Im Januar 2008 sollte durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Preview- Version des neuen Notfallmanagement-Standards veröffentlicht werden. Bei der Erarbeitung des Standards ist es jedoch zu weiteren Verzögerungen gekommen, so daß dieser Termin nicht gehalten werden konnte.

Auf Nachfrage können Interessierte beim BSI die aktuelle Vorabversion 0.5 (Diskussionsgrundlage genannt) des Standards erhalten (gshb@bsi.bund.de).

Der Standard beschreibt zunächst einmal den klassischen BCM Lifecycle, der auch aus dem Standard BS 25999-1 bekannt ist:

• Initiierung des Notfallmanagementprozesses
  • Übernahme der Verantwortung durch die Leitungsebene
  • Erstellung einer Leitlinie zum Notfallmanagement
  • Schaffung der organisatorischen Voraussetzungen
• Planungsphase
  • Business Impact Analyse
  • Durchführung einer Risikoanalyse
  • Festlegung von Notfallszenarien
• Entwicklung und Umsetzung eines Notfallvorsorgekonzeptes
  • Festlegung und Umsetzung von Vorsorgemaßnahmen
  • Erstellung eines Notfallhandbuchs zur Notfallbewältigung
  • Etablierung eines Krisenmanagements
• Permanente Aufrechterhaltung des Notfallmanagements
  • Notfallmanagement-Kultur
  • Durchführung von Übungen und Tests
  • Revisionen
  • Weiterentwicklung und Verbesserung von Konzepten, Strukturen, Prozessen

Grundsätzlich unterscheidet der Standard in den proaktiven Bereich der Notfallvorsorge (Normalbetrieb) und den reaktiven Bereich der Notfallbewältigung (Notfall- und Krisenmanagement).

In den proaktiven Bereich fallen die Etablierung der Organisation, Durchführung der Business Impact Analyse, Risikoanalyse und Risikobehandlung (Kontinuitätsstrategien) sowie die Erstellung des Notfallvorsorgekonzepts.

In den reaktiven Bereich fallen das Krisenmanagement, Wiederherstellung und Geschäftsfortführung.

Der Standard unterscheidet zwischen Störung, Notfall, Krise und Katastrophe.

• Störung:
  bestimmte Bereiche, Prozess oder Ressourcen funktionieren nicht wie vorgesehen, Schäden sind nicht schwerwiegend
• Notfall:
  Situation, in der wesentliche Bereiche, Prozesse oder Ressourcen einer Behörde oder eines Unternehmens nicht wie vorgesehen funktionierenund bei denen innerhalb der geforderten Zeit deren Verfügbarkeit nicht wiederhergestellt werden kann (…)
• Krise:
  Situation, in der die Existenz der Institution oder das Leben und die Gesundheit von Personen gefährdet sind, die sich aber auf das Unternehmen oder die Behörde konzentriert (…)
• Katastrophe:
  Situation, in der die Existenz der Institution oder das Leben und die Gesundheit von Personen gefährdet sind und die sich nicht nur auf das Unternehmen oder die Behörde beschränkt, sondern das öffentliche Leben stark beeinträchtigtund somit nicht oder nur in eingeschränktem Maße durch die Institution behoben werden kann.

An folgenden Punkten wird das BSI noch schwerpunktmäßig arbeiten (Erläuterungen des BSI):

• Erläuterungen noch aufgenommen werden sollten (z. B. zu Störung,Notfall und Krise)
• Umstrukturierungen bei einigen Schritten vorgenommen werden sollen
• die Notfallvorsorgemaßnahmen klarer von den Sicherheitsmaßnahmen abgegrenzt werden sollen, bzw. es soll betont werden, dass Teile der Notfallvorsorgemaßnahmen IT-Sicherheitsmaßnahmen sind, während andere – wie z. B. der Aufbau eines Krisenmanagements – darüber hinausgehen
• das Zusammenspiel BIA und Schutzbedarfsfeststellung noch detaillierter erläutert werden muss
• ebenso im Bereich der Risikoanalyse noch das Zusammenspiel mit IT-Grundschutz erläutert werden muss
• das bisher sehr allgemein gehaltene Kapitel zu Übungen noch ausgearbeitet werden muss.

Da sich der Standard noch in einem frühen Entwurfsstadium befindet, werde ich meine Kritikpunkte an der aktuellen Version direkt dem BSI für die Weiterentwicklung weitergeben und nicht an dieser Stelle veröffentlichen.