DsiN-Blog

Der IT-Sicherheitsblog für den Mittelstand

Tests und Übungen beim Notfallmanagement

Wissen, dass man für den Notfall gerüstet ist

Tests und Übungen beim Notfallmanagement

Teil 5 NotfallmanagementFür das Notfallmanagement liegen alle Dokumente vor, die beschreiben, was zu tun ist und wie die Bewältigung abläuft. Regelungen sind aufgestellt, um Entscheidungen richtig und schnell zu treffen. Doch ob das stimmt, können Tests verifizieren.

 

Ist der Aufwand für Tests und Übungen gerechtfertigt?

Tests und Übungen für das Notfallmanagement sind mit Aufwand und Kosten für ein Unternehmen verbunden. Doch nur hierdurch lässt sich überprüfen, ob die erstellten Dokumente, Abläufe und Regelungen wirklich greifen, um einen Notfall zu bewältigen. Mit Tests und Übungen im Notfallmanagement soll erreicht werden, dass

Sind alle Mitarbeiter, die eine Funktion im Notfall haben, noch im Unternehmen, ist ihre Rufnummer noch aktuell, sind die Räumlichkeiten, die Informationstechnik und weitere Ressourcen noch wie geplant nutzbar?

Kennen alle Mitarbeiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Dokumentation beschrieben ist? Konnten Panik oder überhastete und unüberlegte Reaktionen vermieden werden?
 

  • das Notfallmanagement immer aktuell ist
  • Sind alle Mitarbeiter, die eine Funktion im Notfall haben, noch im Unternehmen, ist ihre Rufnummer noch aktuell, sind die Räumlichkeiten, die Informationstechnik und weitere Ressourcen noch wie geplant nutzbar?
  • die Abläufe im Notfall effizient sind
  • können im Notfall die Prozesse auch wie in den Plänen vorgesehen, angemessen und ohne unnötigen Ressourcenverbrauch ablaufen?
  • die Mitarbeiter für den Notfall trainiert sind
  • Kennen alle Mitarbeiter die Abläufe im Notfall und können sie ohne Hektik und Stress so handeln, wie es in der Dokumentation beschrieben ist? Konnten Panik oder überhastete und unüberlegte Reaktionen vermieden werden?

Test- und Übungsarten

Die Möglichkeiten zur Überprüfung des eigenen Notfallmanagements sind vielfältig. Sie reichen von einfachen Überprüfungen von Einzelmaßnahmen bis hin zu komplexen Übungen. Mit dem steigenden Aufwand ist auch immer eine steigende Verlässlichkeit der gewonnenen Erkenntnisse festzustellen. Im Folgenden werden einige Möglichkeiten gegliedert nach steigendem Aufwand vorgestellt:

Bild zum Teil 5 Notfallmanagement

 
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • Reviews von Plänen und Dokumenten, Planbesprechungen
  • Hierbei werden – häufig anhand konkreter Szenarien – die erarbeiteten Pläne theoretisch durchgespielt und auf ihre Funktionsfähigkeit überprüft.
  • Stabsübungen
  • Hier wird die Zusammenarbeit im Notfallstab geübt.
  • Technische Tests
  • Diese dienen der Überprüfung von redundanten Infrastrukturen wie Server oder Stromversorgung.
  • Simulation von Szenarien
  • Hierbei wird nicht theoretisch diskutiert, sondern es werden Prozesse getestet, etwa darauf hin, wie gut Alarmierung und Eskalation funktionieren.
  • Ernst- oder Vollübungen
  • Hierbei werden alle Beteiligten – auch Rettungskräfte und Behörden – in eine wirklichkeitsnahe Übung einbezogen.

In der Praxis bietet es sich an, zu Beginn mit einfacheren Tests zu starten und sich als Unternehmen sukzessive zu steigern (hin zu Praxistests). Zusätzlich sollten die Tests der technischen Vorsorgemaßnahmen regelmäßig durchgeführt werden (z.B. USV-Test, Rückspielen einer Sicherung, …), um die Funktionsfähigkeit sicherzustellen.

Vorbereitung von Tests und Übungen

Alle Tests und Übungen, die geplant werden, müssen zwingend dokumentiert werden. Im Einzelnen gilt:

  • In einem Übungshandbuch und einem Übungsplan ist zunächst festzulegen, welche Ziele die Institution mit Tests und Übungen verfolgt, welche Tests durchgeführt werden und welche Mitarbeiter in welcher Funktion beteiligt sind. Zudem ist die Häufigkeit und Reihenfolge der Übungen festzulegen.
  • Für jede Testart oder Übung ist ein Konzept zu erarbeiten, das Dauer, Ort, Ziele, Teilnehmende anhand eines Szenarios beschreibt.
  • In einem Übungsdrehbuch wird der zeitliche Ablauf detailliert beschrieben. Eine Tabelle ist ein gutes Hilfsmittel zur Strukturierung.

Tests und Übungen auswerten

Das wichtigste Ziel von Übungen und Tests ist es, die Notfallmaßnahmen zu überprüfen und die getroffenen Regelungen zu verbessern. Dies kann unter Umständen auch dazu führen, dass ein zuvor beschlossenes Konzept angepasst werden muss. Alle Mängel sollten in einem Bericht festgehalten und Empfehlungen ausgesprochen werden. Die Wirksamkeit der daraus abgeleiteten Maßnahmen wird wiederum im nächsten Test oder der nächsten Übung überprüft. Auch kann es sinnvoll sein bei Tests und Übungen externe Unterstützung zu nutzen, um unabhängige und neutrale Rückmeldung zu erhalten.

Im nächsten Beitrag geht es um die „Kontinuierliche Verbesserung“. D.h., um das Notfallmanagement aufrecht zu erhalten und kontinuierlich zu verbessern, müssen zum einen die Vorsorgemaßnahmen umgesetzt sein und die Dokumente laufend aktualisiert werden. Zum anderen muss der Prozess selber auch auf Effizienz und Wirksamkeit überprüft werden.

Die bisher erschienen Beiträge zur Serie Notfallmanagement:

Teil 1: "6 Schritte im Unternehmen"

Teil 2: "Das kritische Potential von Geschäftsprozessen"

Teil 3: "Notfallvorsorge"

Teil 4: "Notfallbewältigung"

Teil 6: "Kontinuierliche Verbesserung"

Bild:  © Jens Bredehorn / pixelio.de

Hat Ihnen dieser Artikel gefallen?
Durchschnitt: 5 (3 Stimmen)
Thema: 
IT-Strategie

Neuen Kommentar schreiben

CAPTCHA
Diese Abfrage dient der Abwehr von Spam. Bitte tragen Sie dazu die 2 gezeigten Wörter in das Textfeld ein.