analyse (BIA) erfasst und dargestellt werden. Dies wiederum ermöglicht es die kritischen Systeme zu identifizieren und zu priorisieren sowie Auswirkungen bei Ausfällen von Prozessen und die benötigten Wiederanlaufzeiten zu beschreiben.

Die generierten Ergebnisse sind Voraussetzung für die dann durchzuführende Risikoanalyse und für die Auswahl geeigneter Notfallstrategien sowie entsprechender (Vorsorge-) Maßnahmen. Alle Maßnahmen sind im Notfallvorsorgekonzept zu erfassen. Der Standard 100-4 beschreibt sehr detailliert welche Inhalte ein solches Notfallvorsorgekonzept haben sollte und was bei dessen Umsetzung zu beachten ist.

Seite 2: Erstellung eines Notfallhandbuchs zur Notfallbewältigung

 

Seminar „Notfall-Planung und -Management nach BSI-Standard 100-4“

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020643 / Sicherheitsvorfälle)