Bundesamt für Sicherheit in der Informationstechnik

M 6.120 Überprüfung und Steuerung des Notfallmanagement-Systems

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, Notfallbeauftragter

Die Institutionsleitung ist für die Prüfung, Steuerung und Verbesserung des Notfallmanagement-Systems verantwortlich. Eine wichtige Grundlage für die zu treffenden Entscheidungen sind übersichtlich und aussagekräftig aufbereitete Informationen zum aktuellen Status des Notfallmanagements in der Institution.

Um das Notfallmanagement-System zu steuern und aufrecht zu erhalten, muss regelmäßig seine Wirksamkeit und Effizienz überprüft werden und diese Ergebnisse auf Leitungsebene bewertet werden. Ziel hierbei ist es, das weitere Vorgehen im Notfallmanagement-Prozess abzustimmen. Daher sind alle erforderlichen Änderungen und Anpassungen am Notfallmanagement-Prozess, wie beispielsweise in den Zielen oder Anforderungen an das Notfallmanagements, aufzuzeigen. Die Ergebnisse müssen dokumentiert und die bisherigen Aufzeichnungen gepflegt werden.

Regelmäßige Management-Berichte

Damit die Unternehmens- bzw. Behördenleitung die richtigen Entscheidungen bei der Steuerung und Lenkung des Notfallmanagement-Prozesses treffen kann, benötigt sie Eckpunkte über den Stand des Notfallmanagements. Diese Eckpunkte sollten in Management-Berichten aufbereitet werden, die unter anderem folgende Punkte abdecken:

  • Ergebnisse von internen Revisionen sowie den Überprüfungen bei Outsourcing-Dienstleister und Zulieferer, mit Mängellisten und Verbesserungsvorschlägen,
  • Ergebnisse der Tests und Übungen,
  • Rückmeldungen von den verschiedenen Interessengruppen inklusive Kooperationspartner, Outsourcing-Dienstleister, Lieferanten und Aufsichtsbehörden,
  • Berichte über aktuelle Risikolage, Schwachstellen und Schadensereignisse, sowie daraus abgeleitete Erkenntnisse und Empfehlungen,
  • Berichte über beliebige Änderungen, die Auswirkungen auf das Notfallmanagement haben können (z. B. an der Infrastruktur, in Geschäftsprozessen, bei Dienstleistern),
  • Statusberichte zu den etablierten Notfallmaßnahmen, Realisierungs- und Verbesserungsvorhaben,
  • Berichte über Schulungs- und Sensibilisierungsmaßnahmen und deren Erfolge,
  • Berichte über Änderungen in den gesetzlichen oder vertraglichen Anforderungen an das Notfallmanagement,
  • Berichte über bisherige Erfolge und Probleme beim Notfallmanagement-Prozess.

Die Leitungsebene muss vom Notfallmanagement-Team regelmäßig in angemessener Form über die Ergebnisse der Überprüfungen und den Status des Notfallmanagement-Prozesses informiert werden. Dabei sollten Probleme, Erfolge und Verbesserungsmöglichkeiten aufgezeigt werden.

Ein Management-Bericht sollte kurz und übersichtlich sein. Die folgenden Punkte können dabei, je nach aktueller Situation, relevant sein. Allerdings sollte dieser weder überfrachtet noch für die Lageeinschätzung wichtige Informationen verschwiegen werden. Es ist also zu überlegen, aufzeigen

  • inwieweit die Vorgaben des Notfallkonzepts in der Institution bereits umgesetzt sind,
  • an welchen Stellen noch Lücken und damit Restrisiken bestehen,
  • welche Schadensereignisse aufgetreten sind, welche Schäden entstanden sind und welche Schäden verhindert werden konnten,
  • welche Ergebnisse interne Überprüfungen erbracht haben,
  • inwieweit das erreichte Absicherungsniveau den Anforderungen und der Risikolage der Institution genügt,
  • ob sich Rahmenbedingungen geändert haben, so dass weitere Maßnahmen erforderlich sind,
  • ob sich die Notfallmaßnahmen als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen,
  • welche Rückmeldungen es von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Aspekten des Notfallmanagements gab,
  • welche Ressourcen für das Notfallmanagement aufgewendet wurden,
  • ob und wie die bisherigen Management-Entscheidungen umgesetzt wurden.

Daneben sollte sowohl ein Ausblick auf die zu erwartende Weiterentwicklung des organisationsweiten Notfallmanagements gegeben werden, als auch auf technische Entwicklungen und Verfahrensweisen, die eventuell zur Verbesserung des Notfallmanagement-Prozesses beitragen könnten.

