Mit dem richtigen Werkzeug

In meinem Beitrag Vorlagen sind kein Allheilmittel habe ich versucht zu verdeutlichen, warum Vorlagen allein nicht ausreichen, um eine angemessene IT-Dokumentation zu erstellen und zu pflegen. Mit dem Umsetzungsrahmenwerk,  kurz UMRA, zum Notfallstandard 100-4 stellt das Bundesamt für Sicherheit in der Informationstechnologie (BSI) aber weit mehr als ein paar Vorlagen zur Verfügung.

Unternehmensweites NotfallmanagementBusiness Continuity Management  (BCM) – ist eines der grundlegenden Themen im Bereich IT-Sicherheit und Risikomanagement. Schließlich kann von einer vorausschauenden und durchdachten Notfallplanung im Fall der Fälle nicht weniger als die Zukunft des Unternehmens abhängen. Es verwundert daher nicht, dass in den vergangenen Jahren etliche Standards und Normen entwickelt wurden, die beschreiben, wie ein Notfallmanagement aufzusetzen ist. Allen Standards ist jedoch gemein, dass sie wenig konkrete Hilfen beinhalten, wie ein IT-Notfallmanagement einzuführen ist und wie die erforderlichen Dokumente in Bezug  auf Inhalte und Detaillierungsgrad aussehen müssen.

Mit dem gemeinsam vom BSI und von der Fa.HiSolutions AG entwickelten Umsetzungsrahmenwerks für das Notfallmanagement stellt das BSI einen „Werkzeugkasten für die Einführung und den Betrieb eines Notfallmanagements auf Basis des Standards 100-4 zur Verfügung. Insbesondere soll UMRA dabei helfen die Flut der für das Notfallmanagement erforderlichen Dokumente in den Griff zu bekommen.  

Was beinhaltet UMRA?

Für viele, die auf der Suche nach Vorlagen für Notfallmanagementdokumente sind, dürfte sich UMRA als eine wahre Fundgrube erweisen, wie die folgende Liste mit einer Auswahl der enthaltenen Dokumentvorlagen zeigt:

Das Umsetzungsrahmenwerk liefert nicht nur „ein paar unzusammenhängende Dokumentvorlagen“, sondern unterstützt vielmehr die Einrichtung und die ständige Verbesserung des Notfallmanagements und damit den gesamten Notfallmanagementprozess. Hierzu enthält es neben den Vorlagen in den Formaten von Microsoft Office und OpenOffice auch Ausfüllanleitungen, Leitfäden Checklisten, Erhebungsbögen und Vorlagen für Präsentationen.

Der Aufbau des Umsetzungsrahmenwerks gliedert sich in neun Module. Diese decken alle Phasen des Notfallmanagement-Prozesses ab:

  • Initiierung eines Notfallprozesses
  • Erstellung eines Notfallvorsorgekonzepts
  • Erstellung eines Notfallhandbuchs zur Notfallbewältigung
  • Planung und Durchführung von Übungen und Tests
  • Kontinuierliche Verbesserung des Notfallprozesses

Jedes Modul enthält mindestens eine Modulbeschreibung, eine Dokumentvorlage und eine Ausfüllanleitung. Die jeweiligen Modulbeschreibungen beschreiben vor allem die fügbaren Dokumente, die in der Nomenklatur von UMRA als Hilfsmittel bezeichnet werden.

Zusätzlich gibt es ein Hauptdokument sowie drei Leitfäden, die beschreiben, wie in einer Institution stufenweise ein Notfallmanagement eingeführt werden kann. Hierbei bietet das Hauptdokument einen guten Einstieg in das Thema, da es allgemeinen Erläuterungen zu UMRA auch eine generelle Einführung in das Thema Notfallmanagement bietet.

Ein Stufenmodell hilft bei der Umsetzung

Wie viele Ressourcen zum Aufbau und Betrieb eines angemessenen Notfallmanagements benötigt werden, hängt entscheidend von der Größe und der Art der Institution bzw. des Unternehmens, aber auch u.a. von der Art der Geschäftsprozesse, der Art und Anzahl der Standorte, dem Geschäftsumfeld und der eingesetzten Technik ab. Eine häufige Kritik an Standards wie dem Notfallstandard 100-4 oder der ISO Norm 22301 ist, das sie generische Anforderungen definieren, unabhängig von der Größe der Organisation. Die daraus resultierende Komplexität der Anforderungen macht es vor allem kleinen Unternehmen schwer diese zu erfüllen und ein zum Standard konformes Notfallmanagement einzurichten.

