Mit dem Umsetzungsrahmenwerk, kurz UMRA, zum Notfallstandard 100-4 stellt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) aber weit mehr als ein paar Vorlagen für das Notfallmanagement zur Verfügung.
Unternehmensweites Notfallmanagement – Business Continuity Management (BCM) – ist ein Thema, mit dem sich jedes Unternehmen auseinandersetzen muss. Schließlich kann von einer vorausschauenden und durchdachten Notfallplanung im Fall der Fälle nicht weniger als die Zukunft des Unternehmens abhängen. Es verwundert daher nicht, dass in den vergangenen Jahren etliche Standards und Normen entwickelt wurden, die beschreiben, wie ein Notfallmanagement aufzusetzen ist. Allen Standards ist jedoch gemein, dass sie wenig konkrete Hilfen beinhalten zur konkreten Umsetzung und kaum Vorgaben für die Dokumentation liefern.
Was beinhaltet UMRA?
Mit dem gemeinsam vom BSI und von der Firma HiSolutions AG entwickelten Umsetzungsrahmenwerks für das Notfallmanagement stellt das BSI eine Vorlagensammlung zur Erleichterung der Umsetzung des Standards 100-4 zur Verfügung. Für viele, die auf der Suche nach Vorlagen für Dokumente zur Notfallplanung sind, dürfte sich UMRA als eine wahre Fundgrube erweisen. So sind unter anderem die folgenden Dokumentenvorlagen enthalten:
- Leitlinie für das Notfallmanagement
- Notfallvorsorgekonzept
- Notfallhandbuch
- Geschäftsfortführungspläne
- Wiederanlaufpläne und Wiederherstellungspläne
- Sofortmaßnahmenpläne
- Übungsdrehbuch
Das Umsetzungsrahmenwerk liefert aber nicht nur „ein paar unzusammenhängende Dokumentvorlagen“, sondern unterstützt den gesamten Notfallmanagementprozess. Hierzu enthält es neben den Vorlagen in den Formaten von Microsoft Office und OpenOffice auch Ausfüllanleitungen, Leitfäden, Checklisten, Erhebungsbögen und Vorlagen für Präsentationen.
Der Aufbau des Umsetzungsrahmenwerks gliedert sich in neun Module. Diese decken alle Phasen des Notfallmanagement-Prozesses ab:
- Initiierung eines Notfallprozesses
- Erstellung eines Notfallvorsorgekonzepts
- Erstellung eines Notfallhandbuchs zur Notfallbewältigung
- Planung und Durchführung von Übungen und Tests
- Kontinuierliche Verbesserung des Notfallprozesses
Jedes Modul enthält mindestens eine Modulbeschreibung, eine Dokumentenvorlage und eine Ausfüllanleitung. Die jeweiligen Modulbeschreibungen erläutern die notwendigen Maßnahmen des Moduls und den Umgang mit den Vorlagen.
Zusätzlich gibt es ein Hauptdokument sowie drei Leitfäden, die beschreiben, wie in einer Institution stufenweise ein Notfallmanagement eingeführt werden kann. Hierbei bietet das Hauptdokument einen guten Einstieg in das Thema, da es neben allgemeinen Erläuterungen zu UMRA, auch eine generelle Einführung in das Thema Notfallmanagement bietet.
Ein Stufenmodell hilft bei der Umsetzung
Wie viele Ressourcen zum Aufbau und Betrieb eines angemessenen Notfallmanagements benötigt werden, hängt entscheidend von der Größe und der Art der Institution oder des Unternehmens ab. Aber auch von der Art der Geschäftsprozesse, der Art und Anzahl der Standorte, dem Geschäftsumfeld und der eingesetzten Technik. Eine häufige Kritik an Standards wie dem Notfallstandard 100-4 oder der ISO Norm 22301 ist, dass sie generische Anforderungen definieren, unabhängig von der Größe der Organisation. Die daraus resultierende Komplexität der Anforderungen macht es vor allem kleinen Unternehmen schwer diese zu erfüllen und ein zum Standard konformes Notfallmanagement einzurichten.
Um KMUs und Behörden den Einstieg zu erleichtern, hat das BSI für das Umsetzungsrahmenwerk ein Stufenmodell entwickelt, das eine schrittweise Umsetzung unterstützt. Damit ist es möglich ein Notfallmanagement konform zum BSI-Standard 100-4 aufzubauen, ohne sofort alle Module umsetzen zu müssen. Hierfür sind die Module so ausgestaltet, dass eine Erweiterung und die Umsetzung der nächst höheren Stufe jederzeit teilweise oder vollständig möglich ist. Unterschieden werden die folgenden drei aufeinander aufbauende Stufen:
- Stufe 1: Auf dieser Stufe werden ausschließlich reaktive Maßnahmen des Notfallmanagements eingeführt. Zielsetzung der Anforderungen dieser Stufe ist es, dass das Unternehmen in Notfall- und Krisensituationen grundsätzlich handlungsfähig bleibt.
