DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Kon­ti­nu­ier­liche Ver­bes­serung im Not­fall­ma­nagement

Notfallmanagement Teil 6 Lohre

Beim Not­fall­ma­nagement müssen nicht nur ange­messene Vor­sor­ge­maß­nahmen umge­setzt und Doku­mente fort­laufend aktua­li­siert werden, sondern auch der Not­­fal­l­­ma­­nagement-Prozess selbst muss regel­mäßig auf seine Wirk­samkeit und Effi­zienz hin über­prüft werden.

 

Auf­recht­erhaltung

Um die Effek­ti­vität des Not­fall­ma­nage­ments und der umge­setzten Not­fall­vor­sor­ge­maß­nahmen zu erhalten, muss dies kon­ti­nu­ierlich über­wacht, gesteuert und aktua­li­siert werden. Hierfür muss und soll ein Unter­nehmen geeignete Mess- und Bewer­tungs­kri­terien ent­wi­ckeln. Bei­spiele hierfür sind:

  • Anzahl durch­ge­führter Übungen (erfolgreich/nicht erfolg­reich)
  • Anzahl durch­ge­führter Tests (erfolgreich/nicht erfolg­reich)
  • Anzahl auf­ge­tre­tener Not­fälle (davon erfolg­reich bewältigt)
  • Anzahl durch­ge­führter Schu­lungen (Anzahl Teil­nehmer / Anzahl Stunden)
  • erfor­der­liche Zeit zur Alar­mierung des Kri­sen­stabs

Neben der Über­wa­chung und Steuerung des Not­­fal­l­­ma­­nagement-Pro­­zesses spielt die Aktua­lität der Maß­nahmen, ins­be­sondere der Doku­mente, eine ent­schei­dende Rolle. Um deren Aktua­lität auf­recht erhalten zu können, ist das Setzen von Ände­rungs­triggern in ver­schie­denen Geschäfts­pro­zessen not­wendig.

Über­prü­fungen

Nur durch regel­mäßige Über­prü­fungen des Not­fall­ma­nage­ment­pro­zesses und der Not­fall­vor­sor­ge­maß­nahmen kann die Fähigkeit des Unter­nehmens, Not­fälle und Krisen bewäl­tigen zu können, beur­teilt werden. Die Über­prüfung kann auf ver­schie­denen Ebenen erfolgen:

  • Selbst­be­wer­tungen (Self-Asses­s­­ments)
  • Hierbei über­prüfen der Not­fall­be­auf­tragte und sein Unter­stüt­zerteam die kor­rekte Umsetzung der eigenen Vor­gaben, den aktu­ellen Abde­ckungsgrad des Not­fall­ma­nage­ments auf die ein­zelnen Pro­zesse im Unter­nehmen sowie die Effi­zienz und den Rei­fegrad des Not­fall­ma­nage­ments.

  • Unab­hängige interne Revi­sionen
  • Bei einer internen Revision wird ein beson­deres Augenmerk auf die Ein­haltung von internen und externen Richt­linien sowie dem Ver­gleich zu Stan­dards und Best Prac­tices (Com­pliance) gelegt.

  • Externe Revi­sionen
  • Externe Revi­soren werden von außen durch Auf­sichts­organe initiiert. Die Methoden und die Vor­ge­hens­weise sind durch Vor­gaben und Stan­dards der Berufs­ver­bände, wie bei­spiels­weise des IDW (Institut der Wirt­schafts­prüfer in Deutschland e.V.), geregelt.

  • Unab­hängige Zer­ti­fi­zierung
  • Ein Unter­nehmen kann sich ein funk­tio­nie­rendes Not­fall­ma­nagement auch durch eine unab­hängige Stelle zer­ti­fi­zieren lassen. Während der nationale Standard BSI 100–4 nur im Rahmen der Grund­schutz­zer­ti­fi­zierung dar­le­gungs­fähig ist, gibt es mitt­ler­weile auch eine inter­na­tionale Norm, die ISO/IEC 22301.

Infor­ma­ti­ons­fluss und Manage­ment­be­wertung

Die Aufgabe der Geschäfts­leitung ist es, die rich­tigen Ent­schei­dungen bei der Steuerung und Lenkung des Not­­fal­l­­ma­­nagement-Pro­­zesses zu treffen. Um dieser Aufgabe zu genügen, benö­tigen sie Infor­ma­tionen über den aktu­ellen Stand und die Ent­wicklung des Not­fall­ma­nage­ments. Hierbei ist es wichtig auf Pro­bleme, Erfolge und Ver­bes­se­rungs­mög­lich­keiten ein­zu­gehen. Die Geschäfts­leitung nutzt diese Infor­ma­tionen, um eine Bewertung vor­zu­nehmen und ver­an­lasst even­tuell not­wendige Kor­rek­tur­maß­nahmen. In diese Bewertung können fol­gende Aspekte ein­fließen:

  • Tests- und Übungs­er­geb­nisse
  • Vor­schläge zu Maß­nahmen nach bewäl­tigten Not­fällen
  • Risiken (Rest­ri­siken, akzep­tierte Risiken, nicht berück­sich­tigte Bedro­hungen und Schwach­stellen)
  • Neue Lösungen (Pro­dukte, Ver­fahren) und Ver­bes­serung der Effek­ti­vität (bspw. auto­ma­ti­sierte Alar­mierung der Per­sonen)
  • Alle Ände­rungen, die Ein­fluss auf das Not­fall­ma­nagement haben könnten (bspw. aus­ge­la­gerte Pro­zesse, geän­derte Pro­zesse)

Die bisher erschienen Bei­träge zur Serie Not­fall­ma­nagement:

Teil 1: “6 Schritte im Unter­nehmen

Teil 2: “Das kri­tische Potential von Geschäfts­pro­zessen

Teil 3: “Not­fall­vor­sorge

Teil 4: “Not­fall­be­wäl­tigung

Teil 5: “Tests und Übungen

Bild:  © Jens Bre­dehorn / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.