(it) notfallmanagement im unternehmen und in der ehörde ...it... · s e i t e | 3 (it)...
TRANSCRIPT
S e i t e | 3
(IT) Notfallmanagement
im Unternehmen und in der Behörde
Planung, Umsetzung und Dokumentation
gemäß BSI-Standard 100-4, ISO 22301 und
BCI-GPG 2013
Praxisleitfaden für eine softwaregestützte Implementierung
eines unternehmensweiten Notfallmanagementsystems
mit DocSetMinder®
Krzysztof M. Paschke
4 | S e i t e
Weitere Informationen zum Thema Prozesse, Governance Risk und Compliance, Compliance
Management Software DocSetMinder® finden Sie auf folgenden Internetseiten:
www.docsetminder.de
www.grc-partner.de
Alle Informationen und Anwendungen in dieser Publikation wurden nach bestem Wissen zu-
sammengestellt und mit größter Sorgfalt kontrolliert. Trotzdem können Fehler nicht vollständig
ausgeschlossen werden. Autor und Verlag können für fehlerhafte Angaben und deren Folgen
weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Verwendete Be-
zeichnungen, Markennamen und Produktbezeichnungen unterliegen im Allgemeinen warenzei-
chen-, marken- oder patentrechtlichem Schutz.
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;
detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.
ISBN 978-3-7322-7418-5
© 2013 Krzysztof M. Paschke
Herstellung und Verlag: Books on Demand GmbH, Norderstedt
Lektorat: Wirtschaftsinformatikerin (BA) Sigrid Paschke
Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Jegliche
Vervielfältigung oder Verbreitung, ganz oder teilweise, ist verboten. Kein Teil der Dokumentati-
on darf ohne schriftliche Genehmigung des Autors in irgendeiner Form durch Fotokopie, Mikro-
film oder andere Verfahren reproduziert oder in eine für Maschinen, insbesondere Datenverar-
beitungsanlagen, verwendbare Sprache übertragen werden.
S e i t e | 5
Vorwort
Grundvoraussetzung für die Konzeption und Umsetzung einer unternehmens-
weiten Notfallvorsorge und -bewältigung ist die genaue Kenntnis der involvier-
ten Mitarbeiter und Führungskräfte über die Unternehmensorganisation und
Ressourcen. Ein bestimmter Teil der Prozesse und Ressourcen, die in organisa-
torischen Einheiten zusammen gefasst sind, sind von existenzieller Bedeutung
für das Unternehmen und die Behörde. Im Rahmen deren kritischer Betrach-
tung, auch als Business Impact Analyse (BIA) bezeichnet, werden die wert-
schöpfenden Prozesse und beteiligten Ressourcen ermittelt und in der Notfall-
vorsorge besonders behandelt. Bei der Betrachtung der Ressourcen steht die
IT-Infrastruktur im Vordergrund. Generell kann behauptet werden, dass heut-
zutage nahezu alle Geschäftsprozesse eines Unternehmens oder einer Behörde
durch die IT-Infrastruktur (Hardware, Software) abgebildet und gesteuert wer-
den. Von ihrer Verfügbarkeit und Zuverlässigkeit hängt die Leistungserstellung
des Unternehmens und der Behörde ab. Ein weiterer Aspekt des betrieblichen
Kontinuitätsmanagements ist die Identifizierung von Risiken, die zur Beein-
trächtigung oder zum Ausfall der wertschöpfenden Prozesse und Ressourcen
führen können. Im Rahmen der Risikoanalyse werden mögliche Ursachen,
Auswirkungen, Eintrittswahrscheinlichkeiten und Folgen bestimmt. Die Ergeb-
nisse der Business Impact- und Risikoanalyse sind ausschlaggebend für den
Umfang und Inhalt des Notfallvorsorgekonzeptes. Ergebnisse der Notfallvor-
sorge sind die umgesetzten Notfallvorsorgemaßnahmen und eine strukturierte
Notfallbewältigung. Klar definierte Alarmierung, Sofortmaßnahmen und Eska-
lationsschritte für unterschiedliche Notfallszenarien werden im Notfallhand-
buch dokumentiert und den Notfallteams und Mitarbeitern zur Verfügung
gestellt. Der vorliegende Praxisleitfaden beschreibt eine systematische Vorge-
hensweise für die Umsetzung und Etablierung einer effektiven und effizienten
Notfallorganisation im Rahmen eines Projektes. Die beschriebene Methodik
eignet sich sowohl für produzierende Unternehmen, für Behörden als auch für
Non-Profit Organisationen. Sie berücksichtigt die Aufbau- und Ablauforganisa-
tion, die vorhandene IT-Infrastruktur und die Ressourcen des Unternehmens
6 | S e i t e
und der Behörde. Die Dokumentation spielt im Verlauf des Projektes eine be-
sondere Rolle. Die Bedeutung ihrer Vollständigkeit und Aktualität wird häufig
unterschätzt. Sie dient dem Nachweis sowie als Kommunikationsmedium der
getroffenen organisatorischen und technischen Maßnahmen. Durch den Ein-
satz der Compliance Management Software DocSetMinder® kann die Umset-
zung und Etablierung, Verbesserung, Dokumentation und Prüfung des unter-
nehmensweiten Notfallmanagements sehr effizient und effektiv realisiert wer-
den.
