Tickets für die 4. Fachkonferenz des IBCRM e.V. zu gewinnen

Am 22. und 23. Juni 2022 findet die bereits vierte Fachkonferenz des Institut für Business Continuity und Resilience Management e.V. IBCRM statt – dieses Mal in unserer Hauptstadt Berlin.

Die Teilnehmer erwarten spannende Vorträge von Praktikern zu den Themenbereichen Business Continuity Management, Krisenmanagement und Resilience. GRC-Tools kämpfen zudem live im Ring um die Gunst der Teilnehmer in einem Tool-Battle.

Wäre es nicht super, kostenfrei an dieser tollen Veranstaltung teilnehmen zu können? Die Leser der bcm-news haben diese tolle Chance und könnten den gesparten Eintrittspreis dann gleich im Nachtleben Berlins auf den Kopf hauen.

Und das geht auch noch ganz einfach und ohne eine gemeine Abo-Falle durch die Hintertüre: einfach bei der Anmeldung zur Veranstaltung auf der Webseite des IBCRM den PromoCode “BCMNEWS” angeben. Unter allen Anmeldungen mit diesem PromoCode werden drei Teilnehmer ausgelost, die ihr Ticket nach der Konferenz erstattet bekommen.

Satte 15 Prozent Rabatt auf das Einsteigerticket können sich alle Teilnehmer mit dem gleichen PromoCode “BCMNEWS” ohnehin sichern. Ist das nicht ein schwäbisches Angebot?

Die Konferenz findet am 22. und 23. Juni im Courtyard Berlin City Center, Axel-Springer-Str. 55 in Berlin statt.

Ich freue mich, euch persönlich in Berlin auf eine Plausch zwischen den Vorträgen zu treffen und wünsche viel Glück bei der Verlosung der kostenfreien Tickets.

Anforderungen des ISO 27002:2022 an das Business Continuity Management

Im Februar 2022 ist die dritte Version des ISO 27002 “Information security, cybersecurity and privacy protection — Information security controls” erschienen. Diese aktualisierte Version ersetzt die Vorgängerversion aus dem Jahr 2013. ISO 27002 ist die Guidance zur Umsetzung der Anforderungen aus dem ISO 27001 und damit selbst kein Zertifizierungsstandard. Die Zertifizierung erfolgt auf Basis des ISO 27001. Die Anforderungen im ISO 27002 sind daher auch als Soll-Anforderungen beschrieben. In der neuen Version hat sich der Titel geändert (alter Titel: “Information technology — Security techniques — Code of practice for information security controls”), die Struktur der Controls wurde geändert, indem zum Beispiel den einzelnen Controls Attribute zugeordnet wurden und Controls wurden zusammengelegt, die Beschreibungen aktualisiert und Controls gelöscht.

Diese Änderungen werden in die Aktualisierung des ISO 27001 Eingang finden und für zukünftige Zertifizierungen nach ISO 27001 verpflichtend werden.

Hier soll ausschließlich auf die Änderungen der Anforderungen des Standards an das Business Continuity Management (BCM) eingegangen werden. Im ISO 27001:2013 sind die Anforderungen an das BCM in Annex A.17 “Informationssicherheitsaspekte beim Business Continuity Management” enthalten: Die Organisation hat die Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Umständen (Bsp. Krisen und Katastrophen) zu bestimmen, Maßnahmen zur Aufrechterhaltung der Informationssicherheit umzusetzen und diese zu überprüfen und bewerten.

Diese Anforderungen sind leider unpräzise und auslegungsbedürftig formuliert. Dies führt dazu, dass Auditoren in Zertifizierungsaudits für die Informationssicherheit zu ganz unterschiedlichen Interpretationen der konkreten Anforderungen an das BCM kommen, die für die Zertifizierung zu erfüllen sind.

Der aktualisierte ISO-Standard 27002:2022 hat diese Unschärfe nun behoben und beschreibt die Anforderungen in Kapitel 5 “Organizational controls” in den beiden Controls 5.29 “Information security during disruption” und 5.30 ICT readiness for business continuity”. Im nächsten Update des ISO 27001 werden diese Anforderungen voraussichtlich enthalten sein.

Das erste Control greift die Anforderungen an die Sicherstellung der Informationssicherheit in einem angemessenen Umfang bei Geschäftsunterbrechungen aus dem ISO 27001:2013 auf. Bei einer Geschäftsunterbrechung sollen die Anforderungen an die Sicherheitsziele der Informationssicherheit auf Basis der Erkenntnisse aus der Business Impact Analyse und dem Risk Assessment angemessen berücksichtigt werden.

