Was bringt der neue deutsche Standard BSI 100-4 Notfallmanagement?
In Kürze wird der neue deutsche Standard BSI 100-4 Notfallmanagement veröffentlicht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) widmet damit einen gesamten Standard dem Thema Notfallmanagement. Bislang wurde im Grundschutzbaustein 1.3 “Notfall-Vorsorgekonzept” lediglich die rein IT-technische Seite der Notfallvorsorge betrachtet. Was wird uns der neue Standard bringen?
Inhaltlich basiert der Standard auf dem britischen Standard BS25999. Die zeitliche Verzögerungen bei der Veröffentlichung sind darin begründet, dass das zugehörige Control-Framework BS 25999-2 kurz vor Veröffentlichung steht und ebenfalls Eingang in den neuen Standard nehmen soll.
Der Aufbau des Standards gliedert sich in:
– Planung und Konzeption zur Notfallvorsorge
– Erstellung eines Notfallhandbuchs zur Notfallbewältigung
– Etablierung und Pflege einer Notfallmanagement-Kultur
– Planung und Durchführung von Übungen und Tests
– Permanente Aufrechterhaltung.
Bereits die Gliederung lässt den britischen Standard und den BCM Lifecycle wiedererkennen.
Im Gegensatz zu BS 25999 soll der deutsche Standard nicht nur eine abstrakte Vorgehensweise definieren, sondern mit Hilfe von Gliederungsvorschlägen und Templates konkrete Hilfestellungen bei der Implementierung des Notfallmanagements geben.
Die Unternehmen können hierbei die Umsetzung an die jeweilige Unternehmensgröße und -komplexität adaptieren. So ist die Durchführung einer Business Impact Analyse (BIA) optional.
Die Etablierung eines deutschen Standards, der Grundlage für eine Zertifizierung sein kann, ist grundsätzlich sehr zu begrüßen. Auch die enge Anlehnung an den britischen Standard schafft die Grundlagen für ein internationales BCM Framework.
Templates helfen insbesondere kleinen und mittelständischen Unternehmen den angemessenen Einstieg in das Notfallmanagement zu finden.
Es bleibt zu hoffen, dass durch die Einordnung des neuen Standards in die Grundschutzkataloge das Thema Business Continuity Management nicht automatisch in die Schubladen “IT” oder gar “Kisten und Kabel” gesteckt wird. Dies wird dem Thema Business Continuity Management dann nicht gerecht, wenn die IT lediglich die “IT-technische Brille” aufhat.
Mittel- und langfristig sollte ein internationaler ISO Standard auf Basis des britischen Standards einen internationalen Standard bilden.
0 Responses