S e i t e | 7
Inhaltsverzeichnis 1 Ziel und Aufbau des Buches ................................................................ 19
2 Notfallmanagement – Motivation ....................................................... 25
2.1 Betriebliches Kontinuitätsmanagement ............................................ 25
2.2 Grundprinzip ...................................................................................... 28
3 DocSetMinder - Software .................................................................... 30
3.1 Notfallmanagement- und Projektdokumentation ............................. 30
3.2 DocSetMinder® - Module und Nutzen .............................................. 31
3.2.1 DocSetMinder® - Modul „Unternehmensorganisation“ ............ 31
3.2.2 DocSetMinder® - Modul „IT-Dokumentation“ ........................... 32
3.2.3 DocSetMinder® - (IT-)Notfallmanagement ................................ 33
3.2.4 DocSetMinder® - Modul „IT-Grundschutz“ ................................ 34
3.2.5 DocSetMinder® - Modul „ISMS gemäß ISO/IEC 27001“ ............ 34
4 Gesetzliche Grundlagen ...................................................................... 35
5 Standards und Normen ....................................................................... 42
5.1 Bereich - Unternehmensorganisation ............................................... 44
5.2 Bereich - IT-Organisation ................................................................... 45
5.2.1 IT-Governance ........................................................................... 46
5.2.1.1 CobiT ...................................................................................... 47
5.2.1.2 ITIL ......................................................................................... 49
5.2.2 ISO/IEC 20000 ............................................................................ 50
5.2.3 ISO/IEC 27001 und ISO/IEC 27002 ............................................. 52
5.2.4 IDW Prüfungsstandards ............................................................. 53
5.2.4.1 IDW PS 330 ............................................................................ 54
5.2.4.2 IDW PS 951 ............................................................................ 56
5.2.5 ISAE 3402 ................................................................................... 57
5.2.6 IT-Dokumentation...................................................................... 58
5.3 Bereich - Notfallmanagement ........................................................... 59
5.3.1 BSI-Standards ............................................................................. 60
5.3.2 Umsetzungsrahmenwerk nach BSI-Standard 100-4 .................. 62
8 | S e i t e
5.3.3 BS 25999-1 /-2 ........................................................................... 62
5.3.4 Kerntechnischer Ausschuss (KTA) ............................................. 63
5.3.5 DIN EN ISO 14001 ...................................................................... 64
5.3.6 BS OHSAS 18001 ........................................................................ 65
5.3.7 ISO 22301 und ISO 22313 .......................................................... 65
5.3.8 Good Practice Guidelines (GPG) ................................................ 66
5.3.9 ISO 31000 .................................................................................. 68
6 Dokumentation ................................................................................... 69
6.1 Verweise auf Standards zum Thema „Dokumentation“ ................... 69
6.2 Dokumentationslösung im Notfallmanagement ............................... 70
6.3 Aufbau der Dokumentation .............................................................. 71
6.4 Aspekte der Dokumentation ............................................................. 73
6.5 Eigenschaften einer Dokumentations-Software ............................... 76
6.6 Dokumentationsrichtlinie .................................................................. 79
6.6.1 Redaktion................................................................................... 81
6.6.2 Dokumentenlenkung und Informationsmanagement .............. 83
6.6.3 Detaillierungsgrad und Tiefe der Dokumentation..................... 85
6.6.4 Aktualisierung und Fortführung der Dokumentation ............... 88
6.6.5 Systematik der Dokumentation ................................................. 90
6.6.6 Kennzeichnung der Dokumente ................................................ 92
6.6.7 Dateiformat ............................................................................... 93
6.6.8 Namenskonventionen ............................................................... 93
6.7 Darstellungsmethoden und Notationen ........................................... 97
6.7.1 DIN ............................................................................................. 98
6.7.2 EPK ........................................................................................... 100
6.7.3 BPMN ....................................................................................... 102
6.7.4 UML ......................................................................................... 103
6.8 Lebenszyklus der Dokumentation und verwendete Methoden ..... 106
6.8.1 S.M.A.R.T. ................................................................................ 106
6.8.2 Magisches Dreieck ................................................................... 108
6.8.3 Deming-Kreis ........................................................................... 109
S e i t e | 9
7 Projekt „Notfallmanagement“ ........................................................... 112
7.1 Verweise auf Standards zum Thema „Projektmanagement“ .......... 112
7.2 Projektmethodik und Softwareunterstützung ................................ 113
7.3 Wind Seeker AG ............................................................................... 113
7.4 Geltungsbereich............................................................................... 117
7.5 Meilensteine des Notfallmanagement-Projektes............................ 118
7.6 Meilenstein 1 „Projektmanagement“.............................................. 122
7.6.1 Ziel ........................................................................................... 122
7.6.2 Beschreibung und Definitionen ............................................... 123
7.6.2.1 Initialisierung ....................................................................... 124
7.6.2.2 Definition ............................................................................. 124
7.6.2.3 Planung ................................................................................ 124
7.6.2.4 Steuerung ............................................................................ 125
7.6.2.5 Abschluss ............................................................................. 125
7.6.3 Umsetzung mit DocSetMinder® .............................................. 125
7.6.3.1 Projektorganisation ............................................................. 129
7.6.3.2 Dokumentationsrichtlinie .................................................... 129
7.7 Unternehmensorganisation (Zusammenfassung) ........................... 133
7.7.1 Verweise auf Standards zum Thema
„Unternehmensorganisation“ ................................................................. 134
7.8 Meilenstein 2 „Unternehmensorganisation“ .................................. 136
7.8.1 Vorgang 1 „Aufbauorganisation“ ............................................ 136
7.8.1.1 Ziel ....................................................................................... 136
7.8.1.2 Beschreibung und Definitionen ........................................... 136
7.8.1.3 Inhalt der Dokumentation ................................................... 141
7.8.1.4 Umsetzung mit DocSetMinder® .......................................... 143
7.8.1.4.1 Schritt 1: Modellierung .................................................. 146
7.8.1.4.2 Schritt 2: Organigramme ............................................... 147
7.8.1.4.3 Schritt 3: Unternehmensstammdaten........................... 149
7.8.1.4.4 Schritt 4: Betriebsstätten und Repräsentanzen ............ 149
10 | S e i t e
7.8.1.4.5 Schritt 5: Abteilungen .................................................... 150
7.8.1.4.6 Schritt 6: Stellenbeschreibungen .................................. 151
7.8.1.4.7 Schritt 7: Mitarbeiter ..................................................... 152
