Business Continuity Management Neuer BSI-Standard 200-4

Autor Melanie Staudacher

Das BSI ruft die Anwendergemeinde dazu auf, bei der Gestaltung eines neuen Standards für das Business Continuity Management zu helfen. Der neue Standard 200-4 löst den bisherigen 100-4 ab und gibt konkrete Maßnahmen für den Krisenfall vor.

Firmen zum Thema

Business Continuity umfasst Maßnahmen und Prozesse, die den IT-Betrieb in Krisensituationen aufrecht erhalten oder den problemlosen Anlauf nach einem Ausfall sicherstellen sollen.
Business Continuity umfasst Maßnahmen und Prozesse, die den IT-Betrieb in Krisensituationen aufrecht erhalten oder den problemlosen Anlauf nach einem Ausfall sicherstellen sollen.
(Bild: © Vitalii Vodolazskyi - stock.adobe.com)

Tritt in einer Institution eine Krise oder ein Notfall auf, ist schnelles Handeln notwendig. Jeder Handgriff muss sitzen. Durch klare Prozess- und Aufgabenfestlegung kann das gelingen. Praxisnahe Anleitungen zum Aufbau eines Business Continuity Management Systems (BCMS) soll der neue Standard 200-4 des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben. Die Weiterentwicklung des Vorgängers 100-4 enthält laut BSI zahlreiche Neuerungen, basierend auf aktuellen Erkenntnissen im Bereich Business Continuity sowie durch die jüngsten Erfahrungen aus der Corona-Pandemie. „Der neue Standard 200-4 ersetzt den alten Standard 100-4. Er berücksichtigt passgenau und modular die verschiedenen Bedürfnisse unterschiedlich großer Anwender. Als die Cyber-Sicherheitsbehörde des Bundes ist es uns ein wichtiges Anliegen, IT-Systeme in Wirtschaft und Staat ausfallsicherer zu machen und Anwender zu befähigen, in Krisen und Notfällen schnell zu reagieren“, sagt Arne Schönbohm, Präsident des BSI.

Der Standard 100-4 konzentrierte sich darauf, Wege aufzuzeigen, wie ein Notfallmanagement in Behörden und Unternehmen etabliert werden kann, um die Geschäftskontinuität mit Sofortmaßnahmen sicherzustellen. Dazu gehört auch, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen vorzubereiten. Ausführlicher wird der Leitfaden mit dem neuen Standard, der das Business Continuity Management (BCM) in den Fokus rückt. Das BCM stellt die Klammer für die Pläne, Maßnahmen und Prozesse dar, die in einer Notfallsituation Anwendung finden. Neben konkreten Maßnahmen gehört auch die strategische Planung dazu, um IT-Risiken langfristig zu reduzieren, sowie deren regelmäßige Überprüfung.

Die Änderungen im Überblick:

  • Im Rahmen der Neukonzeption wurde ein Stufenmodell eingeführt. Dieses unterscheidet die Stufen Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS.
  • Erstellung praxisnaher Anleitungen, für den Aufbau, Betrieb und die kontinuierliche Weiterentwicklung eines BCMS.
  • Anpassung an den ISO-Standard 22301:2019.
  • Ganzheitliche Betrachtung des Business Continuity Management im Fokus der Resilienz.
  • Änderung des Begriffs „Notfallmanagement“ in „Business Continuity Management“.
  • Ergänzung der BCM-Prozessschritte Voranalyse und Soll-Ist-Abgleich.
  • Berücksichtigung der Schnittstellen und Synergien des BCM mit beispielsweise dem IT-Service Continuity Management.
  • Ausführlichere Beschreibung der Bewältigungsorganisation mit ihren Strukturen.

Community Draft

Bei der vorläufigen Version des BSI-Standards 200-4 handelt es sich um einen sogenannten Community Draft. Das bedeutet, dass es noch keine finale Fassung gibt, sondern einen vom BSI erarbeiteten Entwurf, der von der Anwendergemeinde kommentiert werden kann. Bis zum 30. Juni 2021 können Anwender orthografische oder inhaltlich-fachliche Anmerkungen an grundschutz@bsi.bund.de senden.

(ID:47085098)