Bundesamt für Sicherheit in der Informationstechnik

M 6.110 Festlegung des Geltungsbereichs und der Notfallmanagementstrategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Die ersten Aufgaben bei der Initiierung eines Notfallmanagement-Systems sind die Festlegung des Geltungsbereichs und der Notfallmanagementstrategie. Diese für alle weiteren Arbeiten im Notfallmanagement grundlegenden Schritte sind durch die Institutionsleitung zu initiieren und durchzuführen. Ist bereits ein zentraler Ansprechpartner für das Notfallmanagement, ein Notfallbeauftragter, benannt, so unterstützt er die Institutionsleitung bei dieser Aufgabe.

Der Geltungsbereich des Notfallmanagement-Systems kann die gesamte Institution umfassen oder auch einzelne Teilbereiche. Der Geltungsbereich sollte in sich abgeschlossen, nicht zu eng gefasst sein und die Wert schöpfenden Geschäftsprozesse bzw. relevanten Fachaufgaben, die wichtigsten Ressourcen sowie die benötigten unterstützenden Geschäftsprozesse vollständig enthalten. Es ist hilfreich für die Notfallkonzeption, wenn die Institutionsleitung die aus ihrer Sicht wichtigsten Dienstleistungen und / oder Produkte der Institution benennt. Werden innerhalb dieses Geltungsbereichs beispielsweise bestimmte Geschäftsprozesse explizit ausgeschlossen oder nur eingeschränkt betrachtet, so ist dies zu dokumentieren.

Da das oberste Ziel des Notfallmanagements ist, die Überlebensfähigkeit der Institution zu sichern und zu stabilisieren, ist eine Betrachtung der gesamten Institution anzustreben. Nur so kann ein wirksamer Schutz des Ansehens und der wertschöpfenden Tätigkeiten der Institution und damit der Interessen der wichtigsten Interessengruppen gewährleistet werden.

Grundlage für die nächsten Schritte bei der Etablierung eines Notfallmanagement-Systems ist die Festlegung und Definition der Begriffe Notfall, Krise und Notfallmanagement für die Institution. Der Ausfall einzelner Geschäftsprozesses oder eines kompletten Systems kann eine Störung, ein Notfall oder gar eine Krise für die Institution sein. Da die Abgrenzungen individuell für jede Institution sind und vom Schutzbedarf der Geschäftsprozesse und IT-Systeme abhängen, sollte eine allgemeine Festlegung dieser Begriffe für die Institution erfolgen. Auch der Begriff Notfallmanagement sollte präzisiert werden. Es sollte definiert werden, welche Aufgaben und Kompetenzen das Notfallmanagement-System umfasst, um eine Abgrenzung zu anderen etablierten Managementsystemen der Institution sowie die Schnittstellen zu diesen festzulegen.

Um den Rahmen für die Notfallkonzeption setzen zu können, ist eine Notfallmanagementstrategie, oder kurz Notfallstrategie, festzulegen, die bei der Etablierung eines Notfallmanagement-Systems beachtet werden muss. Die Institutionsleitung hat daher grundlegende Eckpunkte festzulegen, wie beispielsweise,

  • welche Ziele mit der Etablierung eines Notfallmanagements verfolgt werden (z. B. Anforderungen durch wichtige Interessengruppen),
  • welche Anforderungen an das Notfallmanagement gestellt werden,
  • welche Bereitschaft besteht, Risiken einzugehen (Risikoappetit), bzw. wie hoch das Risikoakzeptanzniveau für das Unternehmen bzw. die Behörde liegt,
  • welche Arten von Geschäftsunterbrechungen als Existenz bedrohend angesehen werden,
  • in welcher Art und ab welcher Größenordnung etwas dagegen unternommen werden soll und
  • welche gesetzlichen, vertraglichen oder regulatorischen Vorgaben einzuhalten sind.

Die Ziele des Notfallmanagements sollten sich an den generellen Geschäftszielen und -Aufgaben orientieren und diese unterstützen. Es ist sinnvoll, auch die Ziele anderer Managementsysteme, insbesondere des Sicherheitsmanagementsystems, bei der Festlegung zu berücksichtigen.

Prüffragen:

  • Ist der Geltungsbereich des Notfallmanagement-Systems eindeutig festgelegt?

  • Ist durch die Institutionsleitung eine Notfallmanagement-Strategie festgelegt, die die angestrebten Ziele und das Risikoakzeptanzniveau darlegt?

Stand: 13. EL Stand 2013