Das Control 5.30 “ICT readiness for business continuity” definiert die Anforderungen an das Business Continuity Management für die Informationsssicherheit wesentlich konkreter. Das Control beinhaltet die Anforderungen an die Verfügbarkeit der ICT auf Basis der Ergebnisse der Business Impact Analyse (BIA). Die BIA soll eine Schadensfolgeabschätzung über Zeitintervalle für Impact-Kategorien beinhalten um die Priorität von Prozessen zu bestimmen (RTO). Zudem können Anforderungen an die Performance, Kapazität und Daten (RPO) von ICT-Ressourcen definiert werden. Die BIA soll zudem die Anforderungen an die Ressourcen kritischer Geschäftsprozesse identifizieren. Zu diesen Ressourcen zählen auch ICT-Ressourcen. Auf Basis der Ergebnisse der BIA sollen für die ICT-Ressourcen Notfallstrategien mit Notfalloptionen vor während und nach Unterbrechungen definiert werden. Auf Basis dieser Strategien sollen Notfallpläne entwickelt, implementiert und getestet werden.

Die Organisation soll

  • eine adäquate Organisatiuonsstruktur zur Bewältigung von Geschäftsuntebrechungen implementieren,
  • über ICT-Notfallpläne verfügen, die regelmäßig getestet werden und vom Management abgenommen wurden,
  • über ICT-Pläne verfügen, die Performance- und Kapazitätsspezifikationen zur Einhaltung der Anforderungen aus der BIA sowie RTOs und RPOs beinhalten.

Die Beschreibungen der Anforderungen im ISO 27001:2022 an das Business Continuity Management sind insbesondere im Control 5.30 wesentlich detaillierter beschrieben als im aktuellen ISO 27001. Es ist zwar kein vollumfängliches Business Continuity Management System nach ISO 22301 gefordert, doch eine Business Impact Analyse als Grundlage für ICT-Notfallplanungen wird bei der Übernahme der Controls in den aktualisierten ISO 27001 dann zur zwingenden Voraussetzung für eine Zertifizierung.

Supply Chain Resilience Management – Vorsorge für den Bruch der Lieferketten (Teil 2)

Im zweiten Teil des Beitrags zu Supply Chain Resilience auf 3GRC gehe ich auf die Optionen zur Stärkung der Resilienz der Supply Chain ein.

Transparenz der Lieferketten, Redundanz, Flexibilität und enge Kommunikation mit den Lieferanten und Dienstleistersn sind die kritischen Erfolgsfaktoren für eine Stärkung der Widerstandskraft der physischen und digitalen Lieferketten.

Die Business Impact Analyse des Business Continuity Management und das IT Service Continuity Managemnet bilden einen guten Ausgangspunkt zur risikoorientierten Identifikation der kritischen Dienstleister und Lieferanten für die physischen Güter und digitalen Daten.

Die Lieferketten sind oftmals hochkomplexe weltweit verknüpfte Ketten aus vielen eng zusammenhängenden Elementen. Das risikoorientierte Management dieser Lieferketten ist zu einem strategischen Erfolgsfaktor geworden, wie die aktuelle Halbleiter-Krise deutlich aufzeigt.

BCM-News Daily Digest

  • Stromausfall: Zehntausende Haushalte in Berlin ohne Heizung und Warmwasser | heise online
    Tausende Menschen im Berliner Osten haben am Sonntagabend über Stunden ohne Heizung und ohne warmes Wasser auskommen müssen – bei Außentemperaturen von etwa drei Grad Celsius. Ein kurzer StromausfTausende Menschen im Berliner Osten haben am Sonntagabend über Stunden ohne Heizung und ohne warmes Wasser auskommen müssen – bei Außentemperaturen von etwa drei Grad Celsius. Ein kurzer Stromausfall beim landeseigenen Stromnetzbetreiber Stromnetz Berlin hatte am Nachmittag auch das Heizkraftwerk Klinge…

Ich wünsche Ihnen ein frohes Fest und einen guten Start ins neue Jahr!

haemmerle-consulting wünscht ein FFP2-freies neues Jahr mit ganz vielen persönlichen Kontakten!

Mein Grafiker Leander-Aurel Taubner von LAT-Design und ich haben auch dieses Jahr wieder unser Bestes gegeben, um eine originelle Weihnachtskarte zu designen und drucken zu lassen. Haben Sie so viel Freude daran, wie wir während der Designphase. Mittlerweile sind dies bereits Sammlerstücke bei meinen Kunden!

Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

Virtueller Impulstag des IBCRM

Virtueller Impulstag des IBCRM am 13.10.2021

Das Institut für Business Continuity und Resilience Management e.V., kurz IBCRM, veranstaltet am 13. Oktober den virtuellen Impulstag zu den Themengebieten Operational Resilience, Wandel und Zukunft des Krisenmanagements sowie aktuelle regulatorischen Anforderungen.

Die Agenda der virtuellen Veranstaltung besteht aus zahlreichen kurzen und knackigen Beiträgen von Experten zu den verschiedenen Themengebieten:

  • Neue Wege in BCM und Resilience
  • Wie sieht das Krisenmanagement von morgen aus?
  • Digitalisierung der Krisenstabsarbeit
  • Die Verzahnung von Operationaler Resilienz mit anderen Disziplinen
  • BCM in der Industrie 4.0

Dies sind nur einige der Themen aus dem umfangreichen und abwechslungsreichen Programm.