7.8.1.4.8 Schritt 8: Beauftragte .................................................... 153
7.8.1.4.9 Schritt 9: Fremde Dritte................................................. 154
7.8.1.4.10 Schritt 9: Blaulichtorganisationen ............................... 155
7.8.1.4.11 Schritt 10: Prüfer ......................................................... 155
7.8.1.5 Dokumentationshinweis...................................................... 155
7.9 Meilenstein 2 „Unternehmensorganisation“ .................................. 160
7.9.1 Vorgang 2 „Ablauforganisation“ ............................................. 160
7.9.1.1 Ziel ....................................................................................... 160
7.9.1.2 Beschreibung und Definitionen ........................................... 160
7.9.1.3 Inhalt der Dokumentation ................................................... 167
7.9.1.3.1 Methoden der Ist-Aufnahme ........................................ 169
7.9.1.3.2 Wertschöpfungskette .................................................... 169
7.9.1.4 Umsetzung mit DocSetMinder® .......................................... 180
7.9.1.4.1 Schritt 1: Dokumentation der Prozesslandkarte ........... 183
7.9.1.4.2 Schritt 2: Dokumentation der Prozesse Ebene 1........... 183
7.9.1.4.3 Schritt 3: Dokumentation der Prozesse Ebene n .......... 184
7.9.1.5 Dokumentationshinweis...................................................... 185
7.10 Meilenstein 2 „Unternehmensorganisation“ .................................. 188
7.10.1 Vorgang 3 „Richtlinien“ ........................................................... 188
7.10.1.1 Ziel ....................................................................................... 188
7.10.1.2 Verweise auf Standards zum Thema „Richtlinien“ .............. 189
7.10.1.3 Beschreibung und Definitionen ........................................... 190
7.10.1.4 Inhalt der Dokumentation ................................................... 193
7.10.1.5 Umsetzung mit DocSetMinder® .......................................... 196
S e i t e | 11
7.10.2 Vorgang 4 „Verträge“ .............................................................. 197
7.10.2.1 Ziel ....................................................................................... 197
7.10.2.2 Beschreibung und Definitionen ........................................... 198
7.10.2.3 Inhalt der Dokumentation ................................................... 200
7.10.2.4 Umsetzung mit DocSetMinder® .......................................... 203
7.10.3 Vorgang 5 „Versicherungen“ ................................................... 203
7.10.3.1 Ziel ....................................................................................... 203
7.10.3.2 Verweise auf Standards zum Thema „Versicherungen“...... 204
7.10.3.3 Beschreibung und Definitionen ........................................... 205
7.10.3.4 Inhalt der Dokumentation ................................................... 205
7.10.3.5 Umsetzung mit DocSetMinder® .......................................... 206
7.11 Meilenstein 3 „IT-Verbund“............................................................. 208
7.11.1 Ziel ........................................................................................... 208
7.11.2 Verweise auf Standards ........................................................... 208
7.11.3 Motivation für die Erstellung der IT-Dokumentation .............. 209
7.11.4 Inventarisierungs-Tools für die IT-Infrastruktur ...................... 210
7.11.5 Inhalt der IT-Dokumentation ................................................... 212
7.11.5.1 IT-Infrastruktur .................................................................... 213
7.11.5.2 IT-Betrieb ............................................................................. 214
7.11.5.3 IT-Notfallmanagement ........................................................ 214
7.11.5.4 IT-Sicherheit ......................................................................... 214
7.11.5.5 IT-Konzepte .......................................................................... 215
7.11.5.6 IT-Projekte ........................................................................... 216
7.11.6 IT-Infrastruktur - Methoden der Dokumentation ................... 216
7.11.6.1 Dokumentation der IT-Infrastruktur gemäß BSI .................. 216
7.11.6.2 Dokumentation der IT-Infrastruktur, alternative Methode 217
7.11.7 Vorgang 1 - Gebäude und Räume............................................ 224
7.11.7.1 Ziel ....................................................................................... 224
7.11.7.2 Beschreibung und Definitionen ........................................... 224
7.11.7.3 Inhalt der Dokumentation ................................................... 226
7.11.7.4 Umsetzung mit DocSetMinder® .......................................... 227
12 | S e i t e
7.11.7.5 Dokumentationshinweis...................................................... 231
7.11.8 Vorgang 2 – IT-Infrastruktur .................................................... 231
7.11.8.1 Ziel ....................................................................................... 231
7.11.8.2 Beschreibung und Definitionen ........................................... 231
7.11.8.2.1 Passive Netzwerkkomponenten - Verkabelung .......... 231
7.11.8.2.2 Passive Netzwerkkomponenten - Rack-Schränke ....... 234
7.11.8.2.3 Passive Netzwerkkomponenten - USV ........................ 235
7.11.8.2.4 Aktive Netzwerkkomponenten .................................. 235
7.11.8.2.5 Server .......................................................................... 236
7.11.8.2.6 Massenspeicher und Datensicherungssysteme .......... 237
7.11.8.2.7 Drucker und Peripherie-Geräte ................................... 238
7.11.8.2.8 Arbeitsplätze ............................................................... 239
7.11.8.2.9 Betriebssysteme und Dienste...................................... 239
7.11.8.2.10 Betriebssystemnahe Software .................................. 239
7.11.8.2.11 Berechtigung ............................................................. 240
7.11.8.3 Inhalt der Dokumentation ................................................... 241
7.11.8.4 Umsetzung mit DocSetMinder® .......................................... 246
7.11.8.5 Dokumentationshinweis...................................................... 252
7.11.9 Vorgang 3 - Geschäftsanwendungen ...................................... 254
7.11.9.1 Ziel ....................................................................................... 254
7.11.9.2 Beschreibung und Definitionen ........................................... 254
7.11.9.3 Inhalt der Dokumentation ................................................... 257
7.11.9.4 Umsetzung mit DocSetMinder® .......................................... 259
7.12 Meilenstein 4 „(IT) Notfallmanagement“ ........................................ 260
7.12.1 Notfallmanagement-Prozess ................................................... 260
7.12.1.1 Ziel ....................................................................................... 260
7.12.1.2 Verweise auf Standards ....................................................... 260
S e i t e | 13
7.12.1.3 Beschreibung und Definitionen ........................................... 261
7.12.1.4 Inhalt der Dokumentation ................................................... 264
7.12.1.5 Umsetzung mit DocSetMinder® .......................................... 264
7.12.2 Vorgang 1 - Notfall-Aufbauorganisation.................................. 264
7.12.2.1 Ziel ....................................................................................... 264
7.12.2.2 Verweise auf Standards ....................................................... 265
7.12.2.3 Beschreibung und Definitionen ........................................... 265
7.12.2.4 Inhalt der Dokumentation ................................................... 279
7.12.2.5 Umsetzung mit DocSetMinder® .......................................... 280
7.12.3 Vorgang 2 - Business Impact Analyse (BIA) ............................. 282
7.12.3.1 Ziel ....................................................................................... 282
7.12.3.2 Verweise auf Standards ....................................................... 283
7.12.3.3 Beschreibung und Definitionen ........................................... 283
7.12.3.4 Inhalt der Dokumentation ................................................... 301
