Business Continuity Management (BCM)

Das Modul Business Continuity Management (BCM) unterstützt dich dabei, kritische Geschäftsprozesse zu identifizieren, Auswirkungen von Ausfällen zu bewerten und geeignete Strategien sowie Pläne zur Aufrechterhaltung bzw. Wiederherstellung des Betriebs zu definieren.

BCM baut in GRASP auf den bereits gepflegten Stammdaten auf:

• Organisation (Personen, Teams, Rollen)
• Inventarisierung (Assets, Prozesse, Abhängigkeiten)
• Dokumente (Richtlinien, Arbeitsanweisungen, Handbücher)

Einmal gepflegte Informationen können in BCM, ISMS, Datenschutz und weiteren Modulen wiederverwendet werden (Plan–Do–Check–Act-Prinzip).

Voraussetzung

Bevor du mit dem BCM-Modul arbeitest, sollten Personen, Prozesse, Assets und – idealerweise – die Abhängigkeiten zwischen Prozessen und Ressourcen gepflegt sein.

---

Aufbau des BCM-Moduls

Das BCM-Modul ist in Kacheln (Views) aufgebaut, die dich entlang des typischen BCM-Vorgehens führen:

1. Implementierungsleitfaden
2. BCM-Dokumente
3. Anwendungsbereich (Scope)
4. Business Impact Analyse (BIA)
5. Risikomanagement
6. Strategien, Pläne & Audit-Management
7. Richtlinien & Leitlinien (Modulübergreifend)

Im Folgenden sind die wichtigsten Bausteine beschrieben.

---

Implementierungsleitfaden

Der Implementierungsleitfaden dient als Checkliste und roter Faden für die Einführung und laufende Pflege des BCM:

• Unterteilt in logische Kapitel (z. B. Projekt-Setup, Governance aufbauen, BIA durchführen, Strategien definieren).
• Jede Zeile beschreibt einen Schritt, den du im BCM erledigen solltest.
• Über die Spalte Umsetzen gelangst du per Quick-Link direkt in die passende View, um den Schritt auszuführen.
• Erledigte Punkte kannst du abhaken, um den Umsetzungsfortschritt sichtbar zu machen.

Damit eignet sich der Implementierungsleitfaden sowohl für den initialen Roll-out als auch für Re-Zertifizierungen und regelmäßige Reviews.

---

Richtlinien & Leitlinien

Unter Richtlinien & Leitlinien hinterlegst du die übergeordneten Vorgaben, die dein BCM steuern, z. B.:

• BCM-Policy / Kontinuitätsleitlinie
• Notfallmanagement-Richtlinie
• Rollen- und Verantwortlichkeiten im BCM

Für jedes Dokument können u. a. gepflegt werden:

• Bezeichnung und Beschreibung
• Dokumententyp (Policy, Guideline, Arbeitsanweisung, Handbuch, …)
• Verantwortliche Person
• Status und Version
• Nächste Überprüfung bzw. Überprüfungsfrequenz

Anhand der Überprüfungsdaten versendet GRASP automatische Erinnerungen an die verantwortliche Person, damit Leitlinien aktuell bleiben.

---

BCM-Dokumente

In der Kachel Dokumente kannst du alle BCM-relevanten Artefakte bündeln, z. B.:

• Notfallhandbuch
• Wiederherstellungs- und Wiederanlaufpläne
• Kommunikationskonzepte
• Schulungsunterlagen

Du kannst:

• Dateien (z. B. PDF) hochladen (Drag & Drop),
• externe Links (z. B. SharePoint) hinterlegen,
• Versionen, Verantwortliche und Prüfdaten pflegen.

Die Dokumente können dann an anderer Stelle (z. B. in Strategien, Plänen oder Audits) referenziert werden.

---

Anwendungsbereich (Scope)

Der Anwendungsbereich definiert, welcher Ausschnitt deiner Organisation im jeweiligen BCM-Scope betrachtet wird.

Hier verknüpfst du:

• Prozesse
• Infrastruktur
• Hardware
• Software
• Dienstleister
• Daten
• Personal

Nur die im Scope verknüpften Objekte tauchen später in der BIA, im BCM-Risikomanagement sowie in Strategien und Plänen auf. Details findest du in der Seite Anwendungsbereich.

---

Business Impact Analyse (BIA)

Die BIA im BCM-Modul besteht im Wesentlichen aus drei Bereichen:

1. BIA-Vorfilterung

   • Du beantwortest pro Prozess einige Ja/Nein-Fragen (z. B. regulatorische Relevanz, Sicherheits- oder Verfügbarkeitsanforderungen).
   • Das System kennzeichnet Prozesse automatisch als kritisch oder unkritisch.
   • Du kannst die Einstufung manuell anpassen.

