Um den gestiegenen Anforderungen an die Business Continuity-Fähigkeiten gerecht zu werden, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI), unter Mitwirkung von HiSolutions, den bisherigen Standard 100-4 Notfallmanagement zum BSI-Standard 200-4 Business Continuity Management weiterentwickelt und im Januar 2021 erstmalig als Community Draft veröffentlicht.
Innerhalb von zwei Community Draft-Phasen wurden zahlreiche Wünsche und Ideen der verschiedenen Interessengruppen berücksichtig und integriert. Diese intensive Weiterentwicklung des neuen Standards konnte nun erfolgreich abgeschlossen werden. Am 14.06.2023 wurde der BSI-Standard 200-4 offiziell vom BSI veröffentlicht und kann von jeder Institution genutzt werden.
Dazu Prof. Timo Kob, Vorstand und Gründer von HiSolutions: “Als Co-Autor sowohl des BSI-Standard 200-4s als auch zahlreicher damit verbundener Hilfsmittel blickt HiSolutions mit großer Freude auf die nun erfolgte offizielle Veröffentlichung. Der überarbeitete BSI-Standard 200-4 „Business Continuity Management“ bietet eine zeitgemäße, systematische und praxisnahe Anleitung zum Aufbau und Betrieb eines nachhaltigen Business Continuity Management Systems (BCMS).“
Änderungen durch die Community Draft Phasen
Die größte Herausforderung in der Entwicklung des 200-4 bestand darin, die unterschiedlichen Anforderungen an die BCMS-Stufen Aufbau, Reaktiv- und Standard-BCMS kenntlich zu machen und dem Leser des Standards dennoch einen möglichst nahtlosen Lesefluss zu ermöglichen. Das Feedback der Community führte hier zu einer neu überarbeiteten Kapitelstruktur. Diese orientiert sich nun dediziert am BCM-Prozess und geht innerhalb der Kapitel auf die unterschiedlichen Aspekte der BCMS-Stufen ein.
Zudem wurden weiterführende Aspekte des BCM beim Outsourcing und Lieferketten nicht als separates Kapitel beschrieben, sondern konsequent in den BCM-Prozess integriert. Insbesondere die BC-Strategien nehmen hierbei einen größeren Stellenwert ein.
Während der BIA-Vorfilter (vormals Voranalyse) im ersten Community Draft die Eingrenzung des Analysebereichs der Business Impact Analyse durch Vorauswahl zeitkritischer Organisationseinheiten vorsah, kann der Anwender in der aktuellen Fassung zwischen drei Varianten wählen (Organisationseinheiten, Prozesse, Produkte/Services).
Die Business Impact Analyse wurde um eine Kennzahl erweitert. So kann nun zwischen der geforderten Wiederanlaufzeit der Prozesse (Prozess-RTO) und der daraus abgeleiteten Ressourcen-RTO unterschieden werden. Die Prozess-RTO spielt u. a. für die Vererbung von Verfügbarkeitsanforderungen an vor- oder nachgelagerte Prozesse eine große Rolle.
Und noch ein weiterer Parameter hat den Weg in den offiziellen Standard gefunden: Die BAO-Reaktionszeit umfasst den Zeitraum zwischen Eintreten eines Schadensereignisses bis zur Ausrufung des Notfalls. Der Parameter hat u. a. Auswirkungen auf die zu berücksichtigenden Wiederanlaufzeiten.
Gezielte Beratung durch HiSolutions im Business Continuity & Krisenmanagement
Durch die unmittelbare Beteiligung an der Erstellung des neuen BSI-Standards 200-4 sowie dessen Weiterentwicklung innerhalb der zweijährigen Community Draft-Phase kann HiSolutions zeitgleich zur Veröffentlichung des 200-4 passgenaue, individuelle Beratungsleistungen für das Themenfeld Business Continuity & Krisenmanagement anbieten:
- Basis-Lehrgänge und Implementierungsbegleitung für Einsteiger
- Migrations-Lehrgänge und Statusanalysen für Umsteiger vom BSI-Standard 100-4