BCI Good Practice Guidelines 2018 Edition erschienen

Nach einer Runde um den Globus sind die aktualisierten Good Practice Guidelines (GPG) Edition 2018 anlässlich der BCI World Conference in London veröffentlicht worden.

Die BCI GPG waren mir damals als Einsteiger in das Thema Business Continuity Management eine wertvolle Hilfestellung. Im Gegensatz zu den BCM-Standards (die es damals im Gegensatz zum GPG noch nicht gab), erläutern die GPG nicht nur was für ein gutes BCM implementiert werden muss, sondern geben auch Hilfestellung mit welchen Methoden die Ziele erreicht werden. Geschrieben von Praktikern für Praktiker. Die neue Version basiert weiterhin auf dem bewährten BCM-Lifecycle mit den Professional Management Practices (PP) “Policy und Programm Management” und  “Embedding BC” sowie den Technical Practices  “Analysis”, “Design”, “Implementation” und “Validation”.

Jede Phase besteht aus den Beschreibungsteilen

  • generell zu beachtende Prinzipien,
  • Konzepte,
  • Detailprozess mit Prozesschritten,
  • Methoden und Techniken sowie
  • Ergebnisse und Review.

Die Business Impact Analyse (BIA) hat die größte Überarbeitung erfahren und basiert in den neuen GPG konsequent auf dem Vorgehen im ISO-Standard ISO 22317:2015.

Aufbau und Inhalt des GPG 2018 sind sowohl für Einsteiger in das Thema BCM als auch für erfahrene Praktiker sehr hilfreich.

Die GPG tragen den Untertitel “Building organizational resilience”. Um das Gute noch besser zu machen, würde ich mir für eine zukünftige Version eine noch stärkere Berücksichtigung der Schnittstellen zwischen den Disziplinen wünschen, die für die organisatorische Resilienz erforderlich sind. In der Grafik auf dem Deckblatt haben sie zumindest schon ihr Plätzchen gefunden.

Eine Übersicht über den neuen Aufbau stellt das BCI auf den neu gestalteten Webseiten zur Verfügung. Der GPG ist für BCI-Mitglieder kostenfrei online erhältlich. Nicht-Mitglieder bezahlen 30 GBP excl. VAT für dieses hilfreiche Werk. Ein Schnäppchen im Vergleich zu den ISO-Standards!

Wenn Sie eine aktuelle deutsche Literatur zu BCM und IT Service Continuity Management suchen, dann werden Sie hier fündig:
Business Continuity und IT-Notfallmanagement: Grundlagen, Methoden und Konzepte (Edition <kes>)

BaFin veröffentlicht Anforderungen an die IT für Banken BAIT

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat am 06.11.2017 die BAIT veröffentlicht.

“Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG). Die Aufsicht erläutert darin, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.”

Quelle: BaFin

MaRisk Novelle 2017: Veröffentlichung der Endfassung durch das BaFin

Das BaFin hat am 27.10.2017 die Endfassung der MaRisk Novelle 2017 veröffentlicht. Wesentliche inhaltliche Änderungen betreffen die Themenbereiche Risikodatenaggregation und Risikoberichterstattung, Risikokultur und Verhaltenskodex sowie Auslagerungen. Aus Sicht des Business Continuity Management gab es an der zentralen Regelung im AT 7.3 Notfallkonzept keine Änderungen. Indirekt ist das BCM insbesondere durch die überarbeiteten Regelungen im Themenbereich Auslagerungen betroffen. Der Tatbestand des Vorliegens einer Auslagerung ist in der Neufassung für den Fremdbezug von IT-Leistungen genauer spezifiziert. Bei Vorliegen einer Auslagerung sind unverändert die Notfallkonzepte des auslagernden Instituts und des Auslagerungsunternehmens aufeinander abzustimmen.

Neu aufgenommen wurde der Schutzbedarf von Informationswerten als Anforderungskriterium. Die Ergebnisse des Informationssicherheitsmanagements finden somit stärkere Berücksichtigung in den Regelungen. Dies betrifft das IT-Risikomanagement, die Überprüfung von Berechtigungen im Berechtigungsmanagement sowie Anforderungen an die Individuelle Datenverarbeitung IDV.

Anforderungen an die Überwachungs- und Steuerungsprozesse für IT-Risiken und Regelungen zur IDV sind neu in die MaRisk aufgenommen.

Die Änderungen der neuen Fassung sind in Anlage 2 zum Rundschreiben ersichtlich.