7.12.3.5 Umsetzung mit DocSetMinder® .......................................... 303
7.12.3.6 Dokumentationshinweis ...................................................... 305
7.12.4 Vorgang 3 - Risikoanalyse ........................................................ 305
7.12.4.1 Ziel ....................................................................................... 305
7.12.4.2 Verweise auf Standards ....................................................... 306
7.12.4.3 Beschreibung und Definitionen ........................................... 307
7.12.4.3.1 Risikoidentifikation ...................................................... 311
7.12.4.3.2 Risikoanalyse und -bewertung .................................... 319
7.12.4.3.3 Risikobehandlung ........................................................ 323
7.12.4.4 Inhalt der Dokumentation ................................................... 327
7.12.4.5 Umsetzung mit DocSetMinder® .......................................... 328
7.12.4.6 Dokumentationshinweis ...................................................... 329
7.12.5 Vorgang 4 - Kontinuitätsstrategie ............................................ 330
7.12.5.1 Ziel ....................................................................................... 330
7.12.5.2 Verweise auf Standards ....................................................... 330
7.12.5.3 Beschreibung und Definitionen ........................................... 331
14 | S e i t e
7.12.5.3.1 Kosten-Nutzen-Analyse ............................................... 333
7.12.5.3.2 Kosten des Systemausfalls .......................................... 335
7.12.5.3.3 Kosten der Maßnahmen .............................................. 337
7.12.5.3.4 Auswahl der passenden Kontinuitätsstrategie ........... 339
7.12.5.4 Inhalt der Dokumentation ................................................... 343
7.12.5.5 Umsetzung mit DocSetMinder® .......................................... 344
7.12.5.6 Dokumentationshinweis...................................................... 345
7.12.6 Vorgang 5 - Notfallvorsorgekonzept ....................................... 346
7.12.6.1 Ziel ....................................................................................... 346
7.12.6.2 Verweise auf Standards ....................................................... 346
7.12.6.3 Beschreibung und Definitionen ........................................... 347
7.12.6.3.1 Definition einer Störung und eines Notfalls ................ 349
7.12.6.3.2 Definition einer Krise und einer Katastrophe.............. 350
7.12.6.4 Inhalt der Dokumentation ................................................... 351
7.12.6.5 Umsetzung mit DocSetMinder® .......................................... 353
7.12.6.6 Dokumentationshinweis...................................................... 353
7.12.7 Vorgang 6 - Notfall-Ablauforganisation ................................... 354
7.12.7.1 Ziel ....................................................................................... 354
7.12.7.2 Verweise auf Standards ....................................................... 354
7.12.7.3 Beschreibung und Definitionen ........................................... 355
7.12.7.4 Inhalt der Dokumentation ................................................... 369
7.12.7.5 Umsetzung mit DocSetMinder® .......................................... 371
7.12.8 Vorgang 7 - Notfallhandbücher ............................................... 379
7.12.8.1 Ziel ....................................................................................... 379
7.12.8.2 Verweise auf Standards ....................................................... 379
7.12.8.3 Beschreibung und Definitionen ........................................... 380
7.12.8.4 Inhalt der Dokumentation ................................................... 387
7.12.8.5 Umsetzung mit DocSetMinder® .......................................... 391
7.12.9 Vorgang 8 - Information und Kommunikation ........................ 399
S e i t e | 15
7.12.9.1 Ziel ....................................................................................... 399
7.12.9.2 Verweise auf Standards ....................................................... 400
7.12.9.3 Beschreibung und Definitionen ........................................... 400
7.12.9.4 Inhalt der Dokumentation ................................................... 403
7.12.9.5 Umsetzung mit DocSetMinder® .......................................... 404
7.13 Meilenstein 5 „Notfall-Übungen und Monitoring“ ......................... 407
7.13.1 Vorgang 1 - Notfall-Übungen ................................................... 407
7.13.1.1 Ziel ....................................................................................... 407
7.13.1.2 Verweise auf Standards ....................................................... 407
7.13.1.3 Beschreibung und Definitionen ........................................... 408
7.13.1.3.1 Test- und Übungsplanung ........................................... 411
7.13.1.3.2 Durchführung .............................................................. 414
7.13.1.3.3 Bewertung und Berichte.............................................. 415
7.13.1.3.4 Korrekturmaßnahmen ................................................. 417
7.13.1.3.5 Follow-Up .................................................................... 417
7.13.1.4 Inhalt der Dokumentation ................................................... 418
7.13.1.5 Umsetzung mit DocSetMinder® .......................................... 420
7.13.2 Vorgang 2 - Monitoring ........................................................... 424
7.13.2.1 Ziel ....................................................................................... 424
7.13.2.2 Verweise auf Standards ....................................................... 424
7.13.2.3 Beschreibung und Definitionen ........................................... 425
7.13.2.3.1 Prüfungsplanung ......................................................... 428
7.13.2.3.2 Prüfungshandlung ....................................................... 428
7.13.2.3.3 Bewertung und Auditbericht ....................................... 430
7.13.2.3.4 Managementreview .................................................... 431
7.13.2.4 Inhalt der Dokumentation ................................................... 431
7.13.2.5 Umsetzung mit DocSetMinder® .......................................... 433
7.13.3 Vorgang 3 - Korrekturmaßnahmen.......................................... 435
16 | S e i t e
7.13.3.1 Ziel ....................................................................................... 435
7.13.3.2 Verweise auf Standards ....................................................... 435
7.13.3.3 Beschreibung und Definitionen ........................................... 436
7.13.3.4 Inhalt der Dokumentation ................................................... 437
7.13.3.5 Umsetzung mit DocSetMinder® .......................................... 439
7.14 Meilenstein 6 „Projektabschluss“ ................................................... 439
7.14.1 Vorgang 1 - Projektanalyse ...................................................... 439
7.14.1.1 Ziel ....................................................................................... 439
7.14.1.2 Beschreibung und Definitionen ........................................... 440
7.14.1.3 Inhalt der Dokumentation ................................................... 443
7.14.2 Vorgang 2 - Abschlussbericht .................................................. 443
7.14.2.1 Ziel ....................................................................................... 443
7.14.2.2 Beschreibung und Definitionen ........................................... 444
8 Produktbeschreibung DSM ................................................................ 445
8.1 Compliance Management Software ................................................ 445
8.2 Modularer Aufbau ........................................................................... 445
8.3 Strukturaufbau der Dokumentation ................................................ 446
8.4 Module - Zusammenfassung der Modulinhalte .............................. 447
8.4.1 Modul „Unternehmensorganisation“...................................... 447
8.4.2 Modul „Internes Kontrollsystem“ ........................................... 448
8.4.3 Modul „Verfahrensdokumentation“ ....................................... 448
