|
|
| Zeile 1: |
Zeile 1: |
| {{#seo:
| |
| |title=Mustervorlage Richtlinie Notfallmanagement (BCM)
| |
| |keywords=ISMS,BCM,Notfall,Notfallmanagement,Kriese
| |
| |description=Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf den Prozess, wie Unternehmen und Organisationen vor, während und nach einem Notfall ihre Geschäftstätigkeit aufrechterhalten können. Im Bereich der IT bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität sicherzustellen.
| |
| }}
| |
| == Einleitung ==
| |
|
| |
|
| Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf den Prozess, wie Unternehmen und Organisationen vor, während und nach einem Notfall ihre Geschäftstätigkeit aufrechterhalten können. Im Bereich der IT bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität sicherzustellen.
| |
|
| |
| Dies kann beinhalten, aber ist nicht beschränkt auf:
| |
|
| |
| * Die Erstellung von Notfallplänen und -verfahren für IT-Systeme
| |
| * Die Durchführung von Übungen und Tests, um die Wirksamkeit der Notfallpläne zu überprüfen
| |
| * Die Dokumentation von IT-Systemen und -Prozessen, um eine schnelle Wiederherstellung zu ermöglichen
| |
| * Die Überwachung und Überprüfung der IT-Infrastruktur, um potentielle Ausfälle zu erkennen und zu verhindern
| |
| * Die Sicherung wichtiger Daten und Anwendungen, um Verluste im Falle eines Ausfalls zu vermeiden.
| |
|
| |
| Das BCM im Bereich der IT ist ein wichtiger Bestandteil des Gesamt-BCM eines Unternehmens und muss in enger Zusammenarbeit mit anderen Bereichen wie Finanzen, Personalwesen und Produktion durchgeführt werden, um eine integrierte und umfassende Notfallvorsorge zu gewährleisten.
| |
|
| |
| === Begriffsdefinitionen ===
| |
|
| |
| ==== Störung ====
| |
| Eine Störung ist ein Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. Störungen werden im Rahmen des Incident-Managements im Regelbetrieb behoben und sind nicht Bestandteil eines Notfallmanagements. Dennoch kann es sinnvoll sein, auch Störungen im Rahmen des Notfallmanagements im Blick zu behalten, da ein gehäuftes Auftreten von Störungen auf ein strukturelles Problem hinweisen und damit das Risiko für einen Notfall erhöhen kann.
| |
|
| |
| ==== Notfall ====
| |
| Wenn die Auswirkungen einer Störung zu einem längeren Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann, spricht man von einem Notfall.
| |
|
| |
| ==== Kriese ====
| |
| Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Personen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und ernstes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.
| |
|
| |
| === Rechtliche Rahmenbedingungen ===
| |
| ''Auflistung der rechtlichen und vertraglichen Rahmenbedingungen der Organisation.''
| |
|
| |
| == Geltungsbereich ==
| |
| Die Richtlinie Notfallmanagement gilt für alle Geschäftsprozesse, Organsationseinheiten und Standorte der Organisation.
| |
|
| |
| == Zielsetzung ==
| |
| Das Ziel des Notfallmanagements besteht darin, sicherzustellen, dass die Organisation in der Lage ist, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Die Organisation muss in der Lage sein, ihre IT-Systeme und -Prozesse schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten. Die Richtlinie Notfallmanagement legt den organisatorischen Rahmen sowie den Geltungsbereich fest und beschreibt die Notfallprozesse und -verfahren, die Verantwortlichkeiten, Kommunikationspläne, Business Impact Analyse (BIA), Wiederherstellungspläne, Übungen und Tests sowie die Dokumentation und Revision.
| |
|
| |
| == Geschäftsprozesse ==
| |
|
| |
| === IT-Systeme und Infrastruktur ===
| |
| ''In diesem Abschnitt sollte eine Übersicht über die wichtigsten IT-Systeme und die zugehörige Infrastruktur bereitgestellt werden, die zur Erfüllung der Geschäftsprozesse erforderlich sind.''
| |
|
| |
| == Notfallprozesse und -verfahren ==
| |
| Hier sollten die Schritte beschrieben werden, die im Falle eines Notfalls ausgeführt werden müssen, einschließlich der Prozesse zur Wiederherstellung der IT-Systeme.
| |
|
| |
| === Verantwortlichkeiten ===
| |
|
| |
| ==== Organisationsleitung ====
| |
|
| |
| ==== Notfallbeauftragter ====
| |
|
| |
| ==== Mitarbeitende ====
| |
|
| |
| === Kommunikationspläne ===
| |
| Dieser Abschnitt sollte die Kommunikationskanäle und Verfahren beschreiben, die im Notfall genutzt werden, um sicherzustellen, dass alle relevanten Personen informiert werden.
| |
|
| |
| === Business Impact Analyse (BIA) ===
| |
|
| |
| === Wiederherstellungspläne ===
| |
|
| |
| Geschäftsfortführungsplan
| |
|
| |
| Wiederanlaufplan
| |
|
| |
| === Übungen und Tests ===
| |
| Es sollte regelmäßig Übungen und Tests durchgeführt werden, um sicherzustellen, dass das Notfallkonzept funktioniert und alle beteiligten Personen wissen, was sie im Falle eines Notfalls tun müssen.
| |
|
| |
| === Dokumentation und Revision ===
| |
| Die Dokumentation des Notfallkonzepts sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass es aktuell und relevant ist.
| |
|
| |
| === Kontinuierliche Verbesserung ===
| |
|
| |
| == Schlussbemerkung ==
| |
|
| |
| == Inkrafttreten ==
| |
| Diese Richtlinie tritt zum 01.01.2222 in Kraft.
| |
|
| |
| Freigegeben durch: Organisationsleitung
| |
|
| |
| Ort, 01.12.2220,
| |
|
| |
| Unterschrift, Name der Leitung
| |
