🔥🔥 Don’t Miss Out on Our End of Autumn Sale. If you have any questions, feel free to click the bottom right corner to contact our customer service..

Concat us[email protected]
Shopping Cart

No products in the cart.

🔍
BS 25999-2:2007 (German) 2008

BS 25999-2:2007 (German) 2008

$79.47

Business continuity management – Specification (German translation of BS 25999-2:2007)

Published By Publication Date Number of Pages
BSI 2008 30
PDF Format Searchable Printable Preview Now
Guaranteed Safe Checkout
Categories: ,

If you have any questions, feel free to reach out to our online customer service team by clicking on the bottom right corner. We’re here to assist you 24/7.
Email:[email protected]

PDF Catalog

PDF Pages PDF Title
3 Contents
Vorwort ii
Einleitung 1
1 Anwendungsbereich 4
2 Begriffe 4
3 Planung des betrieblichen Kontinuitätsmanagementsystems 10
4 Verwirklichung und Durchführung des BKMS 13
5 Überwachung und Überprüfung des BKMS 19
6 Aufrechterhaltung und Verbesserung des BKMS 21
Anhänge
Anhange A (informativ) Übereinstimmung zwischen BS EN ISO 9001:2000, BS EN ISO 14001:2004, BS ISO/IEC 27001:2005 23
Bild 1 – Anwendung des PDCA-Zyklus auf BKMS-Prozesse 2
Bild 2 – Der Lebenszyklus des betrieblichen Kontinuitätsmanagements 3
Tabellen
Tabelle A.1 – Übereinstimmung zwischen BS 25999-2 und sonstigen Normen für Managementsysteme 23
4 Vorwort
5 Einleitung
a) Verständnis der Anforderungen an die betriebliche Kontinuität und der Notwendigkeit zur Entwicklung einer Politik und Zielsetzungen zur betrieblichen Kontinuität;
b) Verwirklichung und Betrieb der Lenkungsmaßnahmen zum Management der übergreifenden Risiken im Zusammenhang mit der betrieblichen Kontinuität einer Organisation;
c) Überwachung und Überprüfung der Leistungsfähigkeit und Wirksamkeit des BKMS; und
d) ständige Verbesserung auf der Grundlage objektiver Messungen.
a) eine Politik;
b) Mitarbeiter mit festgelegten Verantwortlichkeiten;
c) Managementprozesse in Bezug auf:
1) Politik;
2) Planung;
3) Verwirklichung und Betrieb;
4) Leistungsbewertung;
5) Managementbewertung; und
6) Verbesserung;
d) Dokumente zum prüfbaren Nachweis; und
e) themenspezifische Prozesse in Bezug auf den Sachgegenstand, in diesem Fall die betriebliche Kontinuität, wie beispielsweise Geschäftsauswirkungsanalyse (GAA) und Entwicklung eines betrieblichen Kontinuitätsplans.
6 Bild 1 Anwendung des PDCA-Zyklus auf BKMS-Prozesse
7 Bild 2 Der Lebenszyklus des betrieblichen Kontinuitätsmanagements
8 1 Anwendungsbereich
2 Begriffe
2.1 Aktivität
2.2 Audit
2.3 betriebliche Kontinuität
9 2.4 betriebliches Kontinuitätsmanagement (BKM)
2.5 Lebenszyklus des betrieblichen Kontinuitätsmanagements
2.6 am betrieblichen Kontinuitätsmanagement beteiligtes Personal
2.7 betriebliches Kontinuitätsmanagementprogramm
2.8 Antwort des betrieblichen Kontinuitätsmanagements
2.9 betriebliches Kontinuitätsmanagementsystem (BKMS)
10 2.10 betrieblicher Kontinuitätsplan (BKP)
2.11 betriebliche Kontinuitätsstrategie
2.12 Geschäftsauswirkungsanalyse (GAA)
2.13 Konsequenz
2.14 Kosten-Nutzen-Analyse
2.15 entscheidende Aktivitäten
2.16 Störung
2.17 Übung
11 2.18 Gewinn
2.19 Auswirkung
2.20 Zwischenfall