8.4.4 Modul „CobiT“ ......................................................................... 449
8.4.5 Modul „Qualitätsmanagement“ .............................................. 449
8.4.6 Modul „Umweltmanagement“ ................................................ 450
8.4.7 Modul „IT-Dokumentation“ .................................................... 450
8.4.8 Modul „Notfallmanagement“ .................................................. 450
8.4.9 Modul „ISMS – ISO 27001” ...................................................... 450
8.4.10 Modul „IT-Grundschutz” ......................................................... 450
8.4.11 Modul „Datenschutz“ .............................................................. 451
8.5 Aufbau und Umgebung ................................................................... 451
8.5.1 Funktionsbeschreibung ........................................................... 452
S e i t e | 17
8.5.1.1 Revisionssicherheit .............................................................. 452
8.5.1.2 Versionskontrolle ................................................................. 452
8.5.1.3 Periodenabgrenzung/ Jahresabschluss ............................... 453
8.5.1.4 Check-in/ Check-out ............................................................ 454
8.5.1.5 Dokumentenentwürfe ......................................................... 454
8.5.1.6 Löschen von Dokumenten ................................................... 455
8.5.1.7 Filter ..................................................................................... 455
8.5.1.8 Benutzer-Sichten ................................................................. 455
8.5.1.9 Volltextsuche ....................................................................... 456
8.5.2 Ausgabe der Dokumentation ................................................... 456
8.5.2.1 HTML-Publisher ................................................................... 456
8.5.2.2 Microsoft® Office Word-Export ........................................... 457
8.5.2.3 WebAccess-Client ................................................................ 458
8.5.2.4 Reporting Services ............................................................... 458
8.5.2.5 Standard Druckausgabe ....................................................... 458
8.5.3 Dokumentationswerkzeuge ..................................................... 459
8.5.3.1 Texteditor ............................................................................ 460
8.5.3.2 Flussdiagrammdesigner ....................................................... 461
8.5.4 Import von externen Dateien .................................................. 461
8.5.5 Standardvorlagen .................................................................... 461
8.5.6 Inhaltsklassen .......................................................................... 463
8.5.7 Zugriffsschutzsystem ............................................................... 463
8.5.7.1 Rollenkonzept ...................................................................... 464
8.5.7.2 Administrator ....................................................................... 464
8.5.7.3 Manager............................................................................... 464
8.5.7.4 Bearbeiter ............................................................................ 465
8.5.7.5 Leser .................................................................................... 465
8.5.7.6 Prüfer ................................................................................... 465
8.5.8 Active Directory und LDAP Integration .................................... 465
8.5.9 Hilfe-Funktion .......................................................................... 466
8.6 Auszeichnung ................................................................................... 466
18 | S e i t e
9 Abbildungen ..................................................................................... 468
10 Abkürzungsverzeichnis ...................................................................... 476
11 Literatur ........................................................................................... 481
S e i t e | 19
1 Ziel und Aufbau des Buches
Die Konzeption, Umsetzung und langfristige Etablierung eines unternehmens-
weiten Notfallmanagements wird im Rahmen eines Projektes realisiert. Die
vorliegende Publikation beschreibt detailliert die strukturierte Vorgehensweise
eines Notfallmanagementprojektes und kann als Praxisleitfaden genutzt wer-
den. Sie wendet sich an alle involvierten Mitarbeiter des Projektes: An die Ge-
schäftsführung und Projektleitung sowie an die Mitarbeiter aus den Notfallte-
ams und Fachabteilungen bis hin zu externen Beratern, die mit der genannten
Aufgabe beauftragt worden sind. Die Verwendung anerkannter Normen und
Standards mit ihren Anforderungen an ein Notfallmanagementsystem setzen
die genaue Kenntnis und Dokumentation der Unternehmensorganisation (Auf-
bau- und Ablauforganisation) und des IT-Verbundes (IT-Organisation, -
Infrastruktur und Ressourcen) voraus. Die betriebliche Praxis stellt sich oft
anders dar. Eine Dokumentation der genannten Organisations- und IT-
Sachverhalte ist häufig nicht vorhanden, nicht vollständig oder nicht mehr ak-
tuell. Bei der hier beschriebenen Methodik geht der Autor von der Annahme
aus, dass eine solche Dokumentation nicht vorhanden ist. Eine weitere An-
nahme ist, dass der Kenntnisstand der Projektmitarbeiter über die Unterneh-
mens- und IT-Organisation unterschiedlich ist.
Wesentliche Abschnitte (Meilensteine) des Projektes beschreiben die IST-
Aufnahme, Bewertung und Dokumentation der Unternehmensorganisation
und des IT-Verbundes. Die auf diese Art und Weise gewonnenen Informatio-
nen werden für die Planung und Umsetzung des Notfallmanagements verwen-
det und gleichen Informationsdefizite der in dem Projekt involvierten Mitarbei-
ter aus. Durch die Bereitstellung einer Notfallmanagement-Dokumentation mit
den beschriebenen Prozessen, Handlungsanweisungen, Richtlinien und weite-
ren Unterlagen soll ein gleiches Verständnis der Führungskräfte und der in die
Notfallvorsorge und -bewältigung involvierten Mitarbeiter bei der Erfüllung
ihrer Tätigkeit für die festgelegten unternehmensweiten Anforderungen an das
20 | S e i t e
Notfallmanagement sichergestellt werden. Die Dokumentation stellt die Basis
für eine permanente Verbesserung der bereits etablierten Notfallmanage-
ment-Strukturen und Abläufe im Unternehmen dar. Schwerpunkt der Publika-
tion ist die Darstellung einer strukturierten Vorgehensweise bei der Planung
und Umsetzung der Notfallorganisation gemäß BSI-Standard 100-41. Weitere
Standards wie ISO 22301:20122 und BCI-GPG 20133 werden zitiert ohne sie
direkt miteinander zu vergleichen.
Abbildung 1: Inhaltsstruktur des Leitfadens.
Durch die große Übereinstimmung der Inhalte der genannten Standards kann
der Praxisleitfaden auch bei ihrer Umsetzung verwendet werden. Die im Fol-
genden beschriebene zentrale, datenbankbasierte Softwarelösung DocSetMin-
der® bietet viele technische und organisatorische Vorteile, nicht nur bei der
Erstellung und Aktualisierung der Dokumentation, sondern insbesondere auch
1 Bundesamt für Sicherheit in der Informationstechnik – Standard 100-4 Notfallmanagement. 2 ISO 22301:2012 Business continuity management system. 3 Business Continuity Institute - Good Practice Guidelines 2013, Global Edition.
S e i t e | 21
bei der systematischen Verbesserung der Notfallorganisation im Laufe der Zeit.
Der noch immer weit verbreitete Einsatz von Textverarbeitungsprogrammen
und Tabellenkalkulationen bei derartigen Projekten stellt für diese Aufgaben
keine echte Alternative dar. Die in dieser Publikation verwendete Projekt-
Methodik ist unabhängig von der geplanten oder bereits eingesetzten Soft-
warelösung. Abbildung 1 visualisiert die Struktur des Leitfadens.
In Kapitel 2 wird die Motivation für die Etablierung eines unternehmensweiten
Notfallmanagements skizziert. Darüber hinaus wird die Rolle der Unterneh-
mensorganisation (Aufbau- und Ablauforganisation) und des IT-Verbundes (IT-
Organisation, -Infrastruktur und Ressourcen) im Notfallmanagement erläutert.
Die Compliance Management Software DocSetMinder® unterstützt das Pro-
jektteam bei der Durchführung und Dokumentation des Notfallmanagement-
projektes in allen Phasen. Der Nutzen und die für das Projekt notwendigen
Module „Unternehmensorganisation“, „IT-Dokumentation“ und „Notfallma-
nagement“ werden in Kapitel 3 kurz beschrieben.