Stand der internationalen Zertifizierungen nach ISO 22301

Die ISO (International Organization for Standardization), Herausgeber des ISO 22301, hat die jährliche Statistik zu den internationalen Zertifizierungen nach ISO-Standards veröffentlicht.

Uns interessiert hierbei natürlich ganz besonders der Blick auf den ISO 22301 Business Continuity Management. In der Summe gibt es 2016 3.853 Zertifizierungen im BCM (2015: 3.133, 2014: 1.757). Mit 41,8 Prozent entfällt der größte Anteil der Zertifikate auf die Region Zentral- und Süd-Asien, gefolgt von Europa mit einem Anteil von rund einem Viertel. Herausstechendes Land ist Indien mit alleine 1607 ausgestellten ISO 22301-Zertifikaten in 2016. Da ist Deutschland mit 35 Zertifikaten weit abgeschlagen. In Europa sticht Spanien mit 120 und Polen (75) sowie die Türkei (68) heraus.

Mit 33.290 Zertifikaten ist der ISO 27001 weltweit zehn Mal häufiger zertifiziert worden, weit entfernt jedoch vom ISO 9001 mit über 1,1 Mio Zertifikaten weltweit. Bei der Wachstumsrate liegt der ISO 22301 mit 23% knapp vor dem ISO 27001 mit 21 %, deutlich über dem Durchschnitt der ISO-Zertifizierungen mit einem Wachstum von 8%, aber weit abgeschlagen hinter dem ISO 20000 mit 63% Zuwachs.

Bei den Industriesektoren dominiert ganz klar die Informationstechnologie-Branche. In der Kombination vom weltweit führenden Land Indien mit der Branche IT ergibt sich ein eindeutiger Schwerpunkt der BCM-Zertifizierung.

Deutschland verzeichnet mit 35 Zertifizierungen gegenüber 27 Zertifizierungen 2015 (2014: 7) auch ein Wachstum, aber auf noch (?) sehr geringem Niveau.

Dies ist der statistische Blick zurück und in die große weite Welt. Spannend ist, was die Zukunft uns bei den 22301-Zertifizierungen bringen wird. Werden die indischen IT-Anbieter deutsche Anbieter in Zugzwang bringen? Werden die verstärkten  Regularien mit dem IT-Sicherheitsgesetz einen Push bringen? Wahrscheinlich wird Angebot und Nachfrage die weitere Entwicklung steuern. Werden die Kunden die Zertifizierung von ihren Lieferanten einfordern und Lieferanten mit  entsprechender Zertifizierung bevorzugen? Der ISO 9001-Standard hat diesen Weg in der Industrie genommen. Beim ISO 22301 ist diese Entwicklung zumindest in Europa noch nicht spürbar.

Quelle: ISO Survey

Bildquelle: fotolia: Zerbor, #107859355

Notfallvorsorge: Nur Üben macht den Meister

Die Urlaubssaison bricht gerade an und viele von uns steigen mit großem Vertrauen in ein Flugzeug, das uns in weit entfernte exotische Urlaubsziele bringt. Ein großer Teil des Vertrauens, den wir der überaus komplexen Technik entgegenbringen, ist im Wissen darüber begründet, dass

  • alle wichtigen Komponenten mehrfach redundant ausgelegt sind,
  • die komplizierte Technik laufend gewartet und repariert wird,
  • den Piloten für auftretende Störungen bewährte und getestete Verfahren in Form von Checklisten zur Verfügung stehen,
  • die Piloten regelmäßig diese Notfallverfahren üben und „im Schlaf beherrschen“.

Dieses gleiche Vertrauen möchten wir natürlich auch gerne der Notfallplanung in unserer Organisation entgegenbringen können.

Mein aktueller Beitrag auf der Plattform 3GRC beschäftigt sich mit dem Thema Tests und Übungen zur Validierung der Notfallplanung. Damit wir in unsere Notfallvorsorge im Ernstfall vertrauen können.

ASIS veröffentlicht neuen Standard für Resilience

ASIS International, die weltgrößte industrieübergreifende Mitglieerorganisation für Risikomanagement, hat im Juni 2017 den neuen Standard für Resilience veröffentlicht. ANSI/ASIS ORM.1-2017 “SECURITY AND RESILIENCE IN ORGANIZATIONS AND THEIR
SUPPLY CHAINS – REQUIREMENTS WITH GUIDANCE” ist damit ein neuer amerikanischer Standard. Der Standard ORM.1 löst die beiden bisherigen Standards

  • Organizational Resilience: Security, Preparedness and Continuity Management Systems—Requirements with Guidance for Use (SPC.1);
  • Business Continuity Management Standard (BCM.1)

ab.

