Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Kontinuierliche Verbesserung im Notfallmanagement
Beim Notfallmanagement müssen nicht nur angemessene Vorsorgemaßnahmen umgesetzt und Dokumente fortlaufend aktualisiert werden, sondern auch der Notfallmanagement-Prozess selbst muss regelmäßig auf seine Wirksamkeit und Effizienz hin überprüft werden.
Aufrechterhaltung
Um die Effektivität des Notfallmanagements und der umgesetzten Notfallvorsorgemaßnahmen zu erhalten, muss dies kontinuierlich überwacht, gesteuert und aktualisiert werden. Hierfür muss und soll ein Unternehmen geeignete Mess- und Bewertungskriterien entwickeln. Beispiele hierfür sind:
- Anzahl durchgeführter Übungen (erfolgreich/nicht erfolgreich)
- Anzahl durchgeführter Tests (erfolgreich/nicht erfolgreich)
- Anzahl aufgetretener Notfälle (davon erfolgreich bewältigt)
- Anzahl durchgeführter Schulungen (Anzahl Teilnehmer / Anzahl Stunden)
- erforderliche Zeit zur Alarmierung des Krisenstabs
Neben der Überwachung und Steuerung des Notfallmanagement-Prozesses spielt die Aktualität der Maßnahmen, insbesondere der Dokumente, eine entscheidende Rolle. Um deren Aktualität aufrecht erhalten zu können, ist das Setzen von Änderungstriggern in verschiedenen Geschäftsprozessen notwendig.
Überprüfungen
Nur durch regelmäßige Überprüfungen des Notfallmanagementprozesses und der Notfallvorsorgemaßnahmen kann die Fähigkeit des Unternehmens, Notfälle und Krisen bewältigen zu können, beurteilt werden. Die Überprüfung kann auf verschiedenen Ebenen erfolgen:
- Selbstbewertungen (Self-Assessments)
- Unabhängige interne Revisionen
- Externe Revisionen
- Unabhängige Zertifizierung
Hierbei überprüfen der Notfallbeauftragte und sein Unterstützerteam die korrekte Umsetzung der eigenen Vorgaben, den aktuellen Abdeckungsgrad des Notfallmanagements auf die einzelnen Prozesse im Unternehmen sowie die Effizienz und den Reifegrad des Notfallmanagements.
Bei einer internen Revision wird ein besonderes Augenmerk auf die Einhaltung von internen und externen Richtlinien sowie dem Vergleich zu Standards und Best Practices (Compliance) gelegt.
Externe Revisoren werden von außen durch Aufsichtsorgane initiiert. Die Methoden und die Vorgehensweise sind durch Vorgaben und Standards der Berufsverbände, wie beispielsweise des IDW (Institut der Wirtschaftsprüfer in Deutschland e.V.), geregelt.
Ein Unternehmen kann sich ein funktionierendes Notfallmanagement auch durch eine unabhängige Stelle zertifizieren lassen. Während der nationale Standard BSI 100–4 nur im Rahmen der Grundschutzzertifizierung darlegungsfähig ist, gibt es mittlerweile auch eine internationale Norm, die ISO/IEC 22301.
Informationsfluss und Managementbewertung
Die Aufgabe der Geschäftsleitung ist es, die richtigen Entscheidungen bei der Steuerung und Lenkung des Notfallmanagement-Prozesses zu treffen. Um dieser Aufgabe zu genügen, benötigen sie Informationen über den aktuellen Stand und die Entwicklung des Notfallmanagements. Hierbei ist es wichtig auf Probleme, Erfolge und Verbesserungsmöglichkeiten einzugehen. Die Geschäftsleitung nutzt diese Informationen, um eine Bewertung vorzunehmen und veranlasst eventuell notwendige Korrekturmaßnahmen. In diese Bewertung können folgende Aspekte einfließen:
- Tests- und Übungsergebnisse
- Vorschläge zu Maßnahmen nach bewältigten Notfällen
- Risiken (Restrisiken, akzeptierte Risiken, nicht berücksichtigte Bedrohungen und Schwachstellen)
- Neue Lösungen (Produkte, Verfahren) und Verbesserung der Effektivität (bspw. automatisierte Alarmierung der Personen)
- Alle Änderungen, die Einfluss auf das Notfallmanagement haben könnten (bspw. ausgelagerte Prozesse, geänderte Prozesse)
Die bisher erschienen Beiträge zur Serie Notfallmanagement:
Teil 1: “6 Schritte im Unternehmen”
Teil 2: “Das kritische Potential von Geschäftsprozessen”
Teil 3: “Notfallvorsorge”
Teil 4: “Notfallbewältigung”
Teil 5: “Tests und Übungen”
Bild: © Jens Bredehorn / pixelio.de

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.

Neueste Kommentare