2.21 Zwischenfallmanagementplan (ZMP)
2.22 internes Audit
2.23 Aufruf
2.24 Wahrscheinlichkeit
2.25 Verlust
2.26 Managementsystem
12 2.27 maximaler tolerierbarer Störungszeitraum
2.28 Nichtkonformität
2.29 Organisation
2.30 Prozess
2.31 Produkte und Dienstleistungen
2.32 Zielsetzung für die Wiederherstellungszeit
2.33 Widerstandsfähigkeit
2.34 Ressourcen
13 2.35 Risiko
2.36 Risikoeinschätzung
2.37 Risikomanagement
2.38 Teilhaber
2.39 System
2.40 oberste Leitung
14 3 Planung des betrieblichen Kontinuitätsmanagementsystems
3.1 Allgemeines
3.2 Festlegung und Management des BKMS
3.2.1 Anwendungsbereich und Zielsetzungen des BKMS
a) Anforderungen an die betriebliche Kontinuität;
b) Zielsetzungen und Verpflichtungen der Organisation;
c) akzeptable Stufen des Risikos;
d) Verpflichtungen aus Gesetzen, Vorschriften und Verträgen; und
e) Interessen ihrer wichtigsten Teilhaber.
3.2.2 BKM-Politik
a) die Zielsetzungen der Organisation hinsichtlich der betrieblichen Kontinuität; und
b) den Anwendungsbereich der betrieblichen Kontinuität, einschließlich Beschränkungen und Ausschlüsse.
a) von der obersten Leitung genehmigt sein; und
b) allen für die Organisation oder in ihrem Auftrag arbeitenden Personen mitgeteilt werden; und
c) in geplanten Zeitabständen sowie bei Eintreten wichtiger Veränderungen überprüft werden.
15 3.2.3 Bereitstellung von Ressourcen
a) eine Person mit entsprechendem Dienstalter und angemessener Autorität als Verantwortlichen für die BKM-Politik und -Verwirklichung ernennen bzw. nominieren; und
b) eine oder mehrere Personen ernennen, die das BKMS unabhängig von ihren sonstigen Verantwortlichkeiten verwirklichen und aufrechterhalten müssen.
3.2.4 Fähigheit des BKM-Personals
a) Festlegung der notwendigen Fähigkeiten für solche Personen;
b) Durchführung einer Analyse des Schulungsbedarfs für Personen, denen BKM-Rollen und -Verantwortung übertragen wird;
c) Bereitstellung der Schulung;
d) Gewährleistung des Erreichens der notwendigen Fähigkeit; und
e) Führung von Unterlagen über Weiterbildung, Schulung, Fähigkeiten, Erfahrung und Qualifikationen.
3.3 Einbettung des BKM in die Organisationskultur
a) das BKM-Bewusstsein mittels ständiger Weiterbildungs- und Informationsprogramme zum Thema BKM für alle Mitarbeiter gestärkt, …
b) allen Mitarbeitern die Bedeutung folgender Punkte vermittelt wird:
1) Erfüllung der Zielsetzungen zum betrieblichen Kontinuitätsmanagement;
2) Einhaltung der Grundsätze der betrieblichen Kontinuitätspolitik; und
3) ständige Verbesserung; und
c) alle Mitarbeiter sich der Art und Weise bewusst sind, wie sie zum Erreichen der Zielsetzungen der betrieblichen Kontinuität der Organisation beitragen.
16 3.4 BKMS-Dokumentation und -Aufzeichnungen
3.4.1 Allgemeines
a) Anwendungsbereich und Zielsetzungen des BKMS und seiner Verfahren (siehe 3.2.1);
b) BKM-Politik (siehe 3.2.2);
c) Bereitstellung von Ressourcen (siehe 3.2.3);
d) Kompetenz des BKM-Personals und Aufzeichnungen über die zugehörige Schulung (siehe 3.2.4);
e) Geschäftsauswirkungsanalyse (siehe 4.1.1);
f) Risikoeinschätzung (siehe 4.1.2);
g) betriebliche Kontinuitätspolitik (siehe 4.2);
h) Struktur der Antwort auf Zwischenfälle (siehe 4.3.2);