In Kapitel 4 werden die gesetzlichen Grundlagen exemplarisch kurz aufgezählt,
ohne Anspruch auf Vollständigkeit. Die Einhaltung von Gesetzen und Vorschrif-
ten4 durch die Gestaltung und Umsetzung einer effektiven Corporate Gover-
nance5 stellt eine wesentliche Herausforderung für die Führungskräfte und
Aufsichtsgremien in Unternehmen dar. Das betriebliche Kontinuitätsmanage-
ment ist ein fester Bestandteil der Corporate Governance. Die Basis für ihre
Umsetzung schaffen geltende Gesetze, Standards, Richtlinien und nicht zuletzt
Verträge und Vereinbarungen mit Geschäftspartnern, die von Unternehmen
und Behörden einzuhalten sind.
4 Compliance 5 Grundsätze der Unternehmensführung.
22 | S e i t e
Aufgrund der Bedeutung des Notfallmanagements für ein Unternehmen oder
eine Behörde sollte die Umsetzung generell nur nach anerkannten Standards
und Normen erfolgen. In Kapitel 5 werden die wichtigsten Notfallmanagement
Normen und Standards dargestellt, vor allem der BSI-Standard 100-4, ISO
22301:2012 und BCI Good Practice Guidelines 2013 Global Edition. Durch ihre
Struktur und Methodik liefern die genannten Standards eine Grundvorausset-
zung für eine optimale Projektplanung und effektive Umsetzung sowie für die
Ermittlung der Projektkosten. Die Folge ist eine hohe Akzeptanz, bei den direkt
involvierten Projektmitarbeitern im Unternehmen und einer Behörde, bei ex-
ternen Organisationen und Auditoren.
Kapitel 6 ist der Bedeutung der Dokumentation gewidmet. Eine vollständige
und sachgerechte Dokumentation der wesentlichen Sachverhalte des Notfall-
management-Projektes stellt die Grundlage einer erfolgreichen Umsetzung der
Notfallorganisation dar und dient dem Nachweis der getroffenen organisatori-
schen und technischen Maßnahmen. Sie ist Grundelement eines Notfallmana-
gements und unabdingbar bei deren sorgfältigen Umsetzung, Überwachung
und Verbesserung. Darüber hinaus dient sie als sehr effektives organisations-
weites Kommunikationsmedium bei der Bekanntmachung und Verbreitung der
getroffenen Maßnahmen für alle Mitarbeiter. Die Dokumentation ist erforder-
lich bei jeder Art von Prüfung, die durch interne oder externe Auditoren und
Prüfer durchgeführt wird.
In Kapitel 7 ist das Projekt „Notfallmanagement“ mit allen Facetten der Projek-
torganisation sehr detailliert beschrieben. Am Beispiel einer fiktiven Firma, der
Wind Seeker AG, wird das gesamte Projekt „Notfallmanagement“ in mehreren
Meilensteinen und Vorgängen erläutert. Sie bilden die Anforderungen der in
Kapitel 5 dargestellten Standards ab. Im Meilenstein 1 „Projektorganisation“
werden alle organisatorischen Maßnahmen für eine strukturierte und erfolg-
reiche Durchführung des Projektes festgelegt und dokumentiert. Im Meilen-
stein 2 „Unternehmensorganisation“ wird die Aufbau- und Ablauforganisation
S e i t e | 23
des Unternehmens systematisch aufgenommen, nach bestimmten Kriterien
bewertet und dokumentiert. Die somit gewonnenen Informationen werden im
Meilenstein 4 „Notfallmanagement“ verwendet. Im Meilenstein 3 „IT-
Verbund“ wird die IT-Organisation (IT-Infrastruktur, -Organisation und Res-
sourcen) des Unternehmens systematisch aufgenommen, nach bestimmten
Kriterien bewertet und dokumentiert. Die dokumentierten Sachverhalte wer-
den im Meilenstein 4 „Notfallmanagement“ verwendet.
In Kapitel 8 werden die Einsatzbereiche und der Funktionsumfang der Compli-
ance Management Software DocSetMinder® beschrieben. DocSetMinder®
unterstützt die Unternehmensleitung und das Projektteam bei der Konzeption,
Dokumentation, Prüfung und Verbesserung der Notfallorganisation. Durch den
modularen Aufbau kann DocSetMinder® bei weiteren Compliance-Themen
effektiv und effizient im Unternehmen eingesetzt werden (vgl.
www.docsetminder.de).
Abbildung 2: Struktur der Projektmeilensteine.
24 | S e i t e
Die Beschreibung der einzelnen Projektmeilensteine (vgl. Abbildung 2) im
Wind Seeker AG-Notfallmanagementprojekt ist jeweils gleich strukturiert und
besteht aus folgenden Abschnitten:
Ziel der Projektphase - Beschreibung der Ziele, die am Ende der
Projektphase erreicht werden sollen.
Verweise auf Standards - Jede Phase des Notfallmanagementpro-
jektes ist durch Normen und Standards begründet. Die Standards
BSI-Standard 100-4, ISO 22301 und BCI-GPG 2013 werden an die-
ser Stelle auszugsweise zitiert.
Beschreibung und Definitionen - Sachverhalte und Definitionen
werden im jeweiligen Meilenstein detailliert beschrieben und er-
läutert.
Inhalt der Dokumentation - Das Ergebnis des Projektmeilensteines
ist in Form einer Dokumentation zusammengefasst. Sie ist ein Be-
standteil der Notfallmanagementdokumentation. Für die Erfassung
der Sachverhalte werden zahlreiche Checklisten vorgeschlagen.
Umsetzung mit DocSetMinder® - Beispiele der Dokumentation
werden mit Hilfe der DocSetMinder® Software mit einigen
Screenshots präsentiert. Es handelt sich dabei um Auszüge aus der
Notfallmanagement-Dokumentation der Wind Seeker AG (vgl. Ka-
pitel 7.3)
Dokumentationshinweise (optional) - Hinweise zur Methodik für
die Erstellung und Pflege der Dokumentation. Dazu gehören u.a.
Imports von Informationen aus anderen Systemen, wie z.B. ERP,
Active Directory, Inventory-Systeme etc.
S e i t e | 25
2 Notfallmanagement – Motivation
Hauptaufgabe der Unternehmensleitung ist die Umsetzung der geplanten Un-
ternehmensziele und eine langfristige Marktbehauptung. Grundvoraussetzung
hierfür ist ein kontinuierlicher und störungsfreier Geschäftsbetrieb des Unter-
nehmens oder der Behörde, insbesondere in den globalisierten und sich
schnell veränderten Märkten. Eine vorübergehende Unterbrechung der Pro-
duktion oder Dienstleistung kann zum Verlust von Kunden führen. Durch die
Verkettung der Geschäftsprozesse von Lieferanten und Auftraggebern ist ein
hoher Grad an wirtschaftlicher Abhängigkeit erreicht. Sehr deutlich ist dies bei
der Betrachtung der „just-in-time“ Lieferketten zu erkennen. Eine Unterbre-
chung der Lieferung kann nicht nur einen wirtschaftlichen sondern auch einen
Imageschaden bedeuten. Das Image eines langjährigen zuverlässigen Ge-
schäftspartners wird über Jahre durch die sorgfältige Erfüllung der vereinbar-
ten Leistungen aufgebaut. Bereits geringe Zweifel des Auftraggebers an der
genannten Zuverlässigkeit können zum Verlust der Marktposition führen, u.U.
mit gravierenden wirtschaftlichen und sozialen Folgen. Die gezielte Vorbeu-
gung einer Geschäftsunterbrechung gehört aufgrund ihrer Bedeutung zu den
Aufgaben der Unternehmensleitung. Bei branchenübergreifenden Abhängig-
keiten (Interdependenzen) können bereits verhältnismäßig kleine Störungen
weitgehende Folgen nach sich ziehen.