Holen Sie sich aktuelle Informationen und Impulse für Ihre Arbeit und melden Sie sich für die Veranstaltung an. Die Anmeldung zu der Veranstaltung ist auf der Webseite des IBCRM möglich.

DIN EN ISO 22300:2021 in deutsch erschienen

Der ISO-Standard ISO 22300:2021-06 “Sicherheit und Resilienz – Begriffe” ist in deutscher Sprache erschienen. Der Standard enthält das Glossar der Begrifflichkeiten für Sicherheit und Resilienz für diese Normenreihe.

Der ISO-Standard kann beim Beuth-Verlag bezogen werden.

Erfahrungsgemäß sind die Übersetzungen in die deutsche Sprache nicht immer sehr gut gelungen und die englischen Begriffe prägnanter und aussagekräftiger. Ob dies auch für diesen Standard zutrifft, kann ich allerdings noch nicht beurteilen.

Testen und Üben –Sisyphusarbeit im Business Continuity Management

Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen

Am 26. August 2021 hat das BaFin die Novellierungen der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) nach der Konsultationsphase final veröffentlicht.

Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.

Für so manchen BCM- und ITSCM-Verantwortlichen wird die Umsetzung der Anforderungen wie eine nie enden wollende Sisyphusarbeit erscheinen.

Es gibt jedoch Stellschrauben, um die Aufwände für die nachzuweisenden Tests und Übungen zumindest zu verringern, ohne an Qualität zu verlieren.

In meinem aktuellen Beitrag auf 3GRC stelle ich mehrere dieser Stellschrauben vor.

Notfallvorsorge für physische Dokumente

Bereits durch die Velagerung vieler Tätigkeiten in den Remote-Betrieb ist vielen Unternehmen aufgefallen, wieviele physische Dokumente für die Aufrechterhaltung der Geschäftsprozesse trotz Digitalisierungstrend nach wie vor zwingend erforderlich sind. Neben der eingehenden Kundenkorrespondenz, Prozessdokumentationen und Freigaben per Unterschrift handelt es sich auch um Urkunden wie zum Beispiel Grundschuld- oder Fahrzeugbriefe.

In Archiven schlummern zudem Akten, die für die Buchführung und Steuernachweise erforderlich sind und gesetzlichen Aufbewahrungspflichten unterliegen. Idealerweise werden diese Dokumente bereits in der Business Impact Analyse erhoben. Bei Übungen und Tests von Ausweicharbeitsplätzen und gerade jetzt im Pandemiebetrieb werden ebenfalls solche kritischen physischen Dokumente identifiziert. Es ist trotzdem erstaunlich, wieviele für einen Geschäftsprozess erforderliche physische Dokumente bei Übungen noch identifiziert werden, an die vorher nicht gedacht wurde. Oftmals sind dies auch Aufschriebe und Hilfsdokumentationen, die für die tägliche Arbeit in den Schreibtischen liegen.

Rechtzeitig erkannt, können für den Fall, dass kein Zugriff mehr auf die Dokumente besteht, Ersatzlösungen geschaffen werden. Eine Lösung kann zum Beispiel die Digitalisierung der Dokumente vor und während der Bearbeitung sein. Wo dies nicht möglich ist, wie zum Beispiel bei notariell beglaubigten Urkunden, muss das Archiv angemessen geschützt und Ersatzbeschaffungslösungen evaluiert werden.

Diese Bilder aus den Überschwemmungsgebieten zeigen, welche Folgen ein Wasserschaden für diese wichtigen Dokumente haben kann.

Quelle: Bundeswehr auf twitter

Auf einen Schlag sind Archive vollständig zerstört oder nur mit erheblichem Aufwand wiederherstellbar. Dies betrifft nicht nur Unternehmen sondern auch jeden von uns. Gerade in diesen Notfall-Situationen werden die Versicherungsunterlagen dringend benötigt.

Die Techniken der Digitalisierung sind weit fortgeschritten und für Unternehmen wie auch für Privatpersonen relativ einfach umzusetzen. Für Privatpersonen, Praxen und kleine Unternehmen reicht bereits ein Multifunktionsgerät mit Scanner aus. Werden die gescannten Dokumente zusätzlich in einer sicheren Cloud-Umgebung abgelegt statt auf der Festplatte des PC kommt eine weitere wichtige Sicherheitsebene hinzu. Die Dokumente sind auch nach einer Evakuierung, einem Brand oder Feuer verfügbar – im Gegensatz zur lokalen Festplatte auf dem heimischen PC. Eine Internetverbindung zum Cloud-Speicher ermöglicht den schnellen Zugriff auf alle wichtigen Dokumente. Noch komfortabler geht es mit Archivierungssystemen, die das Indizieren der Dokumente und eine Volltextrecherche ermöglichen. Der tägliche Aufwand hierfür ist gering, der Nutzen in einem Notfall aber enorm.