i) betriebliche Kontinuitätspläne und Zwischenfallmanagementpläne (siehe 4.3.3);
j) BKM-Übungen (siehe 4.4.2);
k) Aufrechterhaltuing und Überprüfung der BKM-Vorkehrungen (siehe 4.4.3);
l) internes Audit (siehe 5.1);
m) Managementüberprüfung des BKMS (siehe 5.2);
n) Vorbeugungs- und Korrekturmaßnahmen (siehe 6.1); und
o) ständige Verbesserung (siehe 6.2).
3.4.2 Lenkung der BKMS-Aufzeichnungen
a) ihre Lesbarkeit, schnelle Kennzeichnung und Abrufbarkeit zu gewährleisten; und
b) ihre Kennzeichnung, Speicherung sowie ihren Schutz und Abruf zu lenken.
17 3.4.3 Lenkung der BKMS-Dokumentation
a) Dokumente vor ihrer Ausgabe im Hinblick auf ihre Angemessenheit genehmigt werden;
b) Dokumente überprüft und bei Bedarf aktualisiert und erneut genehmigt werden;
c) Änderungen und der aktuelle Änderungsstatus von Dokumenten festgestellt werden;
d) relevante Versionen geltender Dokumente zum Gebrauchszeitpunkt verfügbar sind;
e) Dokumente externen Ursprungs identifiziert werden und ihre Verteilung gelenkt wird; und
f) die unbeabsichtigte Verwendung überflüssig gewordener Dokumente verhindert wird und solche Dokumente bei ihrer Aufbewahrung zu einem beliebigen Zweck in geeigneter Weise gekennzeichnet werden.
4 Verwirklichung und Durchführung des BKMS
4.1 Verstehen der Organisation
4.1.1 Geschäftsauswirkungsanalyse
a) Aktivitäten zur Unterstützung ihrer wichtigsten Produkte und Dienstleistungen kennzeichnen;
b) die Auswirkungen aufgrund der Störung dieser Aktivitäten kennzeichnen und bestimmen, wie sich diese mit der Zeit ändern;
c) den maximalen tolerierbaren Störungszeitraum für jede Aktivität durch Kennzeichnung folgender Punkte festlegenlegen:
1) den maximalen Zeitraum nach Beginn einer Störung, innerhalb dessen jede Aktivität wiederaufgenommen sein muss;
2) die Mindeststufe, auf der jede Aktivität nach ihrer Wiederaufnahme durchgeführt werden muss; und
18 3) den Zeitraum, innerhalb dessen die normalen Betriebsstufen wiederaufgenommen sein müssen;
d) ihre Aktivitäten entsprechend deren Priorität hinsichtlich ihrer Wiederaufnahme kategorisieren und ihre Aktivitäten festlegen;
e) alle Abhängigkeiten in Bezug auf die entscheidenden Aktivitäten, einschließlich Zulieferern und Outsourcing-Partnern kennzeichnen;
f) für Zulieferer und Outsourcing-Partner, von denen entscheidende Aktivitäten abhängen, die BCM-Vorkehrungen bestimmen, für die von ihnen bereitgestellten Produkte und Dienstleistungen zur Verfügung gestellt werden;
g) Zielsetzungen für die Wiederaufnahmezeit für die entscheidenden Aktivitäten innerhalb ihres maximalen tolerierbaren Störungszeitraums festlegen; und
h) eine Schätzung der von jeder entscheidenden Aktivität für ihre Wiederaufnahme benötigten Ressourcen treffen.
4.1.2 Risikoeinschätzung
4.1.3 Festlegung von Wahlmöglichkeiten
a) die Wahrscheinlichkeit einer Störung verringern;
b) den Störungszeitraum verkürzen; und
c) die Auswirkungen einer Störung auf die wichtigsten Produkte und Dienstleistungen der Organisation minimieren.
4.2 Festlegung einer betrieblichen Kontinuitätsstrategie
19 a) eine geeignete, vordefinierte und dokumentierte Antwortstruktur für Zwischenfälle definieren, die ihr eine wirksame Antwort und die Wiederherstellung ihrer Aktivitäten im Anschluss an Störungen gestattet;
