ORGANIZATIONAL RESILIENCE MANAGEMENT SYSTEM – Teil 51

04 Mai

  • in ORMS
  • von
  • 0

Business Continuity Management, Informationssicherheit und Service-Management

 

Vergangene Woche habe ich einen Business Continuity Management Grundlagenkurs gehalten. Vor dem Kurs habe die Erwartung der Teilnehmer:Innen abgefragt. Die wichtigsten Fragen waren, wie Informationssicherheit und Service-Management mit BCM verknüpft werden solle.

Wir haben in dieser Blogreihe schon an verschiedenen Stellen angesprochen, wie wichtig die Verknüpfung unterschiedlicher Disziplinen im Unternehmen für die Überlebens- und Zukunftsfähigkeit ist. Aber ich kann nicht oft genug betonen, wie elementar diese Integration ist.

Wenn wir uns die Details anschauen, stellen wir fest, dass ISO/IEC 27001 im Anhang A unter den Controls A.17.1.1 bis A.17.1.3 die Integration von Information Security Continuity in das Business Continuity Management fordert.

Diese Anforderung führt nach meiner Beobachtung immer wieder zu spannenden Situationen. Viele Unternehmen, die ein ISMS einführen und betreiben, haben häufig noch kein formelles BCMS etabliert. Die Verknüpfung findet also dort meist improvisiert und manchmal halbherzig statt. Ein paar definierte Notfallpläne sollen quasi das BCM darstellen. BCM lebt allerdings von der wiederholten Analyse der Abhängigkeiten, vom Verstehen der Prioritäten, um Geschäftsaktivitäten zu schützen, wiederanlaufen zu lassen oder wiederherstellen zu können.

Genau da klinkt sich Information Security Continuity ein. Was bedeutet Informationssicherheit im Notfall, im Continuity-Betrieb? Welche Einschränkungen z.B. von Vertraulichkeit oder Integrität kann und muss das Unternehmen akzeptieren, wenn Verfügbarkeit überwiegt? Oder gibt es so starke Vertraulichkeits- und Integritätsanforderungen, dass auch im Notbetrieb keinesfalls Abstriche gemacht werden dürfen, was zu Lasten der Verfügbarkeit gehen kann? Das muss meiner Meinung nach in den Business Impact Analysen mit betrachtet und ausgewertet werden. Also kann es unterschiedliche Schutzniveaus für Informationen für den Normalbetrieb, wie für den Notbetrieb, geben.

Ähnlich stark sollte die Verknüpfung von Service-Management mit dem BCMS sein. Welche Services unterliegen welchen Verfügbarkeitsanforderungen, haben welche Kritikalität und Priorität?

Der Servicekatalog des Unternehmens ist also ein wesentlicher Input zur Business Impact Analyse. Eine Verknüpfung von Service-Management und BCM ist also nicht nur sinnvoll, sondern geradezu geboten.

Ein Organizational Resilience Management System sollte alle diese Aspekte verknüpfen, methodisch vereinen, um die bestmöglichen Entscheidungen für die Überlebens- und Zukunftsfähigkeit des Unternehmens treffen zu können.

Für Ihr #surviveANDprosper!

Mich interessiert Ihre Meinung dazu: diskutieren Sie gerne mit!

 

Schreiben Sie mir gern Ihre Fragen, Anregungen und  Gedanken dazu.

 

[email protected]

Unternehmerische Resilienz – Das Buch

 

Ihr Uwe Rühl

 

 

 

Urheber: Michail_Petrov-96 von Getty Image Pro auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.