2. BIA-Konfiguration (Hausregeln)

   • Festlegung der Schadenspotenziale (z. B. sehr hoch, hoch, mittel, gering).
   • Definition der Zeithorizonte (Stunden oder Tage), ab wann welche Schadenshöhe erreicht wird.
   • Pflege der Schadensszenarien (z. B. finanzielle Auswirkungen, rechtliche Auswirkungen, Reputationsschaden, Sicherheitsvorfall).
   • Das System zeigt dir grafisch, wie die Schadensentwicklung über die Zeit verläuft.

3. Business Impact Analyse (Bewertung)

   • Für jeden im Scope verknüpften Prozess bewertest du die Auswirkungen in den definierten Schadensszenarien über die Zeit.
   • Du legst Wiederherstellungsziele fest:
   • RTO (Recovery Time Objective) – Zielwert für die maximale zulässige Unterbrechung.
   • MTPD / MTBD – maximal tolerierbare Ausfallzeit.
   • Optional: Notbetriebsniveau.
   • Du siehst Abhängigkeiten zu Ressourcen (z. B. Assets, Dienstleister) und Prozessabhängigkeiten und kannst Single Points of Failure (SPOF) kennzeichnen.

Ergebnis der BIA sind:

• eine Kritikalität je Prozess,
• priorisierte Wiederherstellungsziele,
• transparente Abhängigkeiten – Basis für Risikomanagement und Strategien.

---

Risikomanagement im BCM

Das BCM-Risikomanagement fußt auf der in der BIA ermittelten Kritikalität und nutzt die gemeinsame Risikoengine von GRASP.

Die Kacheln entsprechen den anderen Modulen:

1. Konfiguration (Risiken zuordnen)

   • Zuordnung von Risiken zu Kategorien (Daten, Dienstleister, Hardware, Infrastruktur, Personal, Prozesse, Software).
   • Pflege der Risikobibliothek inkl. fachlicher Relevanz (z. B. in ISO 27001 und BCM nutzen).

2. Risikoanalyse (Bewertung)

   • Bewertung der Risiken je Ressource und Scope.
   • Festlegung von Eintrittswahrscheinlichkeit und Auswirkung (BSI-Skala).
   • Automatische Ermittlung des Initialrisikos und Akzeptanzlevels.

3. Behandlungsplan & Maßnahmen

   • Auswahl von Behandlungsoptionen (vermeiden, reduzieren, transferieren, akzeptieren).
   • Anlage und Verknüpfung von Maßnahmen mit Verantwortlichen, Genehmigern und Fristen.

4. Restrisiko & Abschluss

   • Bewertung des Restrisikos nach Umsetzung bzw. Planung von Maßnahmen.
   • Abschluss der Risikobewertung, inkl. Archivierung und Neuauflage für Vergleichszwecke.

5. Risikomatrix & Übersicht

   • Grafische Darstellung aller Risiken nach Eintrittswahrscheinlichkeit und Auswirkung.
   • Filterung nach Scope, Assettypen und weiteren Kriterien.

Die Ergebnisse werden in den globalen Übersichten und in der Risikomatrix von GRASP angezeigt.

---

Strategien, Pläne & Lösungen

Auf Basis der BIA und des Risikomanagements definierst du im BCM:

• Notfallstrategien / Wiederanlaufpläne

  • Strategien pro Asset oder Prozess (z. B. Ausweichstandort, manueller Notbetrieb, Hochverfügbarkeit).
  • Beschreibung, Voraussetzungen, verantwortliche Personen und Genehmiger.
  • Bewertung der Strategie (Einhaltung RTO, Kosten, Restrisiko, Anforderungen).

• Wiederherstellungspläne

  • Genaue technische oder organisatorische Abfolge von Schritten zur Wiederherstellung.
  • Verknüpfung mit Assets (z. B. Server, Anwendungen, Datenbanken).

• Geschäftsfortführungspläne

  • Pläne je Prozess, in denen Szenarien, Auslöser und Fortführungsstrategien dokumentiert sind.

• Darstellung der betroffenen Ressourcen und Abläufe.

• Kommunikationspläne

  • Definition, wer in welchem Szenario informiert wird (intern/extern).
  • Verknüpfung zu Strategien und Ressourcen, damit im Ereignisfall klar ist, wer wann informiert werden muss.

Diese Pläne bilden zusammen dein operatives BCM-Handbuch direkt im System ab.

---

Audit-Management im BCM

Das Audit-Management im BCM ist bewusst schlank gehalten:

• Planung von BCM-Audits im Audit-Kalender.
• Verknüpfung von Prüfpunkten und Auditgegenständen (z. B. Prozesse, Pläne, Dokumente).
• Bewertung der Prüfpunkte mit Erfüllungsgrad und Implementierungsbeschreibung.
• Freigabe durch genehmigende Personen.
• Erfassung von Feststellungen und Maßnahmen.
• Zentrale Bearbeitung aller Feststellungen und Maßnahmen in der globalen Kachel Feststellungen & Maßnahmen.

Details findest du in den Seiten zum Audit-Management – Planung und Durchführung, Freigabe & Auswertung.

---

Ansichten