b) eine Strategie zur Wiederaufnahme jeder entscheidenden Aktivität innerhalb ihrer Zielsetzungen für die Wiederaufnahmezeit und…
c) das Management ihrer Beziehungen zu ihren wichtigsten Teilhabern und externen Parteien bestimmen, die an der Wiederaufnahme der Geschäftsaktivitäten beteiligt sind.
4.3 Entwicklung und Verwirklichung einer BKM-Antwort
4.3.1 Allgemeines
4.3.2 Zwischenfallantwortstruktur
a) Bestätigung von Natur und Ausmaß eines Zwischenfalls;
b) Auslösung einer angemessenen Antwort zur betrieblichen Kontinuität;
c) Vorhandensein von Plänen, Prozessen und Verfahren zu Aktivierung, Durchführung, Koordination und Kommunikation der Antwort auf den Zwischenfall;
d) Verfügbarkeit der Ressourcen zur Unterstützung der Pläne, Prozesse und Verfahren zum Management eines Zwischenfalls; und
e) Kommunikation mit den Teilhabern.
20 4.3.3 Betriebliche Kontinuitätspläne und Zwischenfallmanagementpläne
a) einen definierten Zweck und Anwendungsbereich haben;
b) zugänglich und von den ihn verwendenden Personen verstanden worden sein;
c) einer benannten Person oder mehrerer benannter Personen zugeordnet sein, die für seine Prüfung, Aktualisierung und Genehmigung verantwortlich ist (sind); und
d) mit den relevanten Notfallvorkehrungen außerhalb der Organisation abgestimmt sein.
a) gekennzeichnete Kommunikationswege;
b) Schlüsselaufgaben und Referenzinformationen;
c) definierte Rollen und Verantwortlichkeiten für Personen und Teams mit bestimmten Befugnissen während eines Zwischenfalls oder im Anschluss an einen Zwischenfall;
d) Richtlinien und Kriterien in Bezug auf die Personen mit der Befugnis zum Aufruf jedes Plans und unter welchen Umständen;
e) eine Methode zum Aufruf jedes Plans;
f) Treffpunkte mit Alternativen sowie aktuelle Kontakt- und Mobilisierungsangaben für zuständige Behörden, Organisationen und Ressourcen, die zur Unterstützung der Antwort auf den Zwischenfall erforderlich sein könnten;
g) einen Prozess zur Deeskalierung nach der Beendigung des Zwischenfalls;
h) einen Bezug auf wesentliche Kontaktangaben für alle wichtigen Teilhaber;
i) Angaben zum Management der unmittelbaren Konsequenzen einer Geschäftsstörung mit angemessener Berücksichtigung der:
1) Wohlsein von Einzelpersonen;
2) strategischen und operationellen Optionen zur Antwort auf die Störung; und
3) Vorbeugung weiterer Verluste oder der Nichtverfügbarkeit entscheidenden Aktivitäten;
j) Angaben zum Management eines Zwischenfalls, einschließlich:
1) Vorkehrungen zum Management von Problemen während eines Zwischenfalls; und
2) Prozesse zur Gestattung der Kontinuität und Wiederherstellung entscheidender Aktivitäten;
21 k) Angaben über die Methoden und Umstände der Kommunikation der Organisation mit Mitarbeitern und ihren Angehörigen sowie mit wichtigen Teilhabern und Rettungsdiensten;
l) Angaben zur Medienantwort der Organisation im Anschluss an einen Zwischenfall, einschließlich:
1) Kommunikationsstrategie für den Zwischenfall;
2) bevorzugte Schnittstelle mit den Medien;
3) Richtlinie bzw. Vorlage zum Entwurf einer Erklärung für die Medien; und
4) angemessene Organisationssprecher;