ORM.1 definiert ein übergreifendes Managementsystem für die Implementierung von Resilience in Organisation jeder Größe und Branche. Das Vorgehen folgt dem Plan-Do-Check-Act-Regelkreis.

Eine Kurzzusammenfassung des Standards von ASIS  ist hier verfügbar. Der Standard kann bei ASIS online bezogen werden. Für Mitglieder von ASIS ist der Download kostenfrei.

Dieser neue Standard für Resilience ergänzt die bereits veröffentlichten Resilience- Standards von ISO und BSI. Diese Standards habe ich in meinem Beitrag auf 3GRC vorgestellt.

Körperliche Dokumente im Notfallkonzept

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Organisatorische Resilienz – Hype-Thema oder Konzept mit Zukunft?

Was ist das für ein scheinbar so bedeutendes Thema, dass sich gleich zwei Standards dem Thema widmen? Gibt man in Amazon den Suchbegriff „Resilienz“ für deutsche Bücher ein, erhält man bereits über 1.000 Vorschläge zur Befüllung des elektronischen Einkaufwagens. Wer sich fremdsprachig an das Thema „Resilience“ heranwagt, hat bereits über 4.000 Bücher als Kauf-Option. Der überwiegende Teil davon sind persönliche Ratgeber zur Stärkung der Widerstandskräfte gegen Stress, Krisen, Burn Out und Depressionen. Es scheint sich auf den ersten Blick um eine wahre Wunderwaffe gegen alle Bedrohungen des Lebens zu handeln.

Diese Frage beantworte ich in meiner aktuellen Veröffentlichung auf 3GRC.

Bildquelle: fotolia #125714179 | Urheber: bounlow-pic

Die Business Continuity Awareness Week startet heute

Unter dem Motto “Cyber security is everyone´s responsibility” startet heute die Business Continuity Awareness Week 2017 mit einem umfangreichen Programm. Die weltweite Ransomware-Attacke WannaCry am vergangenen Freitag hat wiederum die Notwendigkeit koordinierter Vorsorge- und Awarenessmaßnahmen aufgezeigt. Von der Ransomware-Attacke waren zahlreiche Krankenhäuser in Großbritannnien, namhafte Automobil- und Telekommunikationsunternehmen sowie Ministerien, Banken und Eisenbahn in Russland betroffen. In Deutschland traf es die Deutsche Bahn mit dem elektronischen Anzeigesystem, Fahrkartenautomaten und Videoüberwachungsanlagen sowie die Logistiktochter Schenker. Laut Europol traf die Ransomware-Attacke weltweit über 200.000 Organisationen in 150 Ländern. Für den Wochenbeginn erwarten IT-Experten ansteigende Fallzahlen, wenn Computer wieder in Betrieb genommen werden und die Attacke sich möglicherweise nach Asien ausbreitet.

Aufmerksame E-Mail-Nutzer und gepatchte IT-Betriebssysteme hätten ausgereicht, Betriebsunterbrechungen und große finanzielle Schäden zu verhindern. Die Vorsorgemaßnahmen hätten nur ein paar unterlassene Handgriffe beim User und dafür ein paar zusätzliche Handgriffe in der IT erfordert – keine aufwändigen Investitionen in die Sicherheit.

Da kommt die BCAW 2017 gerade recht! Das Angebot reicht von Postern, Studien und Fachbeiträgen bis zu zahlreichen interessanten Webinaren zum aktuellen Thema. Schauen Sie doch einfach einmal vorbei bei der BCAW 2017. Ein Besuch lohnt sich!

Bildquelle: Business Continuity Institute

Stellenanzeigen in den BCM-News

Fachkräfte für die Themen Business Continuity Management, Informations- und Unternehmenssicherheit sind derzeit schwer zu bekommen. Mit den Stellenanzeigen in den BCM-News haben Sie die Möglichkeit, mögliche Interessenten zielgerichtet anzusprechen. Dies gilt für Festanstellungen in Voll- und Teilzeit sowie temporäre Unterstützung. Die Nutzung ist ganz einfach: auf Anfrage erhalten Sie Administrationszugang zum Stellenportal und können dort selbst die Stellenanzeigen aufgeben und administrieren. In der Einführungsphase ist dieses Angebot für Se sogar kostenfrei.