Vorbericht zum BSI & ISO Campus 2014 – Tag 2

Notfallmanagement nach ISO und BSI-Grundschutz

| Autor / Redakteur: Manuela Reiss* / Peter Schmitz

Welche Rolle das Thema Notfallmanagement im Rahmen von Informationssicherheit spielt und wie man anhand der BSI-Grundschutzkataloge, den BSI-Standards 100-1 bis 100-4 und der ISO-Norm 27001 ein effektives Sicherheits- und Notfallmanagement aufbaut erfahren Teilnehmer des „BSI & ISO Campus 2014“ am zweiten Tag.
Welche Rolle das Thema Notfallmanagement im Rahmen von Informationssicherheit spielt und wie man anhand der BSI-Grundschutzkataloge, den BSI-Standards 100-1 bis 100-4 und der ISO-Norm 27001 ein effektives Sicherheits- und Notfallmanagement aufbaut erfahren Teilnehmer des „BSI & ISO Campus 2014“ am zweiten Tag. (Bild: Archiv)

Das Thema Notfallplanung wird in Unternehmen oft der IT-Abteilung zugesprochen, aber richtiges Notfallmanagement entscheidet über den Fortbestand des Unternehmens mit und sollte deshalb ein Thema der Geschäftsleitung sein. Tag 2 des BSI & ISO Campus 2014 soll hier sensibilisieren und aufklären.

Sowohl die ISO 27001, als auch BSI-Grundschutz fordern die Einrichtung und Pflege eines effektiven Notfallmanagements. Ohne ein solches ist eine Zertifizierung des ISMS nicht möglich. Das BSI hat hierfür 2009 die Grundschutzstandards um einen Notfallstandard erweitert und den Standard 100-4 veröffentlicht und die ISO 27001 fordert die Umsetzung der entsprechenden Controls. Die Vogel IT-Akademie hat also mit gutem Grund für den BSI & ISO Campus 2014 das Thema Notfallmanagement als Kernthema des zweiten Veranstaltungstags ausgemacht.

Natürlich ist es auch möglich das Notfallmanagement gesondert zu zertifizieren. Mit der im Mai 2012 veröffentlichten ISO Norm 22301 gibt es nun erstmals einen international gültigen und zertifizierbaren Standard für das Notfallmanagement. Die Anforderungen der jeweiligen Normen werden ausführlich im Workshop behandelt.

Welche Relevanz hat das Notfallmanagement für Unternehmen, die keine Zertifizierung anstreben?

Es gibt natürlich ganz praktische Gründe für die Einrichtung eines Notfallmanagements.Theoretisch ist jedem klar, dass Notfallvorsorge wichtig ist, doch in der Praxis wird häufig nach dem Motto verfahren „Es wird schon nichts passieren“. Eine solche Haltung ist fahrlässig. Es gibt eine Reihe von Untersuchungen, die belegen, dass für Unternehmen, die unvorbereitet in einen Notfall geraten, eine hohe Wahrscheinlichkeit besteht, dass sie diesen nicht überleben.

Außerdem wird häufig nicht beachtet, dass es beim Notfallmanagement vor allem darum geht das Risiko für das Eintreten von Notfällen zu reduzieren. Die Notfallbewältigung kommt erst an zweiter Stelle.

Was ist überhaupt ein Notfall?

Das ist in der Tat eine wichtige Frage und deren Beantwortung ein wichtiger Punkt im Workshop. Häufig werden Notfälle auf den Ausfall von IT-Komponenten reduziert und die IT-Organisation mit der Erstellung des Notfallhandbuchs für das Unternehmen beauftragt. Natürlich spielt die IT eine wichtige Rolle, IT-Notfallmanagement muss aber immer im Kontext eines unternehmensweiten Notfallmanagements betrachtet werden. Denn in erster Linie geht es beim Notfallmanagement darum die für das Unternehmen lebensnotwendigen Geschäftsprozesse abzusichern. Was ein Notfall ist, muss daher immer individuell betrachtet und auf Managementebene beantwortet werden. Die dafür notwendigen Werkzeuge lernen die Teilnehmer im Workshop kennen.

Welche Rolle spielt Dokumentation für das Notfallmanagement?

Manuela Reiss: Trainerin am zweiten Tag des BSI & ISO Campus 2014.
Manuela Reiss: Trainerin am zweiten Tag des BSI & ISO Campus 2014. (Archiv)

Eine sehr wichtige. Alle Normen und Standards fordern die Erstellung und Pflege entsprechender Dokumente. Bei einer Zertifizierung müssen diese dem Auditor vorgelegt werden und bilden die Grundlage für dessen weitere Prüfungen. Noch wichtiger aber ist, dass sie die Arbeitsgrundlage bilden. Das Notfallkonzept beispielsweise bildet die Basis für die Umsetzung aller Notfallmaßnahmen. Und noch deutlicher wird dies bei der Dokumentation für die Notfallbewältigung.

Schließlich reicht es nicht aus, dass einer die Notfallpläne im Kopf hat. Gerade im Notfall werden klare schriftliche Anweisungen benötigt. Und damit diese immer aktuell sind, machen die Standards Vorgaben für die Einrichtung von wirksamen Dokumentationsprozessen. Die ISO Normen gehen in den aktuellen Versionen sogar noch einen Schritt weiter und fordern ein durch das Management gesteuertes Dokumentationsmanagement. Auch dieses wird Gegenstand des zweiten Tags des BSI & ISO Campus 2014 sein.

* Manuela Reiss ist Eigentümerin von Dokuit und bietet Unternehmen Unterstützung bei allen Fragestellungen rund um das Thema IT-Dokumentation, was inhaltlich die Bereiche prozessorientierte Betriebsdokumentation, Projektdokumentation und natürlich die Notfalldokumentation einschließt. Als ausgewiesene Expertin für den Bereich IT-Dokumentation bringt sie ihre Erfahrungen aus mehr als zwanzig Jahren freiberuflicher Tätigkeit als Beraterin, Trainerin und Referentin ein. Daneben hat sie sich als Fachbuchautorin einen Namen gemacht und diverse Beiträge und Bücher, wie das »Praxisbuch IT-Dokumentation«, veröffentlicht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42946580 / Standards)