Business Continuity Management – BSI veröffentlicht zweiten Community Draft (CD 2.0) zum BSI-Standard 200-4
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die überarbeitete Version des BSI-Standards 200-4 BCM zur Kommentierung veröffentlicht. Die Entwicklungen im Cyber-Raum der letzten Jahre und globale Krisen haben gezeigt, wie wichtig eine gute Vorbereitung auf diese und Notfälle aller Art ist. Der aktualisierte BSI-Standard 200-4 BCM zeigt auf, wie sich Institutionen auf solche Fälle vorbereiten können.
Das BSI hatte bereits den ersten Community Draft des BSI-Standards 200-4 zur Kommentierung zur Verfügung gestellt. Durch das Feedback konnte der Standard weiter verbessert werden. Die grundlegende Methodik und Dokumentenstruktur des ersten Community Drafts des BSI-Standards 200-4 wurde beibehalten. Jedoch haben sich die Struktur des Standards und inhaltliche Details in der aktuellen Version geändert. Daher wird der Standard erneut als Community Draft CD 2.0 zum Download bereitgestellt.
Business Continuity Management -Der Community Draft kann bis zum 30. November 2022 kommentiert werden. Derzeit ist geplant, die finale Version des BSI-Standards 200-4- nach Einarbeitung der Kommentare im ersten Quartal des nächsten Jahres zu veröffentlichen.
Zusätzlich stellt das BSI auf seinen Webseiten zahlreiche Hilfsmittel zum Thema BCM bereit. Als weiteres Hilfsmittel wird im Oktober der zum Standard dazugehörige Anforderungskatalog bereitgestellt, der die Anforderungen des Standards listenartig wiedergibt, damit sich Personen mit BCM-Erfahrung ohne Erklärungen direkt auf diese fokussieren können.
Das BSI wird über Updates zum BSI-Standard 200-4 sowie die Veröffentlichung des Anforderungskatalogs und weiterer Hilfsmittel während der Kommentierungsphase informieren
Modernisierter BSI-Standard 200-4 Business Continuity Management
Im IT-Grundschutz ist das Thema Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Die fortlaufenden Entwicklungen und Erfahrungen in den Bereichen BCM, Notfallmanagement und (IT-)Krisenmanagement sowie mit den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. Die Ziele der Modernisierung bestehen vornehmlich darin:
Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Er ermöglicht so insbesondere unerfahrenen BCM-Anwenderinnen und -Anwendern einen leichten Einstieg in die Thematik. Für erfahrene BCM-Anwenderinnen und -Anwender wird ein normativer Anforderungskatalog zur Verfügung gestellt. Derzeit ist noch keine Zertifizierung zu dem Standard geplant.
Der BSI-Standard 200-4 steht unter folgendem Link als Community Draft 2.0 (CD 2.0) zum Download zur Verfügung:
BSI-Standard 200-4 – Business Continuity Management CD 2.0
Auf Basis des Feedbacks zum Community Draft 1.0 des BSI-Standards 200-4 wurden umfangreiche Änderungen vorgenommen und der Community Draft 2.0 des BSI-Standards 200-4 erstellt. Dieser kann bis zum 30.11.2022kommentiert werden. So möchte das BSI allen Anwendern die erneute Möglichkeit geben, die Änderungen, die sich aus dem bisherigen Feedback ergeben, zu kommentieren, bevor der BSI-Standard 200-4 final veröffentlicht wird.
Übersicht über wesentliche Weiterentwicklungen zum ersten Community Draft
Neue Kapitelstruktur:
Der BSI-Standard 200-4 CD 2.0 ist umstrukturiert und so im Umfang deutlich reduziert. Er beschreibt den Aufbau eines BCMS pro Prozessschritt, statt anhand der Stufen Reaktiv-, Aufbau- und Standard-BCMS. Bei den Kapitelüberschriften wird nun differenziert, für welche Stufe die jeweiligen Kapitel benötigt werden, so dass die Stufe auch weiterhin gut erkennbar ist. Hierdurch ist der BSI-Standard 200-4 noch übersichtlicher und es konnten viele Redundanzen entfernt werden.
Methodik im Wesentlichen unverändert:
Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden BSI-Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit bereits begonnene Dokumentation leicht fortgeführt werden kann.
Outsourcing:
Die Inhalte des Kapitels 7 „BCM im Rahmen des Outsourcings und von Lieferketten“ aus dem ersten CD sind größtenteils in das Hilfsmittel BC-Strategien (wird derzeit überarbeitet) verschoben. Sie stehen dort gleichwertig neben anderen BC-Strategien im Fall von zeitkritischen Dienstleistungen. Im BSI-Standard 200-4 selbst ist das Thema in den BCM-Prozessen an geeigneten Stellen integriert (BC-Strategien, Soll-Ist-Vergleich, Überprüfungen, etc.), sodass das ursprüngliche Kapitel 7 „BCM im Rahmen des Outsourcings und von Lieferketten“ entfallen konnte.
Weitere Änderungen:
Neben dem grundsätzlichen, positiven Feedback gab es auch eine Vielzahl, an konstruktiven Kommentaren, die wiederum zu einer Vielzahl von Veränderungen im Detail geführt haben. Diese Änderungen werden hier nicht im Detail aufgezeigt.
Bis zur Veröffentlichung des finalen neuen BSI-Standard 200-4 bleibt der BSI-Standard 100-4 gültig. Anwender und Anwenderinnen können ihr BCMS bereits an den aktuellen CD des BSI-Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden.