(IT) Notfallmanagement im Unternehmen und in der ehörde ...IT... · S e i t e | 3 (IT) Notfallmanagement im Unternehmen und in der ehörde Planung, Umsetzung und Dokumentation gemäß

S e i t e | 3

(IT) Notfallmanagement

im Unternehmen und in der Behörde

Planung, Umsetzung und Dokumentation

gemäß BSI-Standard 100-4, ISO 22301 und

BCI-GPG 2013

Praxisleitfaden für eine softwaregestützte Implementierung

eines unternehmensweiten Notfallmanagementsystems

mit DocSetMinder®

Krzysztof M. Paschke

4 | S e i t e

Weitere Informationen zum Thema Prozesse, Governance Risk und Compliance, Compliance

Management Software DocSetMinder® finden Sie auf folgenden Internetseiten:

www.docsetminder.de

www.grc-partner.de

Alle Informationen und Anwendungen in dieser Publikation wurden nach bestem Wissen zu-

sammengestellt und mit größter Sorgfalt kontrolliert. Trotzdem können Fehler nicht vollständig

ausgeschlossen werden. Autor und Verlag können für fehlerhafte Angaben und deren Folgen

weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Verwendete Be-

zeichnungen, Markennamen und Produktbezeichnungen unterliegen im Allgemeinen warenzei-

chen-, marken- oder patentrechtlichem Schutz.

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;

detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.

ISBN 978-3-7322-7418-5

© 2013 Krzysztof M. Paschke

Herstellung und Verlag: Books on Demand GmbH, Norderstedt

Lektorat: Wirtschaftsinformatikerin (BA) Sigrid Paschke

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Jegliche

Vervielfältigung oder Verbreitung, ganz oder teilweise, ist verboten. Kein Teil der Dokumentati-

on darf ohne schriftliche Genehmigung des Autors in irgendeiner Form durch Fotokopie, Mikro-

film oder andere Verfahren reproduziert oder in eine für Maschinen, insbesondere Datenverar-

beitungsanlagen, verwendbare Sprache übertragen werden.

S e i t e | 5

Vorwort

Grundvoraussetzung für die Konzeption und Umsetzung einer unternehmens-

weiten Notfallvorsorge und -bewältigung ist die genaue Kenntnis der involvier-

ten Mitarbeiter und Führungskräfte über die Unternehmensorganisation und

Ressourcen. Ein bestimmter Teil der Prozesse und Ressourcen, die in organisa-

torischen Einheiten zusammen gefasst sind, sind von existenzieller Bedeutung

für das Unternehmen und die Behörde. Im Rahmen deren kritischer Betrach-

tung, auch als Business Impact Analyse (BIA) bezeichnet, werden die wert-

schöpfenden Prozesse und beteiligten Ressourcen ermittelt und in der Notfall-

vorsorge besonders behandelt. Bei der Betrachtung der Ressourcen steht die

IT-Infrastruktur im Vordergrund. Generell kann behauptet werden, dass heut-

zutage nahezu alle Geschäftsprozesse eines Unternehmens oder einer Behörde

durch die IT-Infrastruktur (Hardware, Software) abgebildet und gesteuert wer-

den. Von ihrer Verfügbarkeit und Zuverlässigkeit hängt die Leistungserstellung

des Unternehmens und der Behörde ab. Ein weiterer Aspekt des betrieblichen

Kontinuitätsmanagements ist die Identifizierung von Risiken, die zur Beein-

trächtigung oder zum Ausfall der wertschöpfenden Prozesse und Ressourcen

führen können. Im Rahmen der Risikoanalyse werden mögliche Ursachen,

Auswirkungen, Eintrittswahrscheinlichkeiten und Folgen bestimmt. Die Ergeb-

nisse der Business Impact- und Risikoanalyse sind ausschlaggebend für den

Umfang und Inhalt des Notfallvorsorgekonzeptes. Ergebnisse der Notfallvor-

sorge sind die umgesetzten Notfallvorsorgemaßnahmen und eine strukturierte

Notfallbewältigung. Klar definierte Alarmierung, Sofortmaßnahmen und Eska-

lationsschritte für unterschiedliche Notfallszenarien werden im Notfallhand-

buch dokumentiert und den Notfallteams und Mitarbeitern zur Verfügung

gestellt. Der vorliegende Praxisleitfaden beschreibt eine systematische Vorge-

hensweise für die Umsetzung und Etablierung einer effektiven und effizienten

Notfallorganisation im Rahmen eines Projektes. Die beschriebene Methodik

eignet sich sowohl für produzierende Unternehmen, für Behörden als auch für

Non-Profit Organisationen. Sie berücksichtigt die Aufbau- und Ablauforganisa-

tion, die vorhandene IT-Infrastruktur und die Ressourcen des Unternehmens

6 | S e i t e

und der Behörde. Die Dokumentation spielt im Verlauf des Projektes eine be-

sondere Rolle. Die Bedeutung ihrer Vollständigkeit und Aktualität wird häufig

unterschätzt. Sie dient dem Nachweis sowie als Kommunikationsmedium der

getroffenen organisatorischen und technischen Maßnahmen. Durch den Ein-

satz der Compliance Management Software DocSetMinder® kann die Umset-

zung und Etablierung, Verbesserung, Dokumentation und Prüfung des unter-

nehmensweiten Notfallmanagements sehr effizient und effektiv realisiert wer-

den.

S e i t e | 7

Inhaltsverzeichnis 1 Ziel und Aufbau des Buches ................................................................ 19

2 Notfallmanagement – Motivation ....................................................... 25

2.1 Betriebliches Kontinuitätsmanagement ............................................ 25

2.2 Grundprinzip ...................................................................................... 28

3 DocSetMinder - Software .................................................................... 30

3.1 Notfallmanagement- und Projektdokumentation ............................. 30

3.2 DocSetMinder® - Module und Nutzen .............................................. 31

3.2.1 DocSetMinder® - Modul „Unternehmensorganisation“ ............ 31

3.2.2 DocSetMinder® - Modul „IT-Dokumentation“ ........................... 32

3.2.3 DocSetMinder® - (IT-)Notfallmanagement ................................ 33

3.2.4 DocSetMinder® - Modul „IT-Grundschutz“ ................................ 34

3.2.5 DocSetMinder® - Modul „ISMS gemäß ISO/IEC 27001“ ............ 34

4 Gesetzliche Grundlagen ...................................................................... 35

5 Standards und Normen ....................................................................... 42

5.1 Bereich - Unternehmensorganisation ............................................... 44

5.2 Bereich - IT-Organisation ................................................................... 45

5.2.1 IT-Governance ........................................................................... 46

5.2.1.1 CobiT ...................................................................................... 47

5.2.1.2 ITIL ......................................................................................... 49

5.2.2 ISO/IEC 20000 ............................................................................ 50

5.2.3 ISO/IEC 27001 und ISO/IEC 27002 ............................................. 52

5.2.4 IDW Prüfungsstandards ............................................................. 53

5.2.4.1 IDW PS 330 ............................................................................ 54

5.2.4.2 IDW PS 951 ............................................................................ 56

5.2.5 ISAE 3402 ................................................................................... 57

5.2.6 IT-Dokumentation...................................................................... 58

5.3 Bereich - Notfallmanagement ........................................................... 59

5.3.1 BSI-Standards ............................................................................. 60

5.3.2 Umsetzungsrahmenwerk nach BSI-Standard 100-4 .................. 62

8 | S e i t e

5.3.3 BS 25999-1 /-2 ........................................................................... 62

5.3.4 Kerntechnischer Ausschuss (KTA) ............................................. 63

5.3.5 DIN EN ISO 14001 ...................................................................... 64

5.3.6 BS OHSAS 18001 ........................................................................ 65

5.3.7 ISO 22301 und ISO 22313 .......................................................... 65

5.3.8 Good Practice Guidelines (GPG) ................................................ 66

5.3.9 ISO 31000 .................................................................................. 68

6 Dokumentation ................................................................................... 69

6.1 Verweise auf Standards zum Thema „Dokumentation“ ................... 69

6.2 Dokumentationslösung im Notfallmanagement ............................... 70

6.3 Aufbau der Dokumentation .............................................................. 71

6.4 Aspekte der Dokumentation ............................................................. 73

6.5 Eigenschaften einer Dokumentations-Software ............................... 76

6.6 Dokumentationsrichtlinie .................................................................. 79

6.6.1 Redaktion................................................................................... 81

6.6.2 Dokumentenlenkung und Informationsmanagement .............. 83

6.6.3 Detaillierungsgrad und Tiefe der Dokumentation..................... 85

6.6.4 Aktualisierung und Fortführung der Dokumentation ............... 88

6.6.5 Systematik der Dokumentation ................................................. 90

6.6.6 Kennzeichnung der Dokumente ................................................ 92

6.6.7 Dateiformat ............................................................................... 93

6.6.8 Namenskonventionen ............................................................... 93

6.7 Darstellungsmethoden und Notationen ........................................... 97

6.7.1 DIN ............................................................................................. 98

6.7.2 EPK ........................................................................................... 100

6.7.3 BPMN ....................................................................................... 102

6.7.4 UML ......................................................................................... 103

6.8 Lebenszyklus der Dokumentation und verwendete Methoden ..... 106

6.8.1 S.M.A.R.T. ................................................................................ 106

6.8.2 Magisches Dreieck ................................................................... 108

6.8.3 Deming-Kreis ........................................................................... 109

S e i t e | 9

7 Projekt „Notfallmanagement“ ........................................................... 112

7.1 Verweise auf Standards zum Thema „Projektmanagement“ .......... 112

7.2 Projektmethodik und Softwareunterstützung ................................ 113

7.3 Wind Seeker AG ............................................................................... 113

7.4 Geltungsbereich............................................................................... 117

7.5 Meilensteine des Notfallmanagement-Projektes............................ 118

7.6 Meilenstein 1 „Projektmanagement“.............................................. 122

7.6.1 Ziel ........................................................................................... 122

7.6.2 Beschreibung und Definitionen ............................................... 123

7.6.2.1 Initialisierung ....................................................................... 124

7.6.2.2 Definition ............................................................................. 124

7.6.2.3 Planung ................................................................................ 124

7.6.2.4 Steuerung ............................................................................ 125

7.6.2.5 Abschluss ............................................................................. 125

7.6.3 Umsetzung mit DocSetMinder® .............................................. 125

7.6.3.1 Projektorganisation ............................................................. 129

7.6.3.2 Dokumentationsrichtlinie .................................................... 129

7.7 Unternehmensorganisation (Zusammenfassung) ........................... 133

7.7.1 Verweise auf Standards zum Thema

„Unternehmensorganisation“ ................................................................. 134

7.8 Meilenstein 2 „Unternehmensorganisation“ .................................. 136

7.8.1 Vorgang 1 „Aufbauorganisation“ ............................................ 136

7.8.1.1 Ziel ....................................................................................... 136

7.8.1.2 Beschreibung und Definitionen ........................................... 136

7.8.1.3 Inhalt der Dokumentation ................................................... 141

7.8.1.4 Umsetzung mit DocSetMinder® .......................................... 143

7.8.1.4.1 Schritt 1: Modellierung .................................................. 146

7.8.1.4.2 Schritt 2: Organigramme ............................................... 147

7.8.1.4.3 Schritt 3: Unternehmensstammdaten........................... 149

7.8.1.4.4 Schritt 4: Betriebsstätten und Repräsentanzen ............ 149

10 | S e i t e

7.8.1.4.5 Schritt 5: Abteilungen .................................................... 150

7.8.1.4.6 Schritt 6: Stellenbeschreibungen .................................. 151

7.8.1.4.7 Schritt 7: Mitarbeiter ..................................................... 152

7.8.1.4.8 Schritt 8: Beauftragte .................................................... 153

7.8.1.4.9 Schritt 9: Fremde Dritte................................................. 154

7.8.1.4.10 Schritt 9: Blaulichtorganisationen ............................... 155

7.8.1.4.11 Schritt 10: Prüfer ......................................................... 155

7.8.1.5 Dokumentationshinweis...................................................... 155


7.9.1 Vorgang 2 „Ablauforganisation“ ............................................. 160

7.9.1.1 Ziel ....................................................................................... 160



7.9.1.3.1 Methoden der Ist-Aufnahme ........................................ 169

7.9.1.3.2 Wertschöpfungskette .................................................... 169


7.9.1.4.1 Schritt 1: Dokumentation der Prozesslandkarte ........... 183

7.9.1.4.2 Schritt 2: Dokumentation der Prozesse Ebene 1........... 183

7.9.1.4.3 Schritt 3: Dokumentation der Prozesse Ebene n .......... 184



7.10.1 Vorgang 3 „Richtlinien“ ........................................................... 188

7.10.1.1 Ziel ....................................................................................... 188

7.10.1.2 Verweise auf Standards zum Thema „Richtlinien“ .............. 189




S e i t e | 11

7.10.2 Vorgang 4 „Verträge“ .............................................................. 197

7.10.2.1 Ziel ....................................................................................... 197




7.10.3 Vorgang 5 „Versicherungen“ ................................................... 203

7.10.3.1 Ziel ....................................................................................... 203

7.10.3.2 Verweise auf Standards zum Thema „Versicherungen“...... 204




7.11 Meilenstein 3 „IT-Verbund“............................................................. 208

7.11.1 Ziel ........................................................................................... 208

7.11.2 Verweise auf Standards ........................................................... 208

7.11.3 Motivation für die Erstellung der IT-Dokumentation .............. 209

7.11.4 Inventarisierungs-Tools für die IT-Infrastruktur ...................... 210

7.11.5 Inhalt der IT-Dokumentation ................................................... 212

7.11.5.1 IT-Infrastruktur .................................................................... 213

7.11.5.2 IT-Betrieb ............................................................................. 214

7.11.5.3 IT-Notfallmanagement ........................................................ 214

7.11.5.4 IT-Sicherheit ......................................................................... 214

7.11.5.5 IT-Konzepte .......................................................................... 215

7.11.5.6 IT-Projekte ........................................................................... 216

7.11.6 IT-Infrastruktur - Methoden der Dokumentation ................... 216

7.11.6.1 Dokumentation der IT-Infrastruktur gemäß BSI .................. 216

7.11.6.2 Dokumentation der IT-Infrastruktur, alternative Methode 217

7.11.7 Vorgang 1 - Gebäude und Räume............................................ 224

7.11.7.1 Ziel ....................................................................................... 224




12 | S e i t e


7.11.8 Vorgang 2 – IT-Infrastruktur .................................................... 231

7.11.8.1 Ziel ....................................................................................... 231


7.11.8.2.1 Passive Netzwerkkomponenten - Verkabelung .......... 231

7.11.8.2.2 Passive Netzwerkkomponenten - Rack-Schränke ....... 234

7.11.8.2.3 Passive Netzwerkkomponenten - USV ........................ 235

7.11.8.2.4 Aktive Netzwerkkomponenten .................................. 235

7.11.8.2.5 Server .......................................................................... 236

7.11.8.2.6 Massenspeicher und Datensicherungssysteme .......... 237

7.11.8.2.7 Drucker und Peripherie-Geräte ................................... 238

7.11.8.2.8 Arbeitsplätze ............................................................... 239

7.11.8.2.9 Betriebssysteme und Dienste...................................... 239

7.11.8.2.10 Betriebssystemnahe Software .................................. 239

7.11.8.2.11 Berechtigung ............................................................. 240




7.11.9 Vorgang 3 - Geschäftsanwendungen ...................................... 254

7.11.9.1 Ziel ....................................................................................... 254




7.12 Meilenstein 4 „(IT) Notfallmanagement“ ........................................ 260

7.12.1 Notfallmanagement-Prozess ................................................... 260

7.12.1.1 Ziel ....................................................................................... 260

7.12.1.2 Verweise auf Standards ....................................................... 260

S e i t e | 13




7.12.2 Vorgang 1 - Notfall-Aufbauorganisation.................................. 264

7.12.2.1 Ziel ....................................................................................... 264





7.12.3 Vorgang 2 - Business Impact Analyse (BIA) ............................. 282

7.12.3.1 Ziel ....................................................................................... 282





7.12.3.6 Dokumentationshinweis ...................................................... 305

7.12.4 Vorgang 3 - Risikoanalyse ........................................................ 305

7.12.4.1 Ziel ....................................................................................... 305



7.12.4.3.1 Risikoidentifikation ...................................................... 311

7.12.4.3.2 Risikoanalyse und -bewertung .................................... 319

7.12.4.3.3 Risikobehandlung ........................................................ 323



7.12.4.6 Dokumentationshinweis ...................................................... 329

7.12.5 Vorgang 4 - Kontinuitätsstrategie ............................................ 330

7.12.5.1 Ziel ....................................................................................... 330



14 | S e i t e

7.12.5.3.1 Kosten-Nutzen-Analyse ............................................... 333

7.12.5.3.2 Kosten des Systemausfalls .......................................... 335

7.12.5.3.3 Kosten der Maßnahmen .............................................. 337

7.12.5.3.4 Auswahl der passenden Kontinuitätsstrategie ........... 339




7.12.6 Vorgang 5 - Notfallvorsorgekonzept ....................................... 346

7.12.6.1 Ziel ....................................................................................... 346



7.12.6.3.1 Definition einer Störung und eines Notfalls ................ 349

7.12.6.3.2 Definition einer Krise und einer Katastrophe.............. 350




7.12.7 Vorgang 6 - Notfall-Ablauforganisation ................................... 354

7.12.7.1 Ziel ....................................................................................... 354





7.12.8 Vorgang 7 - Notfallhandbücher ............................................... 379

7.12.8.1 Ziel ....................................................................................... 379





7.12.9 Vorgang 8 - Information und Kommunikation ........................ 399

S e i t e | 15

7.12.9.1 Ziel ....................................................................................... 399





7.13 Meilenstein 5 „Notfall-Übungen und Monitoring“ ......................... 407

7.13.1 Vorgang 1 - Notfall-Übungen ................................................... 407

7.13.1.1 Ziel ....................................................................................... 407



7.13.1.3.1 Test- und Übungsplanung ........................................... 411

7.13.1.3.2 Durchführung .............................................................. 414

7.13.1.3.3 Bewertung und Berichte.............................................. 415

7.13.1.3.4 Korrekturmaßnahmen ................................................. 417

7.13.1.3.5 Follow-Up .................................................................... 417



7.13.2 Vorgang 2 - Monitoring ........................................................... 424

7.13.2.1 Ziel ....................................................................................... 424



7.13.2.3.1 Prüfungsplanung ......................................................... 428

7.13.2.3.2 Prüfungshandlung ....................................................... 428

7.13.2.3.3 Bewertung und Auditbericht ....................................... 430

7.13.2.3.4 Managementreview .................................................... 431



7.13.3 Vorgang 3 - Korrekturmaßnahmen.......................................... 435

16 | S e i t e

7.13.3.1 Ziel ....................................................................................... 435





7.14 Meilenstein 6 „Projektabschluss“ ................................................... 439

7.14.1 Vorgang 1 - Projektanalyse ...................................................... 439

7.14.1.1 Ziel ....................................................................................... 439



7.14.2 Vorgang 2 - Abschlussbericht .................................................. 443

7.14.2.1 Ziel ....................................................................................... 443


8 Produktbeschreibung DSM ................................................................ 445

8.1 Compliance Management Software ................................................ 445

8.2 Modularer Aufbau ........................................................................... 445

8.3 Strukturaufbau der Dokumentation ................................................ 446

8.4 Module - Zusammenfassung der Modulinhalte .............................. 447

8.4.1 Modul „Unternehmensorganisation“...................................... 447

8.4.2 Modul „Internes Kontrollsystem“ ........................................... 448

8.4.3 Modul „Verfahrensdokumentation“ ....................................... 448

8.4.4 Modul „CobiT“ ......................................................................... 449

8.4.5 Modul „Qualitätsmanagement“ .............................................. 449

8.4.6 Modul „Umweltmanagement“ ................................................ 450

8.4.7 Modul „IT-Dokumentation“ .................................................... 450

8.4.8 Modul „Notfallmanagement“ .................................................. 450

8.4.9 Modul „ISMS – ISO 27001” ...................................................... 450

8.4.10 Modul „IT-Grundschutz” ......................................................... 450

8.4.11 Modul „Datenschutz“ .............................................................. 451

8.5 Aufbau und Umgebung ................................................................... 451

8.5.1 Funktionsbeschreibung ........................................................... 452

S e i t e | 17

8.5.1.1 Revisionssicherheit .............................................................. 452

8.5.1.2 Versionskontrolle ................................................................. 452

8.5.1.3 Periodenabgrenzung/ Jahresabschluss ............................... 453

8.5.1.4 Check-in/ Check-out ............................................................ 454

8.5.1.5 Dokumentenentwürfe ......................................................... 454

8.5.1.6 Löschen von Dokumenten ................................................... 455

8.5.1.7 Filter ..................................................................................... 455

8.5.1.8 Benutzer-Sichten ................................................................. 455

8.5.1.9 Volltextsuche ....................................................................... 456

8.5.2 Ausgabe der Dokumentation ................................................... 456

8.5.2.1 HTML-Publisher ................................................................... 456

8.5.2.2 Microsoft® Office Word-Export ........................................... 457

8.5.2.3 WebAccess-Client ................................................................ 458

8.5.2.4 Reporting Services ............................................................... 458

8.5.2.5 Standard Druckausgabe ....................................................... 458

8.5.3 Dokumentationswerkzeuge ..................................................... 459

8.5.3.1 Texteditor ............................................................................ 460

8.5.3.2 Flussdiagrammdesigner ....................................................... 461

8.5.4 Import von externen Dateien .................................................. 461

8.5.5 Standardvorlagen .................................................................... 461

8.5.6 Inhaltsklassen .......................................................................... 463

8.5.7 Zugriffsschutzsystem ............................................................... 463

8.5.7.1 Rollenkonzept ...................................................................... 464

8.5.7.2 Administrator ....................................................................... 464

8.5.7.3 Manager............................................................................... 464

8.5.7.4 Bearbeiter ............................................................................ 465

8.5.7.5 Leser .................................................................................... 465

8.5.7.6 Prüfer ................................................................................... 465

8.5.8 Active Directory und LDAP Integration .................................... 465

8.5.9 Hilfe-Funktion .......................................................................... 466

8.6 Auszeichnung ................................................................................... 466

18 | S e i t e

9 Abbildungen ..................................................................................... 468

10 Abkürzungsverzeichnis ...................................................................... 476

11 Literatur ........................................................................................... 481

S e i t e | 19

1 Ziel und Aufbau des Buches

Die Konzeption, Umsetzung und langfristige Etablierung eines unternehmens-

weiten Notfallmanagements wird im Rahmen eines Projektes realisiert. Die

vorliegende Publikation beschreibt detailliert die strukturierte Vorgehensweise

eines Notfallmanagementprojektes und kann als Praxisleitfaden genutzt wer-

den. Sie wendet sich an alle involvierten Mitarbeiter des Projektes: An die Ge-

schäftsführung und Projektleitung sowie an die Mitarbeiter aus den Notfallte-

ams und Fachabteilungen bis hin zu externen Beratern, die mit der genannten

Aufgabe beauftragt worden sind. Die Verwendung anerkannter Normen und

Standards mit ihren Anforderungen an ein Notfallmanagementsystem setzen

die genaue Kenntnis und Dokumentation der Unternehmensorganisation (Auf-

bau- und Ablauforganisation) und des IT-Verbundes (IT-Organisation, -

Infrastruktur und Ressourcen) voraus. Die betriebliche Praxis stellt sich oft

anders dar. Eine Dokumentation der genannten Organisations- und IT-

Sachverhalte ist häufig nicht vorhanden, nicht vollständig oder nicht mehr ak-

tuell. Bei der hier beschriebenen Methodik geht der Autor von der Annahme

aus, dass eine solche Dokumentation nicht vorhanden ist. Eine weitere An-

nahme ist, dass der Kenntnisstand der Projektmitarbeiter über die Unterneh-

mens- und IT-Organisation unterschiedlich ist.

Wesentliche Abschnitte (Meilensteine) des Projektes beschreiben die IST-

Aufnahme, Bewertung und Dokumentation der Unternehmensorganisation

und des IT-Verbundes. Die auf diese Art und Weise gewonnenen Informatio-

nen werden für die Planung und Umsetzung des Notfallmanagements verwen-

det und gleichen Informationsdefizite der in dem Projekt involvierten Mitarbei-

ter aus. Durch die Bereitstellung einer Notfallmanagement-Dokumentation mit

den beschriebenen Prozessen, Handlungsanweisungen, Richtlinien und weite-

ren Unterlagen soll ein gleiches Verständnis der Führungskräfte und der in die

Notfallvorsorge und -bewältigung involvierten Mitarbeiter bei der Erfüllung

ihrer Tätigkeit für die festgelegten unternehmensweiten Anforderungen an das

20 | S e i t e

Notfallmanagement sichergestellt werden. Die Dokumentation stellt die Basis

für eine permanente Verbesserung der bereits etablierten Notfallmanage-

ment-Strukturen und Abläufe im Unternehmen dar. Schwerpunkt der Publika-

tion ist die Darstellung einer strukturierten Vorgehensweise bei der Planung

und Umsetzung der Notfallorganisation gemäß BSI-Standard 100-41. Weitere

Standards wie ISO 22301:20122 und BCI-GPG 20133 werden zitiert ohne sie

direkt miteinander zu vergleichen.

Abbildung 1: Inhaltsstruktur des Leitfadens.

Durch die große Übereinstimmung der Inhalte der genannten Standards kann

der Praxisleitfaden auch bei ihrer Umsetzung verwendet werden. Die im Fol-

genden beschriebene zentrale, datenbankbasierte Softwarelösung DocSetMin-

der® bietet viele technische und organisatorische Vorteile, nicht nur bei der

Erstellung und Aktualisierung der Dokumentation, sondern insbesondere auch

1 Bundesamt für Sicherheit in der Informationstechnik – Standard 100-4 Notfallmanagement. 2 ISO 22301:2012 Business continuity management system. 3 Business Continuity Institute - Good Practice Guidelines 2013, Global Edition.

S e i t e | 21

bei der systematischen Verbesserung der Notfallorganisation im Laufe der Zeit.

Der noch immer weit verbreitete Einsatz von Textverarbeitungsprogrammen

und Tabellenkalkulationen bei derartigen Projekten stellt für diese Aufgaben

keine echte Alternative dar. Die in dieser Publikation verwendete Projekt-

Methodik ist unabhängig von der geplanten oder bereits eingesetzten Soft-

warelösung. Abbildung 1 visualisiert die Struktur des Leitfadens.

In Kapitel 2 wird die Motivation für die Etablierung eines unternehmensweiten

Notfallmanagements skizziert. Darüber hinaus wird die Rolle der Unterneh-

mensorganisation (Aufbau- und Ablauforganisation) und des IT-Verbundes (IT-

Organisation, -Infrastruktur und Ressourcen) im Notfallmanagement erläutert.

Die Compliance Management Software DocSetMinder® unterstützt das Pro-

jektteam bei der Durchführung und Dokumentation des Notfallmanagement-

projektes in allen Phasen. Der Nutzen und die für das Projekt notwendigen

Module „Unternehmensorganisation“, „IT-Dokumentation“ und „Notfallma-

nagement“ werden in Kapitel 3 kurz beschrieben.

In Kapitel 4 werden die gesetzlichen Grundlagen exemplarisch kurz aufgezählt,

ohne Anspruch auf Vollständigkeit. Die Einhaltung von Gesetzen und Vorschrif-

ten4 durch die Gestaltung und Umsetzung einer effektiven Corporate Gover-

nance5 stellt eine wesentliche Herausforderung für die Führungskräfte und

Aufsichtsgremien in Unternehmen dar. Das betriebliche Kontinuitätsmanage-

ment ist ein fester Bestandteil der Corporate Governance. Die Basis für ihre

Umsetzung schaffen geltende Gesetze, Standards, Richtlinien und nicht zuletzt

Verträge und Vereinbarungen mit Geschäftspartnern, die von Unternehmen

und Behörden einzuhalten sind.

4 Compliance 5 Grundsätze der Unternehmensführung.

22 | S e i t e

Aufgrund der Bedeutung des Notfallmanagements für ein Unternehmen oder

eine Behörde sollte die Umsetzung generell nur nach anerkannten Standards

und Normen erfolgen. In Kapitel 5 werden die wichtigsten Notfallmanagement

Normen und Standards dargestellt, vor allem der BSI-Standard 100-4, ISO

22301:2012 und BCI Good Practice Guidelines 2013 Global Edition. Durch ihre

Struktur und Methodik liefern die genannten Standards eine Grundvorausset-

zung für eine optimale Projektplanung und effektive Umsetzung sowie für die

Ermittlung der Projektkosten. Die Folge ist eine hohe Akzeptanz, bei den direkt

involvierten Projektmitarbeitern im Unternehmen und einer Behörde, bei ex-

ternen Organisationen und Auditoren.

Kapitel 6 ist der Bedeutung der Dokumentation gewidmet. Eine vollständige

und sachgerechte Dokumentation der wesentlichen Sachverhalte des Notfall-

management-Projektes stellt die Grundlage einer erfolgreichen Umsetzung der

Notfallorganisation dar und dient dem Nachweis der getroffenen organisatori-

schen und technischen Maßnahmen. Sie ist Grundelement eines Notfallmana-

gements und unabdingbar bei deren sorgfältigen Umsetzung, Überwachung

und Verbesserung. Darüber hinaus dient sie als sehr effektives organisations-

weites Kommunikationsmedium bei der Bekanntmachung und Verbreitung der

getroffenen Maßnahmen für alle Mitarbeiter. Die Dokumentation ist erforder-

lich bei jeder Art von Prüfung, die durch interne oder externe Auditoren und

Prüfer durchgeführt wird.

In Kapitel 7 ist das Projekt „Notfallmanagement“ mit allen Facetten der Projek-

torganisation sehr detailliert beschrieben. Am Beispiel einer fiktiven Firma, der

Wind Seeker AG, wird das gesamte Projekt „Notfallmanagement“ in mehreren

Meilensteinen und Vorgängen erläutert. Sie bilden die Anforderungen der in

Kapitel 5 dargestellten Standards ab. Im Meilenstein 1 „Projektorganisation“

werden alle organisatorischen Maßnahmen für eine strukturierte und erfolg-

reiche Durchführung des Projektes festgelegt und dokumentiert. Im Meilen-

stein 2 „Unternehmensorganisation“ wird die Aufbau- und Ablauforganisation

S e i t e | 23

des Unternehmens systematisch aufgenommen, nach bestimmten Kriterien

bewertet und dokumentiert. Die somit gewonnenen Informationen werden im

Meilenstein 4 „Notfallmanagement“ verwendet. Im Meilenstein 3 „IT-

Verbund“ wird die IT-Organisation (IT-Infrastruktur, -Organisation und Res-

sourcen) des Unternehmens systematisch aufgenommen, nach bestimmten

Kriterien bewertet und dokumentiert. Die dokumentierten Sachverhalte wer-

den im Meilenstein 4 „Notfallmanagement“ verwendet.

In Kapitel 8 werden die Einsatzbereiche und der Funktionsumfang der Compli-

ance Management Software DocSetMinder® beschrieben. DocSetMinder®

unterstützt die Unternehmensleitung und das Projektteam bei der Konzeption,

Dokumentation, Prüfung und Verbesserung der Notfallorganisation. Durch den

modularen Aufbau kann DocSetMinder® bei weiteren Compliance-Themen

effektiv und effizient im Unternehmen eingesetzt werden (vgl.

www.docsetminder.de).

Abbildung 2: Struktur der Projektmeilensteine.

24 | S e i t e

Die Beschreibung der einzelnen Projektmeilensteine (vgl. Abbildung 2) im

Wind Seeker AG-Notfallmanagementprojekt ist jeweils gleich strukturiert und

besteht aus folgenden Abschnitten:

Ziel der Projektphase - Beschreibung der Ziele, die am Ende der

Projektphase erreicht werden sollen.

Verweise auf Standards - Jede Phase des Notfallmanagementpro-

jektes ist durch Normen und Standards begründet. Die Standards

BSI-Standard 100-4, ISO 22301 und BCI-GPG 2013 werden an die-

ser Stelle auszugsweise zitiert.

Beschreibung und Definitionen - Sachverhalte und Definitionen

werden im jeweiligen Meilenstein detailliert beschrieben und er-

läutert.

Inhalt der Dokumentation - Das Ergebnis des Projektmeilensteines

ist in Form einer Dokumentation zusammengefasst. Sie ist ein Be-

standteil der Notfallmanagementdokumentation. Für die Erfassung

der Sachverhalte werden zahlreiche Checklisten vorgeschlagen.

Umsetzung mit DocSetMinder® - Beispiele der Dokumentation

werden mit Hilfe der DocSetMinder® Software mit einigen

Screenshots präsentiert. Es handelt sich dabei um Auszüge aus der

Notfallmanagement-Dokumentation der Wind Seeker AG (vgl. Ka-

pitel 7.3)

Dokumentationshinweise (optional) - Hinweise zur Methodik für

die Erstellung und Pflege der Dokumentation. Dazu gehören u.a.

Imports von Informationen aus anderen Systemen, wie z.B. ERP,

Active Directory, Inventory-Systeme etc.

S e i t e | 25

2 Notfallmanagement – Motivation

Hauptaufgabe der Unternehmensleitung ist die Umsetzung der geplanten Un-

ternehmensziele und eine langfristige Marktbehauptung. Grundvoraussetzung

hierfür ist ein kontinuierlicher und störungsfreier Geschäftsbetrieb des Unter-

nehmens oder der Behörde, insbesondere in den globalisierten und sich

schnell veränderten Märkten. Eine vorübergehende Unterbrechung der Pro-

duktion oder Dienstleistung kann zum Verlust von Kunden führen. Durch die

Verkettung der Geschäftsprozesse von Lieferanten und Auftraggebern ist ein

hoher Grad an wirtschaftlicher Abhängigkeit erreicht. Sehr deutlich ist dies bei

der Betrachtung der „just-in-time“ Lieferketten zu erkennen. Eine Unterbre-

chung der Lieferung kann nicht nur einen wirtschaftlichen sondern auch einen

Imageschaden bedeuten. Das Image eines langjährigen zuverlässigen Ge-

schäftspartners wird über Jahre durch die sorgfältige Erfüllung der vereinbar-

ten Leistungen aufgebaut. Bereits geringe Zweifel des Auftraggebers an der

genannten Zuverlässigkeit können zum Verlust der Marktposition führen, u.U.

mit gravierenden wirtschaftlichen und sozialen Folgen. Die gezielte Vorbeu-

gung einer Geschäftsunterbrechung gehört aufgrund ihrer Bedeutung zu den

Aufgaben der Unternehmensleitung. Bei branchenübergreifenden Abhängig-

keiten (Interdependenzen) können bereits verhältnismäßig kleine Störungen

weitgehende Folgen nach sich ziehen.

2.1 Betriebliches Kontinuitätsmanagement

Eine Geschäftsunterbrechung kann durch unterschiedliche interne und externe

Schadensereignisse verursacht werden. Im Rahmen des betrieblichen Kontinui-

tätsmanagements werden mögliche Risiken, die eine Geschäftsunterbrechung

verursachen und zur existenziellen Bedrohung für ein Unternehmen werden

können, identifiziert. Zur ihrer Vorbeugung und ggf. Bewältigung werden ge-

26 | S e i t e

zielte Maßnahmen geplant und umgesetzt6. Aufgrund der Bedeutung des be-

trieblichen Kontinuitätsmanagements handelt es sich hierbei um einen soge-

nannten Managementprozess. Die Umsetzung und Etablierung des Prozesses

unterliegt der direkten Verantwortung der Geschäftsleitung. Die genaue Defi-

nition und der Ablauf des Notfallmanagement-Prozesses sind im Projektmei-

lenstein 4 (vgl. Kapitel 7.12) ausführlich beschrieben. Allgemein betrachtet

teilt sich der Prozess in zwei Abschnitte: Notfallvorsorge und -bewältigung. In

der Notfallvorsorge werden technische und organisatorische Maßnahmen ge-

plant und umgesetzt, die eine Geschäftsunterbrechung verhindern (vorbeu-

gen) sollen. Trotz aller Maßnahmen kann es zu einem Schadensereignis kom-

men. Die Aufgabe der Notfallbewältigung wiederum ist eine zeitnahe und ko-

ordinierte Wiederherstellung des Normalbetriebes. Eine Reihe von technischen

und organisatorischen Maßnahmen erlauben eine effektive Alarmierung, die

Umsetzung von Sofortmaßnahmen bis hin zur Wiederherstellung der Ressour-

cen bzw. Prozesse.

Abbildung 3: Eskalation eines Schadensereignisses.

Abbildung 3 skizziert die Eskalation eines Schadensereignisses. Ein Ausfall oder

eine unkorrekte Funktionsweise einer Ressource oder eines Prozesses ist eine

Störung. Wird die ursprüngliche Funktion nicht innerhalb einer angemessenen

6 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-4, Einleitung S. 1.

S e i t e | 27

Zeit wiederhergestellt, kann sie zu ihrer Notfall eskalieren. Wenn alle geplan-

ten Maßnahmen zu seiner Bewältigung fehlgeschlagen sind, kann aus einem

Notfall eine Krise hervorgehen. Die referenzierten Standards definieren das

betriebliche Kontinuitätsmanagement wie folgt:

BSI 100-4: Kapitel 1, Einleitung. S. 1. Das Notfallmanagement ist ein

Managementprozess mit dem Ziel, gravierende Risiken für eine Institu-

tion, die das Überleben gefährden, frühzeitig zu erkennen und Maß-

nahmen dagegen zu etablieren. Um die Funktionsfähigkeit und damit

das Überleben eines Unternehmens oder einer Behörde zu sichern, sind

geeignete Präventivmaßnahmen zu treffen, die zum einen die Robust-

heit und Ausfallsicherheit der Geschäftsprozesse erhöhen und zum an-

deren ein schnelles und zielgerichtetes Reagieren in einem Notfall oder

einer Krise ermöglichen.7.

ISO 22301: Kapitel 3, Terms and Definitions. S. 1. Business continuity

management - holistic management process that identifies potential

threats to an organization and the impacts to business operations tho-

se threats, if realized, might cause, and which provides a framework for

building organizational resilience with the capability of an effective

response that safeguards the interests of its key stakeholders, reputa-

tion, brand and value-creating activities.8.

BCI-GPG 2013: Introduction. S. 5. holistic management process that

identifies potential threats to an organization and the impacts to busi-

ness operations those threats, if realized, might cause, and which pro-

vides a framework for building organizational resilience with the capa-

7 Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) , BSI-Standard 100-4. Sämtli-

che Zitate aus dem BSI-Standard 100-4 sind schriftlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigt. 8Quelle: International Organization for Standardization (ISO), ISO 22301. Sämtliche Zitate aus

der ISO 22301 Norm sind schriftlich genehmigt - „Reproduced by permission of ISO International Organization for Standardization, Genf”.

28 | S e i t e

bility of an effective response that safeguards the interests of its key

stakeholders, reputation, brand and value-creating activities.9,10

2.2 Grundprinzip

Eine Reihe von Normen und Standards (vgl. Kapitel 5) definieren die Anforde-

rungen an ein wirksames, effizientes und nachvollziehbares Notfallmanage-

ment. Ein vollständig umgesetztes betriebliches Kontinuitätsmanagement11

gemäß der genannten Standards kann in drei wesentliche Bereiche strukturiert

werden:

Unternehmensorganisation (Aufbau- und Ablauforganisation)

IT-Verbund (IT-Infrastruktur, -Organisation und Mitarbeiter)

Notfallmanagementprozess

Kenntnisse über die Aufbau- und Ablauforganisation gehören zu den Grundin-

formationen, die u.a. in der Definition der Notfallorganisation (vgl. Kapitel

7.12.2) und in der Business Impact Analyse (BIA) (vgl. Kapital 7.12.3) verwen-

det werden. Ein Teil der Führungskräfte und Mitarbeiter eines Unternehmens

übernehmen die Verantwortung und bestimmte Funktionen bzw. Rollen in der

Notfallorganisation. Die BIA ist ein wesentlicher Teil des Notfallmanagements.

