Vorbericht zum BSI & ISO Campus 2014 – Tag 2
Notfallmanagement nach ISO und BSI-Grundschutz
| Autor / Redakteur: Manuela Reiss* / Peter Schmitz
Das Thema Notfallplanung wird in Unternehmen oft der IT-Abteilung zugesprochen, aber richtiges Notfallmanagement entscheidet über den Fortbestand des Unternehmens mit und sollte deshalb ein Thema der Geschäftsleitung sein. Tag 2 des BSI & ISO Campus 2014 soll hier sensibilisieren und aufklären.
Sowohl die ISO 27001, als auch BSI-Grundschutz fordern die Einrichtung und Pflege eines effektiven Notfallmanagements. Ohne ein solches ist eine Zertifizierung des ISMS nicht möglich. Das BSI hat hierfür 2009 die Grundschutzstandards um einen Notfallstandard erweitert und den Standard 100-4 veröffentlicht und die ISO 27001 fordert die Umsetzung der entsprechenden Controls. Die Vogel IT-Akademie hat also mit gutem Grund für den BSI & ISO Campus 2014 das Thema Notfallmanagement als Kernthema des zweiten Veranstaltungstags ausgemacht.
Natürlich ist es auch möglich das Notfallmanagement gesondert zu zertifizieren. Mit der im Mai 2012 veröffentlichten ISO Norm 22301 gibt es nun erstmals einen international gültigen und zertifizierbaren Standard für das Notfallmanagement. Die Anforderungen der jeweiligen Normen werden ausführlich im Workshop behandelt.
Welche Relevanz hat das Notfallmanagement für Unternehmen, die keine Zertifizierung anstreben?
Es gibt natürlich ganz praktische Gründe für die Einrichtung eines Notfallmanagements.Theoretisch ist jedem klar, dass Notfallvorsorge wichtig ist, doch in der Praxis wird häufig nach dem Motto verfahren „Es wird schon nichts passieren“. Eine solche Haltung ist fahrlässig. Es gibt eine Reihe von Untersuchungen, die belegen, dass für Unternehmen, die unvorbereitet in einen Notfall geraten, eine hohe Wahrscheinlichkeit besteht, dass sie diesen nicht überleben.
Außerdem wird häufig nicht beachtet, dass es beim Notfallmanagement vor allem darum geht das Risiko für das Eintreten von Notfällen zu reduzieren. Die Notfallbewältigung kommt erst an zweiter Stelle.
Was ist überhaupt ein Notfall?
Das ist in der Tat eine wichtige Frage und deren Beantwortung ein wichtiger Punkt im Workshop. Häufig werden Notfälle auf den Ausfall von IT-Komponenten reduziert und die IT-Organisation mit der Erstellung des Notfallhandbuchs für das Unternehmen beauftragt. Natürlich spielt die IT eine wichtige Rolle, IT-Notfallmanagement muss aber immer im Kontext eines unternehmensweiten Notfallmanagements betrachtet werden. Denn in erster Linie geht es beim Notfallmanagement darum die für das Unternehmen lebensnotwendigen Geschäftsprozesse abzusichern. Was ein Notfall ist, muss daher immer individuell betrachtet und auf Managementebene beantwortet werden. Die dafür notwendigen Werkzeuge lernen die Teilnehmer im Workshop kennen.
Welche Rolle spielt Dokumentation für das Notfallmanagement?
Schließlich reicht es nicht aus, dass einer die Notfallpläne im Kopf hat. Gerade im Notfall werden klare schriftliche Anweisungen benötigt. Und damit diese immer aktuell sind, machen die Standards Vorgaben für die Einrichtung von wirksamen Dokumentationsprozessen. Die ISO Normen gehen in den aktuellen Versionen sogar noch einen Schritt weiter und fordern ein durch das Management gesteuertes Dokumentationsmanagement. Auch dieses wird Gegenstand des zweiten Tags des BSI & ISO Campus 2014 sein.
* Manuela Reiss ist Eigentümerin von Dokuit und bietet Unternehmen Unterstützung bei allen Fragestellungen rund um das Thema IT-Dokumentation, was inhaltlich die Bereiche prozessorientierte Betriebsdokumentation, Projektdokumentation und natürlich die Notfalldokumentation einschließt. Als ausgewiesene Expertin für den Bereich IT-Dokumentation bringt sie ihre Erfahrungen aus mehr als zwanzig Jahren freiberuflicher Tätigkeit als Beraterin, Trainerin und Referentin ein. Daneben hat sie sich als Fachbuchautorin einen Namen gemacht und diverse Beiträge und Bücher, wie das »Praxisbuch IT-Dokumentation«, veröffentlicht.