2.1 Betriebliches Kontinuitätsmanagement
Eine Geschäftsunterbrechung kann durch unterschiedliche interne und externe
Schadensereignisse verursacht werden. Im Rahmen des betrieblichen Kontinui-
tätsmanagements werden mögliche Risiken, die eine Geschäftsunterbrechung
verursachen und zur existenziellen Bedrohung für ein Unternehmen werden
können, identifiziert. Zur ihrer Vorbeugung und ggf. Bewältigung werden ge-
26 | S e i t e
zielte Maßnahmen geplant und umgesetzt6. Aufgrund der Bedeutung des be-
trieblichen Kontinuitätsmanagements handelt es sich hierbei um einen soge-
nannten Managementprozess. Die Umsetzung und Etablierung des Prozesses
unterliegt der direkten Verantwortung der Geschäftsleitung. Die genaue Defi-
nition und der Ablauf des Notfallmanagement-Prozesses sind im Projektmei-
lenstein 4 (vgl. Kapitel 7.12) ausführlich beschrieben. Allgemein betrachtet
teilt sich der Prozess in zwei Abschnitte: Notfallvorsorge und -bewältigung. In
der Notfallvorsorge werden technische und organisatorische Maßnahmen ge-
plant und umgesetzt, die eine Geschäftsunterbrechung verhindern (vorbeu-
gen) sollen. Trotz aller Maßnahmen kann es zu einem Schadensereignis kom-
men. Die Aufgabe der Notfallbewältigung wiederum ist eine zeitnahe und ko-
ordinierte Wiederherstellung des Normalbetriebes. Eine Reihe von technischen
und organisatorischen Maßnahmen erlauben eine effektive Alarmierung, die
Umsetzung von Sofortmaßnahmen bis hin zur Wiederherstellung der Ressour-
cen bzw. Prozesse.
Abbildung 3: Eskalation eines Schadensereignisses.
Abbildung 3 skizziert die Eskalation eines Schadensereignisses. Ein Ausfall oder
eine unkorrekte Funktionsweise einer Ressource oder eines Prozesses ist eine
Störung. Wird die ursprüngliche Funktion nicht innerhalb einer angemessenen
6 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-4, Einleitung S. 1.
S e i t e | 27
Zeit wiederhergestellt, kann sie zu ihrer Notfall eskalieren. Wenn alle geplan-
ten Maßnahmen zu seiner Bewältigung fehlgeschlagen sind, kann aus einem
Notfall eine Krise hervorgehen. Die referenzierten Standards definieren das
betriebliche Kontinuitätsmanagement wie folgt:
BSI 100-4: Kapitel 1, Einleitung. S. 1. Das Notfallmanagement ist ein
Managementprozess mit dem Ziel, gravierende Risiken für eine Institu-
tion, die das Überleben gefährden, frühzeitig zu erkennen und Maß-
nahmen dagegen zu etablieren. Um die Funktionsfähigkeit und damit
das Überleben eines Unternehmens oder einer Behörde zu sichern, sind
geeignete Präventivmaßnahmen zu treffen, die zum einen die Robust-
heit und Ausfallsicherheit der Geschäftsprozesse erhöhen und zum an-
deren ein schnelles und zielgerichtetes Reagieren in einem Notfall oder
einer Krise ermöglichen.7.
ISO 22301: Kapitel 3, Terms and Definitions. S. 1. Business continuity
management - holistic management process that identifies potential
threats to an organization and the impacts to business operations tho-
se threats, if realized, might cause, and which provides a framework for
building organizational resilience with the capability of an effective
response that safeguards the interests of its key stakeholders, reputa-
tion, brand and value-creating activities.8.
BCI-GPG 2013: Introduction. S. 5. holistic management process that
identifies potential threats to an organization and the impacts to busi-
ness operations those threats, if realized, might cause, and which pro-
vides a framework for building organizational resilience with the capa-
7 Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) , BSI-Standard 100-4. Sämtli-
che Zitate aus dem BSI-Standard 100-4 sind schriftlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) genehmigt. 8Quelle: International Organization for Standardization (ISO), ISO 22301. Sämtliche Zitate aus
der ISO 22301 Norm sind schriftlich genehmigt - „Reproduced by permission of ISO International Organization for Standardization, Genf”.
28 | S e i t e
bility of an effective response that safeguards the interests of its key
stakeholders, reputation, brand and value-creating activities.9,10
2.2 Grundprinzip
Eine Reihe von Normen und Standards (vgl. Kapitel 5) definieren die Anforde-
rungen an ein wirksames, effizientes und nachvollziehbares Notfallmanage-
ment. Ein vollständig umgesetztes betriebliches Kontinuitätsmanagement11
gemäß der genannten Standards kann in drei wesentliche Bereiche strukturiert
werden:
Unternehmensorganisation (Aufbau- und Ablauforganisation)
IT-Verbund (IT-Infrastruktur, -Organisation und Mitarbeiter)
Notfallmanagementprozess
Kenntnisse über die Aufbau- und Ablauforganisation gehören zu den Grundin-
formationen, die u.a. in der Definition der Notfallorganisation (vgl. Kapitel
7.12.2) und in der Business Impact Analyse (BIA) (vgl. Kapital 7.12.3) verwen-
det werden. Ein Teil der Führungskräfte und Mitarbeiter eines Unternehmens
übernehmen die Verantwortung und bestimmte Funktionen bzw. Rollen in der
Notfallorganisation. Die BIA ist ein wesentlicher Teil des Notfallmanagements.
