Kontinuitätsmanagement meets Informationssicherheit – kurz: BCM meets ISMS25 | 08 | 22

Unternehmen – egal in welcher Branche – stehen vor immer komplexeren Anforderungen an ihr Risikomanagement, im Wesentlichen getrieben durch Gesetze und Regulatorik. Parallel dazu werden die Budget- und Ressourcen-Schrauben immer enger angezogen und die aktuellen Risiken dieser Welt (Corona, Cyber, Krieg etc.) tragen ihr Übriges dazu bei. Ein Teufelskreis ohne Ausweg?

Nein, denn „Aufgeben“ oder „Resignation“ war noch nie eine zielführende Option. Mit einem erfolgreich umgesetzten BCM und ISMS können Sie Risiken vorbeugen und Ihre Geschäftsgrundlagen stärken.

Beide Managementsysteme sind Teil des operativen Risikomanagements und haben als gemeinsames Ziel die Minimierung der erkannten Risiken (ursachen- bzw. auswirkungsorientiert):

  • BCM soll die reibungslose Fortführung der Geschäftsprozesse unter schwierigen Bedingungen durch strukturiert erhobene Verfügbarkeitsanforderungen absichern. (s. ISO 22301ff)
  • ISMS definiert sich über die IT-Schutzziele „Verfügbarkeit, Integrität und Vertraulichkeit“ und deren Aufrechterhaltung. (s. ISO 27001ff)

Gleich zwei Managementsysteme auf einmal? Wie soll das gehen? Ganz einfach: Nachfolgend stellen wir Ihnen den integrativen Lösungsansatz vor und fokussieren auch auf die KRITIS-relevanten Unternehmen.

Vorteile der Integration von Managementsystemen (DQS Holding GmbH)

Seit etlichen Jahren sind – wie sicherlich viele von Ihnen wissen, die wesentlichen ISO-Standards nach dem „High-Level-Prinzip“ identisch, prozessorientiert und nach dem P-D-C-A Zyklus aufgebaut. Damit wird die Einführung und das Mapping von Managementsystemen wesentlich vereinfacht und effizienter, auch Doppelarbeiten und Aufwand bei der Dokumentation werden reduziert.

Und dank genau dieses High-Level-Prinzips können beide Systeme ressourcenschonend und gleichzeitig effizienzsteigernd geplant und integrativ implementiert werden:

  • Festlegen oder Entwerfen des Managementsystemmodells
  • Strukturieren oder Konfigurieren der zu integrierenden Anforderungen der Normen
  • „Mapping“ oder Verknüpfen der Anforderungen der Normen mit den Prozessen des Unternehmens
  • Analysieren der Lücken inkl. der Bestimmung des Grads der Konformität und Integration oder das Fehlen der Erfüllung der Anforderungen durch die Prozesse
  • Strategien/Handlungsoptionen zum Schließen der Lücken
  • Erweiterung der bereits bestehenden internen Prozesse
  • Verifizierung sowie fortlaufende Messung und Überwachung
  • Ausbau des Kontinuierlichen Verbesserungsprozess (KVP)

Die nachfolgende Tabelle stellt die wesentlichen Schnittstellen zwischen BCM und ISMS dar:

Schnittstellen zwischen BCM und ISMS (WG-DATA GmbH)

Mehrwerte auf einen Blick

  • Erfüllung gesetzlicher und regulatorischer Anforderungen
  • Schnellerer Anlauf des Geschäftsbetriebes unter gleichzeitiger Wahrung sicherheitsrelevanter Anforderungen
  • Einheitliches und geplantes Vorgehen bei kleinen oder großen Ereignissen
  • Präventive Minimierung der Auswirkung auf Prozesse
  • Vermeidung von Doppelerhebung und Inkonsistenzen
  • Erhöhung der Ausfallsicherheit & Resilienz
  • Reputationssteigernd

Gerade in der aktuellen Situation geraten Unternehmen, welche Teil der Kritischen Infrastrukturen (KRITIS) sind, in den Fokus bezüglich Sicherheit und Verfügbarkeit. „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (KRITIS-Definition des Bundesressorts, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe)

Welche speziellen Anforderungen – gerade in Bezug auf BCM und ISMS – müssen die Betreiber von KRITIS relevanten Betrieben erfüllen:

  • Benennung einer Kontaktstelle für die betriebene Kritische Infrastruktur
  • Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
  • Umsetzung der IT-Sicherheit auf den „Stand der Technik“, verbunden mit der Schaffung der ganzheitlichen Notfallfähigkeit der KRITIS-Unternehmen
  • Regelmäßige Nachweisführung des Erfüllungsstatus ggü. dem BSI

Fazit

Die dargestellten Anforderungen und Erwartungen von den unterschiedlichen Stakeholdern lassen sich nur durch eine einheitliche, strukturierte Vorgehensweise effizient erfüllen. Folgende Tipps gebe ich Ihnen dazu mit auf den Weg:

  • Nutzen Sie bereits vorhandene Informationen/Dokumente. Sie haben in der Regel viel mehr davon als Sie bisher dachten.
  • Schonen Sie Ihre knappen Ressourcen durch eine konzertierte, redundanzfreie Vorgehensweise.
  • Beherzigen Sie den Grundsatz „Nicht warten – Starten“.

 

Weitere interessante Einblicke zur Einführung eines Business Continuity Managements in Unternehmen erhalten Sie in der DGQ-Podcast-Folge 13 „Warum Business Continuity Management die Lebensversicherung eines Unternehmens ist“ mit den BCM-Experten der WG-DATA GmbH Uwe Naujoks und Fanny Kohls und den beiden Moderator:innen Natalie Rittgasser und Andreas Heinz: Zur DGQ-Podcastfolge »

Über den Autor: Uwe Naujoks

Uwe Naujoks, geb. 1959 in Berlin, ist Partner und Geschäftsbereichsleiter „Risikomanagement“ bei der WG-DATA GmbH (Kooperationspartner der DGQ), einem mittelständischen Beratungsunternehmen. Er kümmert sich seit ca. 25 Jahren um das Thema „Business Continuity Management (BCM)", lange Jahre auch in Führungspositionen im Finanzdienstleistungssektor. Herr Naujoks ist zertifizierter Trainer und Auditor für ISO 22301 und bildet in diesem Managementsystem auch Auditoren aus.