- Stufe 2: Die Umsetzung der Anforderungen dieser Stufe erfordert die Etablierung grundlegender präventiver und reaktiver Maßnahmen. Damit ist es Unternehmen möglich, ein noch auf das Notwendigste reduziertes, aber zum BSI-Standard 100-4 kompatibles Notfallmanagement einzuführen.
- Stufe 3: Mit der Umsetzung der Anforderungen der Stufe 3 ist der Notfallmanagement-Prozess mit allen Phasen eingeführt und wird auf Basis eines kontinuierlichen Verbesserungsprozesses regelmäßig überprüft und optimiert.
Jede der drei Stufen wird in einem separaten Leitfaden beschrieben. Die Leitfäden bilden gewissermaßen den roten Faden für die Umsetzung und enthalten (unabhängig von der Stufe) die folgenden Punkte:
- Voraussetzungen zur Umsetzung
- Mindestanforderung zur Erreichung der definierten Stufe
- Mindestinhalte der Hilfsmittel
- Modul Einganginformationen
- Modul Ausgangsinformationen
Der Leitfaden der Stufe 1 erläutert beispielsweise, wie besonders relevante Inhalte des BSI-Standards 100-4 zur reaktiven Notfallbewältigung umgesetzt werden können. Es werden die zwingend notwendigen Module benannt und die daraus notwendigen Funktionen und Inhalte erläutert, die für den Aufbau und Betrieb eines Notfallmanagements herangezogen werden sollten. So sind auf Stufe 1 beispielsweise von den neun Modulen nur die folgenden sechs – und auch nicht vollständig – umzusetzen:
- Leitlinie
- Business Impact Analyse
- Strategieentwicklung
- Notfallhandbuch
- Übungen und Tests
- Schulung und Sensibilisierung
Ihr Vorteil: UMRA kann den Einstieg in das Thema Notfallmanagement erleichtern. Hilfreich ist hierbei vor allem auch das in UMRA umgesetzte Stufenmodell. Trotzdem aber bleibt die Einrichtung eines wirksamen Notfallmanagementprozesses eine komplexe Aufgabe. Wir unterstützen Sie gerne dabei. Mehr erfahren …
Die zugehörigen Dokumentenvorlagen, Ausfüllanleitungen, Frage- und Erhebungsbögen, sowie Berichts- und Präsentationsvorlagen enthalten bis auf die Risikoanalyse immer die maximale Detailtiefe und sind je nach Anforderung des Leitfadens der Stufe anzupassen. Die Risikoanalyse ist aufgrund spezieller Anforderungen bereits in drei Versionen unterteilt.
Beispiel Notfallhandbuch
Trotz aller noch so sorgfältig geplanten und eingerichteten Notfallvorsorgemaßnahmen bleibt immer ein Restrisiko bestehen. Und für diese aus dem Restrisiko resultierenden Notfälle wird ein Notfallhandbuch benötigt. Dieses dient als Instrument der Notfallbewältigung und muss konkrete Handlungsanweisungen beschreiben, die nach dem Eintritt von Notfallsituationen die schnelle Wiederherstellung der Geschäftsprozesse gewährleisten. Ergänzend werden eine Reihe von Plänen benötigt, zu denen u. a. der Plan für die Sofortmaßnahmen, der Notfall- und Krisenkommunikationsplan, die Geschäftsfortführungspläne und die Wiederanlauf- und Wiederherstellungspläne zählen. Alle Pläne können entweder in das Notfallhandbuch integriert oder aber als separate Dokumente verwaltet werden.
UMRA liefert neben einer Vorlage für das Notfallhandbuch auch Dokumentenvorlagen für Geschäftsfortführungspläne, und Wiederanlauf- und Wiederherstellungspläne. Eine weitere Vorlage dient zur Erstellung der notwendigen Dokumente für die Kommunikation im Notfall.
Hilfsmittelsammlung auch für den Nachfolger 200-4
Aktuell (09/2021) ist der Standard 100-4 noch die gültige Version. Das BSI hat aber bereits Anfang 2021 eine Community Draft Version des Nachfolgers 200-4 veröffentlicht. Ein weiterer Community-Draft 2.0 des BSI-Standards 200-4 wird im Winter 2021/2022 veröffentlicht. Auch der BSI-Standard 200-4 wird durch Dokumentenvorlagen ergänzt. Diese bauen zum Teil auf den aus dem Umsetzungsrahmenwerk (UMRA) bekannten Vorlagen auf und führen diese fort.
Wir stellen Ihnen den neuen Standard im Beitrag BSI Standard 200-4 – Neuer BCM-Standard für das Notfallmanagement vor.
Manuela Reiss dokuit®