Immer wieder erregen Schadensmeldungen über Geschäftsunterbrechungen die Aufmerksamkeit der Massenmedien. Es hat sich als sinnvoll erwiesen, solche Vorfälle aus anderen Institutionen in den Management-Berichten aufzugreifen und aufzuzeigen, inwieweit die eigene Institution auf ähnliche Vorfälle vorbereitet ist.

Anlassbezogene Management-Berichte

Neben den regelmäßigen Management-Berichten kann es notwendig sein, bei überraschend auftretenden Problemen oder aufgrund von Risiken, die aus neuen Entwicklungen resultieren, anlassbezogene Management-Berichte zu erstellen. Dies ist vor allem dann der Fall, wenn diese Probleme nicht auf Arbeitsebene gelöst werden können, weil z. B. materielle Ressourcen außerhalb des bewilligten Rahmens benötigt werden oder weitergehende personelle Regelungen getroffen werden müssen. Auch wenn sich die Risikolage ändert (z. B. durch neue Bedrohungen, neue Technologien, neue Gesetze) kann ein anlassbezogener Management-Bericht sinnvoll sein.

Bei der Abfassung der Management-Berichte sollte berücksichtigt werden, dass sich der Leserkreis in der Regel nicht aus technischen Experten zusammensetzt. Entsprechend sollte sich der Text durch größtmögliche Verständlichkeit und Knappheit auszeichnen, indem gezielt die wesentlichen Punkte, wie beispielsweise bestehende Schwachstellen, aber auch erreichte Erfolge, herausgearbeitet werden.

Am Schluss jedes Management-Berichts, vor allem bei anlassbezogenen Berichten, sollten immer klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge stehen. Damit wird sichergestellt, dass eine notwendige Entscheidung der Leitungsebene ohne unnötige Verzögerungen herbeigeführt werden kann.

Der Management-Bericht zum Notfallmanagement sollte der Leitungsebene durch ein Mitglied des Notfallmanagement-Teams persönlich präsentiert werden. So können wesentliche Schwerpunkte wie beispielsweise bestehende oder drohende Mängel betont werden. Das Mitglied des Notfallmanagement-Teams steht auch direkt für Rückfragen und weitergehende Erläuterungen zur Verfügung, was erfahrungsgemäß zu einer Beschleunigung des Entscheidungsvorgangs führt.

Darüber hinaus ist der persönliche Kontakt auch wichtig, um Leitungsentscheidungen besser vorbereiten und Probleme schon im Voraus entschärfen zu können. Hilfreich wäre es auch, wenn ein Mitglied der Leitungsebene mit entsprechendem fachlichem Hintergrund und Interesse als Ansprechpartner zur Verfügung steht. Der persönliche Kontakt bietet die Möglichkeit, einen "kleinen Dienstweg" zu etablieren, dessen Existenz sich in dringenden Notfällen als vorteilhaft erweisen kann.

Management-Entscheidungen

Das Management entscheidet auf Grundlage der Management-Berichte über notwendige Änderungen, Anpassungen und das weitere Vorgehen im Notfallmanagement-Prozess. Dabei wird die Institutionsleitung bei Bedarf vom Notfallbeauftragten unterstützt. Alle Entscheidungen müssen dokumentiert werden. Dazu gehören insbesondere folgenden Punkte:

  • Anpassung des Geltungsbereichs
  • Änderung des Risikoakzeptanzniveaus (Risikoappetit)
  • Änderungen in der Priorisierung von Geschäftsprozessen
  • Änderungen in der Notfallstrategie
  • Aktionen zur Verbesserungen der Effektivität des Notfallkonzepts sowie die dafür benötigten Ressourcen
  • Veränderungen, die Einfluss auf das Notfallkonzept haben könnten, z. B. bei
    • Geschäftszielen
    • Anforderungen
    • Geschäftsprozessen

Zur kontinuierlichen Verfolgung des Notfallmanagement-Prozesses sollten sämtliche Management-Berichte und Management-Entscheidungen zum Notfallmanagement in geordneter Weise archiviert werden. Diese Dokumentation sollte den Verantwortlichen bei Bedarf kurzfristig zugänglich sein.

Da die Management-Berichte zum Notfallmanagement im Allgemeinen sensitive Informationen über bestehende Schwachstellen und Restrisiken enthalten, ist deren Vertraulichkeit zu schützen. Es müssen angemessene Schutzvorkehrungen getroffen werden, damit keine unbefugten Personen Kenntnis über den Inhalt der Management-Berichte erlangen.

Prüffragen:

  • Nimmt die Leitungsebene ihre Aufgabe, das Notfallmanagement-System regelmäßig zu überprüfen, zu bewerten und gegebenenfalls zu korrigieren wahr?

  • Wird die Leitungsebene regelmäßig über den Stand des Notfallmanagements durch Managementberichte informiert?

Stand: 13. EL Stand 2013