m) eine Methode zur Aufzeichnung von bedeutenden Informationen über den Zwischenfall sowie die getroffenen Maßnahmen und Entscheidungen;
n) Angaben zu durchzuführenden Maßnahmen und Aufgaben;
o) Angaben zu den zum Zweck der betrieblichen Kontinuität und-wiederherstellung zu unterschiedlichen Zeitpunkten erforderlichen Ressourcen; und
p) Prioritätenliste der Zielsetzungen hinsichtlich der entscheidenden wiederaufzunehmenden Aktivitäten, Zeitrahmen für eine solche Wiederaufnahme und Wiederaufnahmestufen für jede wichtigste Aktivität.
4.4 Übung, Aufrecherhaltung und Überprüfung von BKM-Vorkehrungen
4.4.1 Allgemeines
4.4.2 BKM-Übungen
a) Übungen entwickeln, die dem Anwendungsbereich des BKMS entsprechen;
b) ein Programm von ihrer obersten Leitung genehmigen lassen, um sicherzustellen, dass die Übungen in planmäßigen Zeitintervallen sowie bei Eintreten von signifikanten Veränderungen durchgeführt werden;
22 c) eine Reihe unterschiedlicher Übungen durchführen, die gemeinsam die Gesamtheit aller ihrer Vorkehrungen zur betrieblichen Kontinuität validieren;
d) Übungen planen, mit dem Ziel der Minimierung des Risikos des Eintretens eines Zwischenfalls als direktes Ergebnis der Übung;
e) die Zielsetzungen jeder Übung definieren;
f) im Anschluss an jede Übung eine Prüfung zur Beurteilung des Erreichens der Zielsetzungen der Übung durchführen; und
g) einen schriftlichen Bericht über die Übung mit Ergebnis, Rückmeldung und erforderlichen Maßnahmen erstellen.
4.4.3 Aufrechterhaltung und Überprüfung der BKM-Vorkehrungen
a) Kennzeichnung der Natur und Ursache des Zwischenfalls;
b) Beurteilung der Angemessenheit der Managementantwort;
c) Beurteilung der Wirksamkeit der Organisation hinsichtlich des Erreichens ihrer Zielsetzungen für die Wiederherstellungszeit;
d) Beurteilung der Angemessenheit der BKM-Vorkehrungen bei der Vorbereitung der Mitarbeiter auf den Zwischenfall; und
e) Kennzeichnung von in Bezug auf die BKM-Vorkehrungen zu treffenden Verbesserungen.
23 5 Überwachung und Überprüfung des BKMS
5.1 Internes Audit
a) Feststellung, ob das BKMS:
b) den geplanten Vorkehrungen für das BKM entspricht, einschließlich den Anforderungen dieser BKM-Norm; und
c) ordentlich verwirklicht und aufrecherhalten wird; und
d) die BKM-Politik und -Zielsetzungen der Organisation wirksam erfüllt; und
e) Informationen zu den Ergebnissen von Audits an das Management liefert.
a) die Verantwortlichkeiten, Fähigkeiten und Anforderungen an die Planung und Durchführung von Audits sowie die Berichterstattung von Ergebnissen und die Aufbewahrung zugehöriger Aufzeichnungen und Berichte; und
b) die Festlegung von Kriterien, Anwendungsbereich, Häufigkeit und Methoden von Audits.
5.2 Managementbewertung des BKMS
5.2.1 Allgemeines
24 5.2.2 Eingaben für die Bewertung
a) Ergebnisse der BKMS-Audits und -Überprüfungen, einschließlich der BKMS-Audits und -Überprüfungen der wichtigsten Zulieferer und Outsourcing-Partner (falls zutreffend);
b) Rückmeldung von interessierten Parteien, einschließlich unabhängiger Beobachtungen bzw. Feststellungen;
c) Techniken, Produkte oder Verfahren, die in der Organisation zwecks Verbesserung ihrer BKMS-Leistungsfähigkeit und -Wirksamkeit verwendet werden könnten;