Im Rahmen des BIA-Prozesses werden Unternehmensprozesse ermittelt, die

von besonderer Bedeutung für die Existenz des Unternehmens bzw. der Be-

hörde sind. Im Umkehrschluss, ohne Betrachtung oder genaue Kenntnis der

Unternehmensorganisation ist eine sorgfältige, detaillierte und zuverlässige

Notfallvorsorge nicht möglich. Heutzutage ist ein effektiver, kostenoptimierter,

9 Quelle: Business Continuity Institutes (BCI), Good Practice Guidelines 2013. Sämtliche Zitate

aus der Good Practice Guidelines 2013 sind schriftlich mit dem Business Continuity Institutes abgestimmt. 10 Business Continuity Institutes (BCI), Good Practice Guidelines 2013 verwendet weitgehend die

ISO 22301:2012 Terminologie. Vgl. Introduction to the Good Practice Guidelines 2013, S.5. 11 Der Begriff des betrieblichen Kontinuitätsmanagements wird in der Literatur oft neben den

Begriffen Notfallmanagement und Business Continuity Management verwendet.

S e i t e | 29

handels- und steuerrechtlich konformer Betrieb eines Unternehmens oder

einer Behörde ohne IT bzw. IT-Organisation nicht realisierbar. Das gilt bran-

chenunabhängig für jede Unternehmens- und Behördengröße. Die IT-

Organisation, häufig auch IT-Verbund12 genannt besteht aus der IT-

Infrastruktur, IT-Prozessen und Mitarbeitern. Sie bildet unternehmensrelevan-

te Prozesse, wie die Leistungserstellung, die Buchführung und den Geschäfts-

verkehr mit Kunden und Lieferanten ab. Die Unternehmensorganisation insbe-

sondere die Unternehmensprozesse hängen direkt von der IT-Organisation ab.

Abbildung 4: Grundprinzip der Informationserhebung

Der Ausfall einer oder mehrerer IT-Komponenten kann zu schwerwiegenden

Ausfällen der Unternehmensprozesse führen. Die Unternehmensorganisation

und der kontinuierliche, störungsfreie Geschäftsbetrieb hängen direkt von der

IT ab. IT-Notfallmanagement ist ein Bestandteil des betrieblichen Kontinui-

tätsmanagements13. Zusammengefasst: Die Umsetzung des Notfallmanage-

ment-Prozesses erfordert eine Reihe von Informationen aus den kurz zuvor

skizzierten Bereichen (vgl. Abbildung 4). Sind die Informationen nicht verfüg-

bar bzw. nicht mehr aktuell, müssen sie erhoben, dokumentiert und bewertet

werden.

12 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-2, Kapitel 4.1.

S.38. 13 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-4, Kapitel 1. S.1.

30 | S e i t e

3 DocSetMinder14 - Software

3.1 Notfallmanagement- und Projektdokumentation

Für die Planung und Umsetzung eines unternehmensweiten Notfallmanage-

ments ist es empfehlenswert, ein zu diesem Zweck konzipiertes Tool einzuset-

zen. Die Compliance Management Software DocSetMinder® der GRC Partner

GmbH ist bereits im Jahre 2004 für die Etablierung von IT-Governance-Themen

im Unternehmen und in der Behörde entwickelt worden. Die Softwaremodule

bilden anerkannte nationale und internationale IT-Governance Standards und

Normen ab.

Abbildung 5: DocSetMinder® Aufbau und Module.

14

In der vorliegenden Publikation wird die Unternehmens- und IT-Dokumentation sowie die Umsetzung des Notfallmanagements mit der Compliance Management-Lösung DocSetMinder® beschrieben.

S e i t e | 31

Die strikten Anforderungen der Normen und Standards an die Notfallmanage-ment- und Projektdokumentation (vgl. Kapitel 6) sind durch diverse Software-funktionen vollständig abgedeckt.

3.2 DocSetMinder® - Module und Nutzen

Um die Dokumentation effizient und vollständig zu erstellen, zu kommunizie-

ren und aktuell zu halten, stehen den Projektverantwortlichen und Mitarbei-

tern diverse Standard- und Compliance-Module zur Verfügung. DocSetMin-

der® bietet zum Thema IT-Governance eine komplette Suite von aufeinander

abgestimmten Modulen mit Dokumentstrukturen und Vorlagen mit denen die

BSI-Standards 100-1 bis 100-4, ISO 22301, ISO 27001 und BCI-GPG 2013 voll-

ständig abgebildet werden können. Sie bilden den Grundstein für diverse ISO-

Zertifizierungen. Alle Module bauen aufeinander auf. Im Einzelnen handelt es

sich um:

Modul – „Unternehmensorganisation“ (Aufbau-, Ablauforganisation,

Richtlinien, Verträge und Versicherungen)

Modul – „IT-Dokumentation“ (IT-Organisation, -Infrastruktur und Res-

sourcen)

Modul – „Notfallmanagement“ (BSI-Standard 100-4, ISO 22301, BCI-

GPG 2013)

Modul – „Informationssicherheits-Managementsystems - ISMS“ (DIN

ISO /IEC 27001)

Modul – „IT-Grundschutz“ (BSI-Standard 100-2, 100-3)

Modul – „RESISCAN“ (BSI Technische Richtlinie 03138 - Ersetzendes

Scannen)

Modul – „IKS“ (IDW PS 261, PS 951)

Module – „Datenschutz“ (BDSG, LDSG, DSVO)

3.2.1 DocSetMinder® - Modul „Unternehmensorganisation“

Das Modul „Unternehmensorganisation“ erlaubt den Einsatz des DocSetMin-

der® als Implementierungsplattform für ein unternehmensweites Integriertes

32 | S e i t e

Managementsystem (IMS)15. Informationen über die Aufbau- und Ablauforga-

nisation eines Unternehmens oder einer Behörde werden nur einmal erfasst

und können in Normen, wie z.B. ISO 9001, ISO 14001, ISO 27001, ISO 20000

oder ISO 22301 gemeinsam verwendet werden. Ändern sich z.B. die Prozessab-

läufe oder die Struktur der Organisation, so muss die Aktualisierung nur an

einer Stelle vorgenommen werden. Die genannten Standards setzen in ihrer

Umsetzung die Kenntnis der Unternehmensorganisation voraus. Es geht vor

allem um die Dokumentation der Aufbau- und Ablauforganisation, Richtlinien,

Verträge und Versicherungen. In der Aufbauorganisation werden generell alle

organisatorischen Einheiten sowie Verantwortlichkeiten erfasst, in der Ablau-

forganisation die Prozessstrukturen bzw. der Ablauf der betrieblichen Wert-

schöpfungskette. Das Modul „Unternehmensorganisation“ stellt die notwendi-

gen Informationen für alle IT-Governance Module zur Verfügung. Durch geziel-

te Verlinkung wird eine Relation zu den IT-Komponenten gesetzt - übersicht-

lich, aktuell und vollständig.

