Bundesamt für Sicherheit in der Informationstechnik

M 6.116 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Vor allem in größeren Institutionen existiert häufig bereits ein übergreifendes Risiko-, Sicherheits- und Krisenmanagement. Operationelle Risiken inklusive der IT-Risiken sind integraler Bestandteil des Risikomanagements bzw. des Sicherheitsmanagements. Restrisiken, die trotz Vorsorge vorhanden sind, werden durch das Krisenmanagement abgedeckt.

Im Notfallmanagement werden alle Risiken betrachtet, die zu einer Unterbrechung oder einem Ausfall von kritischen Geschäftsprozessen führen. Damit existieren im Notfallmanagement viele Überschneidungen sowohl mit dem Risikomanagement, mit dem Sicherheitsmanagement, aber auch dem Krisenmanagement. Daher sollten die Methoden zum Management von Risiken aus dem Bereich des Notfallmanagements mit den bereits etablierten Methoden abgestimmt werden. Wichtig ist, dass Arbeitsanweisungen oder Dienstvereinbarungen aus unterschiedlichen Bereichen einer Institution sich nicht widersprechen dürfen.

Einbeziehung von Aspekten des Notfallmanagements in alle Geschäftsprozesse

Das Leitungsebene muss einen Überblick über die geschäftskritischen Fachaufgaben bzw. Geschäftsprozesse und Informationen haben. Die zuständigen Fachverantwortlichen und das Notfallmanagement-Team müssen konkrete Regeln zur Einbindung von Kontinuitätsaspekten bei der Planung und Umsetzung von Geschäftsprozessen aufstellen (z. B. Schutzmaßnahmen und Klassifizierung).

Änderungsmanagement

Das Änderungsmanagement beschäftigt sich mit der Planung von Änderungen an Prozessen, Infrastruktur oder Hard- und Software. Es muss durch organisatorische Vorgaben sichergestellt werden, dass dabei Aspekte und Belange des Notfallmanagements berücksichtigt werden.

Prüffragen:

  • Ist sichergestellt, dass Aspekte des Notfallmanagements in allen Geschäftsprozessen der Institution berücksichtigt werden?

  • Sind die Prozesse, Vorgaben und Verantwortlichkeiten im Notfallmanagement mit dem Risikomanagement, Sicherheitsmanagement und Krisenmanagement abgestimmt (soweit solche Managementsysteme in der Institution vorhanden sind)?

Stand: 13. EL Stand 2013