d) Status von Vorbeugungs- und Korrekturmaßnahmen;
e) Stufe des Restrisikos und akzeptablen Risikos;
f) verwundbare Stellen oder Bedrohungen, die von der vorhergegangenen Risikoeinschätzung nicht angemessen berücksichtigt wurden;
g) Folgemaßnahmen im Anschluss an frühere Managementbewertungen;
h) mögliche interne oder externe Veränderungen, die einen Einfluss auf das BKMS haben könnten;
i) Empfehlungen für Verbesserungsmaßnahmen;
j) Ergebnisse von Übungen;
k) in der Entstehung befindliche gute Praxis und Richtlinien;
l) Lektionen aus Zwischenfällen; und
m) Ergebnisse des Schulungsprogramms zu Weiterbildung und Bewusstsein.
5.2.3 Ergebnisse der Bewertung
a) Schwankungen des Anwendungsbereichs des BKMS;
b) Verbesserung der Wirksamkeit des BKMS;
c) Modifizierung der BKM-Strategie und -Verfahren nach Bedarf zur Antwort auf interne oder externe Ereignisse, die Auswirkungen auf das BKMS haben könnten, einschließlich Veränderungen folgender Punkte:
1) Geschäftsanforderungen;
2) Anforderungen an die Widerstandsfähigkeit;
25 3) Geschäftsprozesse mit Auswirkungen auf die vorhandenen Geschäftsanforderungen;
4) Anforderungen aus Gesetzen, Vorschriften und Verträgen; und
5) Stufen des Risikos und/oder der Risikoakzeptanz;
d) Bedarf an Ressourcen; und
e) Finanzmittelbeschaffung und Budgetanforderungen.
6 Aufrechterhaltung und Verbesserung des BKMS
6.1 Vorbeugungs- und Korrekturmaßnahmen
6.1.1 Allgemeines
6.1.2 Vorbeugungsmaßnahmen
a) Feststellung potenzieller Nichtkonformitäten und ihrer Ursachen;
b) Festlegung und Verwirklichung der erforderlichen Vorbeugungsmaßnahmen;
c) Aufzeichnung der Ergebnisse der getroffenen Maßnahmen;
d) Überprüfung der getroffenen Vorbeugungsmaßnahmen;
e) Feststellung von veränderten Risiken und Gewährleistung, dass die Organisation ihre Aufmerksamkeit auf stark veränderte Risiken lenkt;
f) Gewährleistung, dass alle betroffenen Personen über die Nichtkonformitäten informiert werden und alle Vorbeugungsmaßnahmen getroffen worden sind; und
g) Gewährleistung, dass die Priorität der Vorbeugungsmaßnahmen auf den Ergebnissen der Risikobewertung und GAA basiert.
26 6.1.3 Korrekturmaßnahmen
a) Feststellung von Nichtkonformitäten;
b) Feststellung der Ursachen für die Nichtkonformitäten;
c) Beurteilung der Notwendigkeit zur Einleitung entsprechender Maßnahmen zur Gewährleistung der Verhinderung des erneuten Auftretens der Nichtkonformitäten;
d) Feststellung und Verwirklichung der erforderlichen Korrekturmaßnahmen;
e) Aufzeichnung der Ergebnisse der getroffenen Maßnahmen; und
f) Überprüfung der getroffenen Korrekturmaßnahmen.
6.2 Ständige Verbesserung
27 Anhange A (informativ) Übereinstimmung zwischen BS EN ISO 9001:2000, BS EN ISO 14001:2004, BS ISO/IEC 27001:2005
Tabelle A.1 Übereinstimmung zwischen BS 25999-2 und sonstigen Normen für Managementsysteme
28 Tablelle A.1 Entsprechung von BS 25999-2 mit sonstigen Normen für Managementsysteme (Forts.)
29 Literaturhinweise
[1] OECD. OECD Guidelines for the Security of Information Systems and Networks – Towards a Culture of Security (Richtlinien für …

Related products

BS 25999-2:2007 (German) 2008
$79.47