3.2.2 DocSetMinder® - Modul „IT-Dokumentation“

Das DocSetMinder®-Modul „IT-Dokumentation“ erlaubt eine systematische,

strukturierte und lückenlose Dokumentation der IT-Infrastruktur, IT-Prozesse

und Mitarbeiter. Die Modulstruktur basiert auf dem ISO - OSI Referenzmodell

und erlaubt eine systematische Dokumentation der IT-Infrastruktur von den

passiven Netzwerkkomponenten bis hin zu den im Unternehmen eingesetzten

Anwendungen und den damit verbundenen Berechtigungen. Die Dokumenta-

tion der Gebäude, der IT-Räume und der Gebäudesicherheit kann ebenfalls

realisiert werden. Bereits im DocSetMinder®-Grundmodul „Unternehmensor-

ganisation“ ist die ITIL-konforme Struktur für die Dokumentation der IT-

Prozesse enthalten. Die Dokumentation der IT-Infrastruktur umfasst sowohl

technische als auch administrative bzw. organisatorische Aspekte. So beinhal-

15

Vgl. K. Paschke, „Organisationshandbuch - Umsetzung, Dokumentation und Kommunikation“ 2011.

S e i t e | 33

tet die Beschreibung eines beliebigen Servers neben technischen Informatio-

nen zu Prozessor, Speicher, Festplatte, Betriebssystem etc. auch administrative

Angaben, z.B. zu den zuständigen IT-Mitarbeitern, zu Wartungs- und ggf. Lea-

singverträgen. Darüber hinaus bildet eine vollständige Dokumentation auch die

logischen Zusammenhänge zwischen Geschäftsprozessen, Software, Daten-

banken und Servern ab. Die zur Verfügung stehenden Schnittstellen erlauben

den Datenimport aus Inventory-Tools, Verzeichnisdiensten (LDAP und Active

Directory) und ERP-Systemen. Diese Beschreibung der Abhängigkeiten der

Unternehmensorganisation und IT liefert wesentliche Informationen (Struktur-

analyse) für die Business Impact Analyse (BIA). Die mit Hilfe des Moduls erstell-

te Dokumentation liefert notwendige Inhalte für Prüfungen nach IDW PS 330,

IDW PS 951, ISAE 3402, PCI DSS sowie für die Umsetzung von Standards, wie

z.B. BSI-Standard 100-1 bis -4, ISO 22301 oder BCI GPG 2013. Teile der IT-

Dokumentation können auch im Bereich des Datenschutzes (BDSG, LDSG) ver-

wendet werden.

3.2.3 DocSetMinder® - (IT-)Notfallmanagement

Das DocSetMinder®-Modul „Notfallmanagement" basiert auf dem BSI-

Standard 100-4, ISO 22301 und BCI-GPG 2013 und bildet die Methodik zur

Etablierung eines adäquaten Notfallmanagementsystems im Unternehmen

oder einer Behörde ab. Das Modul erlaubt eine vollständige Erstellung und

Pflege von Dokumentationen des Anwendungsbereichs, der Notfallorganisati-

on, der Business Impact Analyse, der Risikoanalyse sowie der Alarmierung und

Eskalation bis hin zu Geschäftsfortführungs- und Wiederanlaufplänen (Notfall-

handbücher). Die Planung und Durchführung von Notfallübungen und der Ver-

besserungsprozess der Notfallorganisation (P-D-C-A) werden ebenfalls struktu-

riert unterstützt (vgl. Kapitel 6.8.3).

34 | S e i t e

3.2.4 DocSetMinder® - Modul „IT-Grundschutz“

Um die komplexen Maßnahmen aus den Grundschutzkatalogen des BSI pla-

nen, umsetzen und administrieren zu können, ist eine strukturierte Vorge-

hensweise und Dokumentation notwendig. Das Modul "IT-Grundschutz" bildet

die IT-Grundschutz-Kataloge des BSI ab, erlaubt die Definition des Schutzbe-

darfes der einzelnen Zielobjekte und die Bestimmung von notwendigen Sicher-

heitsmaßnahmen durch Modellierung des Informationsverbundes. Die Modul-

struktur unterstützt den BSI-Standard 100-2 und 100-3 bei der Planung, Durch-

führung und Erhaltung einer effektiven Informationssicherheit im Unterneh-

men oder in der Behörde. Das Modul nutzt die bereits im Grundmodul „Unter-

nehmensorganisation“ bereitgestellten Informationen zur Aufbauorganisation,

den Prozessen und zentralen Inhalten wie Richtlinien, Verträge, Anweisungen

sowie die im Modul "IT-Dokumentation" erfassten Sachverhalte des IT-

Verbunds für die Strukturanalyse der Organisation. Die Inhalte der IT-

Grundschutz-Kataloge sind in die Modulstruktur integriert.

3.2.5 DocSetMinder® - Modul „ISMS gemäß ISO/IEC 27001“

Die Norm ISO/IEC 27001 ist für die Planung, Umsetzung, Überwachung und

stetige Verbesserung des Informationssicherheits-Managementsystems (ISMS)

konzipiert. Das Modul "ISMS – ISO 27001" bildet die Anforderungen der Norm

ISO/IEC 27001 vollständig ab. Die Modulstruktur erlaubt die Definition und

Dokumentation des Anwendungsbereichs, der Verantwortlichkeiten, der ISMS-

Leitlinie, die Analyse und Bewertung der Risiken sowie die Definition der Maß-

nahmenziele und Maßnahmen zur Behebung der festgestellten Risiken. Dieses

Modul nutzt die bereits im Modul "Unternehmensorganisation" erfassten In-

formationen zur Aufbau- und Ablauforganisation im Unternehmen, die im Mo-

dul "IT-Dokumentation" beschriebenen IT-Ressourcen und -organisation sowie

das betriebliche Kontinuitätsmanagement im Modul „Notfallmanagement“.

Die Dokumentationsanforderungen und der P-D-C-A Zyklus der Norm sind de-

tailliert umsetzbar.

Documents

(IT) Notfallmanagement im Unternehmen und in der ehörde ...IT... · S e i t e | 3 (IT) Notfallmanagement im Unternehmen und in der ehörde Planung, Umsetzung und Dokumentation gemäß