Um solchen Unternehmen und Behörden den Einstieg zu erleichtern, hat das BSI für das Umsetzungsrahmenwerk ein Stufenmodell entwickelt, das eine schrittweise Umsetzung unterstützt. Damit ist es möglich ein Notfallmanagement konform zum BSI-Standard 100-4 aufzubauen, ohne sofort alle Module umsetzen zu müssen. Hierfür sind die Module so ausgestaltet, dass eine Erweiterung bzw. die Umsetzung der nächst höheren Stufe jederzeit teilweise oder vollständig möglich ist. Unterschieden werden die folgenden drei aufeinander aufbauende Stufen:

  • Stufe 1: Auf dieser Stufe werden ausschließlich reaktive Maßnahmen des Notfallmanagements eingeführt. Zielsetzung der Anforderungen dieser Stufe ist es, das das Unternehmen in Notfall- und Krisensituationen grundsätzlich handlungsfähig bleibt.
  • Stufe 2: Die Umsetzung der Anforderungen dieser Stufe erfordert die Etablierung grundlegender präventiver und reaktiver Maßnahmen. Damit ist es Unternehmen möglich, ein noch auf das Notwendigste reduziertes, aber zum BSI-Standard 100-4 kompatibles Notfallmanagement einzuführen.
  • Stufe 3: Mit der Umsetzung der Anforderungen der Stufe 3 ist der Notfallmanagement Prozess mit allen Phasen eingeführt und wird auf Basis eines kontinuierlichen Verbesserungsprozesses regelmäßig überprüft und optimiert.

Jede der drei Stufen wird in einem separaten Leitfaden beschrieben. Die Leitfäden bilden gewissermaßen den roten Faden für die Umsetzung und enthalten (unabhängig von der Stufe) die folgenden Punkte:

  • Voraussetzungen zur Umsetzung
  • Mindestanforderung zur Erreichung der definierten Stufe
  • Mindestinhalte der Hilfsmittel
  • Modul Einganginformationen
  • Modul Ausgangsinformationen

Der Leitfaden der Stufe 1 erläutert beispielsweise wie besonders relevante Inhalte des BSI-Standards 100-4 zur reaktiven Notfallbewältigung umgesetzt werden können. Es werden die zwingend notwendigen Module benannt und die daraus notwendigen Funktionen bzw. Inhalte erläutert, die für den Aufbau und Betrieb eines Notfallmanagements herangezogen werden sollten. So sind auf Stufe 1 beispielsweise von den neun Modulen nur die folgenden sechs – und auch nicht vollständig – umzusetzen:

  • Leitlinie
  • Business Impact Analyse
  • Strategieentwicklung
  • Notfallhandbuch
  • Übungen und Tests
  • Schulung und Sensibilisierung

Die zugehörigen Dokumentenvorlagen, Ausfüllanleitungen, Frage- und Erhebungsbögen, sowie Berichts- und Präsentationsvorlagen enthalten bis auf die Risikoanalyse immer die maximale Detailtiefe und sind je nach Anforderung des Leitfadens der Stufe anzupassen. Die Risikoanalyse ist aufgrund spezieller Anforderungen bereits in drei Versionen unterteilt.

Beispiel Notfallhandbuch

Trotz aller noch so sorgfältig geplanten und eingerichteten Notfall­vorsorgemaßnahmen bleibt immer ein Restrisiko bestehen. Und für diese aus dem Restrisiko resultierenden Notfälle wird ein Notfall­handbuch benötigt. Dieses dient als Instrument der Notfallbewälti­gung und muss konkrete Handlungsanweisungen beschreiben, die nach dem Eintritt von Notfallsituationen die schnelle Wiederher­stellung der Geschäftsprozesse gewährleisten. Ergänzend werden eine Reihe weiterer Pläne benötigt zu denen u.a. der Plan für die Sofortmaßnahmen, der Notfall- und Krisenkommunikationsplan, die Geschäftsfortführungspläne und die Wiederanlauf- und Wiederherstellungspläne zählen. Alle Pläne können entweder in das Notfallhandbuch integriert oder aber als separate Dokumente verwaltet werden.

UMRA liefert neben einer Vorlage für das Notfallhandbuch auch Dokumentenvorlagen für die Beschreibung der Phasen Geschäftsfortführung, Wiederanlauf und Wiederherstellung. Eine weitere Vorlage dient zur Erstellung der notwendigen Dokumente für die Kommunikation im Notfall.

Fazit

Das Umsetzungsrahmenwerk des BSI stellt mit zahlreichen Dokumentvorlagen, Ausfüllhilfen und Leitfäden einen Werkzeugkasten zur Verfügung, der vielen Unternehmen den Einstieg in das Thema Notfallmanagement erleichtern kann. Hilfreich ist hierbei vor allem auch das in UMRA umgesetzte Stufenmodell. Trotzdem aber bleibt die Einrichtung eines wirksamen Notfallmanagementprozesses eine komplexe Aufgabe, die nicht „nebenbei“ zu erledigen ist, sondern zusätzliche Ressourcen erfordert und nur als unternehmensweites Projekt erfolgreich sein kann.

Teilen
Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.