Im Rahmen des BIA-Prozesses werden Unternehmensprozesse ermittelt, die
von besonderer Bedeutung für die Existenz des Unternehmens bzw. der Be-
hörde sind. Im Umkehrschluss, ohne Betrachtung oder genaue Kenntnis der
Unternehmensorganisation ist eine sorgfältige, detaillierte und zuverlässige
Notfallvorsorge nicht möglich. Heutzutage ist ein effektiver, kostenoptimierter,
9 Quelle: Business Continuity Institutes (BCI), Good Practice Guidelines 2013. Sämtliche Zitate
aus der Good Practice Guidelines 2013 sind schriftlich mit dem Business Continuity Institutes abgestimmt. 10 Business Continuity Institutes (BCI), Good Practice Guidelines 2013 verwendet weitgehend die
ISO 22301:2012 Terminologie. Vgl. Introduction to the Good Practice Guidelines 2013, S.5. 11 Der Begriff des betrieblichen Kontinuitätsmanagements wird in der Literatur oft neben den
Begriffen Notfallmanagement und Business Continuity Management verwendet.
S e i t e | 29
handels- und steuerrechtlich konformer Betrieb eines Unternehmens oder
einer Behörde ohne IT bzw. IT-Organisation nicht realisierbar. Das gilt bran-
chenunabhängig für jede Unternehmens- und Behördengröße. Die IT-
Organisation, häufig auch IT-Verbund12 genannt besteht aus der IT-
Infrastruktur, IT-Prozessen und Mitarbeitern. Sie bildet unternehmensrelevan-
te Prozesse, wie die Leistungserstellung, die Buchführung und den Geschäfts-
verkehr mit Kunden und Lieferanten ab. Die Unternehmensorganisation insbe-
sondere die Unternehmensprozesse hängen direkt von der IT-Organisation ab.
Abbildung 4: Grundprinzip der Informationserhebung
Der Ausfall einer oder mehrerer IT-Komponenten kann zu schwerwiegenden
Ausfällen der Unternehmensprozesse führen. Die Unternehmensorganisation
und der kontinuierliche, störungsfreie Geschäftsbetrieb hängen direkt von der
IT ab. IT-Notfallmanagement ist ein Bestandteil des betrieblichen Kontinui-
tätsmanagements13. Zusammengefasst: Die Umsetzung des Notfallmanage-
ment-Prozesses erfordert eine Reihe von Informationen aus den kurz zuvor
skizzierten Bereichen (vgl. Abbildung 4). Sind die Informationen nicht verfüg-
bar bzw. nicht mehr aktuell, müssen sie erhoben, dokumentiert und bewertet
werden.
12 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-2, Kapitel 4.1.
S.38. 13 Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Standard 100-4, Kapitel 1. S.1.
30 | S e i t e
3 DocSetMinder14 - Software
3.1 Notfallmanagement- und Projektdokumentation
Für die Planung und Umsetzung eines unternehmensweiten Notfallmanage-
ments ist es empfehlenswert, ein zu diesem Zweck konzipiertes Tool einzuset-
zen. Die Compliance Management Software DocSetMinder® der GRC Partner
GmbH ist bereits im Jahre 2004 für die Etablierung von IT-Governance-Themen
im Unternehmen und in der Behörde entwickelt worden. Die Softwaremodule
bilden anerkannte nationale und internationale IT-Governance Standards und
Normen ab.
Abbildung 5: DocSetMinder® Aufbau und Module.
14
In der vorliegenden Publikation wird die Unternehmens- und IT-Dokumentation sowie die Umsetzung des Notfallmanagements mit der Compliance Management-Lösung DocSetMinder® beschrieben.
S e i t e | 31
Die strikten Anforderungen der Normen und Standards an die Notfallmanage-ment- und Projektdokumentation (vgl. Kapitel 6) sind durch diverse Software-funktionen vollständig abgedeckt.
3.2 DocSetMinder® - Module und Nutzen
Um die Dokumentation effizient und vollständig zu erstellen, zu kommunizie-
ren und aktuell zu halten, stehen den Projektverantwortlichen und Mitarbei-
tern diverse Standard- und Compliance-Module zur Verfügung. DocSetMin-
der® bietet zum Thema IT-Governance eine komplette Suite von aufeinander
abgestimmten Modulen mit Dokumentstrukturen und Vorlagen mit denen die
BSI-Standards 100-1 bis 100-4, ISO 22301, ISO 27001 und BCI-GPG 2013 voll-
ständig abgebildet werden können. Sie bilden den Grundstein für diverse ISO-
Zertifizierungen. Alle Module bauen aufeinander auf. Im Einzelnen handelt es
sich um:
Modul – „Unternehmensorganisation“ (Aufbau-, Ablauforganisation,
Richtlinien, Verträge und Versicherungen)
Modul – „IT-Dokumentation“ (IT-Organisation, -Infrastruktur und Res-
sourcen)
Modul – „Notfallmanagement“ (BSI-Standard 100-4, ISO 22301, BCI-
GPG 2013)
Modul – „Informationssicherheits-Managementsystems - ISMS“ (DIN
ISO /IEC 27001)
Modul – „IT-Grundschutz“ (BSI-Standard 100-2, 100-3)
Modul – „RESISCAN“ (BSI Technische Richtlinie 03138 - Ersetzendes
Scannen)
Modul – „IKS“ (IDW PS 261, PS 951)
Module – „Datenschutz“ (BDSG, LDSG, DSVO)
3.2.1 DocSetMinder® - Modul „Unternehmensorganisation“
Das Modul „Unternehmensorganisation“ erlaubt den Einsatz des DocSetMin-
der® als Implementierungsplattform für ein unternehmensweites Integriertes
32 | S e i t e
Managementsystem (IMS)15. Informationen über die Aufbau- und Ablauforga-
nisation eines Unternehmens oder einer Behörde werden nur einmal erfasst
und können in Normen, wie z.B. ISO 9001, ISO 14001, ISO 27001, ISO 20000
oder ISO 22301 gemeinsam verwendet werden. Ändern sich z.B. die Prozessab-
läufe oder die Struktur der Organisation, so muss die Aktualisierung nur an
einer Stelle vorgenommen werden. Die genannten Standards setzen in ihrer
Umsetzung die Kenntnis der Unternehmensorganisation voraus. Es geht vor
allem um die Dokumentation der Aufbau- und Ablauforganisation, Richtlinien,
Verträge und Versicherungen. In der Aufbauorganisation werden generell alle
organisatorischen Einheiten sowie Verantwortlichkeiten erfasst, in der Ablau-
forganisation die Prozessstrukturen bzw. der Ablauf der betrieblichen Wert-
schöpfungskette. Das Modul „Unternehmensorganisation“ stellt die notwendi-
gen Informationen für alle IT-Governance Module zur Verfügung. Durch geziel-
te Verlinkung wird eine Relation zu den IT-Komponenten gesetzt - übersicht-
lich, aktuell und vollständig.
3.2.2 DocSetMinder® - Modul „IT-Dokumentation“
Das DocSetMinder®-Modul „IT-Dokumentation“ erlaubt eine systematische,
strukturierte und lückenlose Dokumentation der IT-Infrastruktur, IT-Prozesse
und Mitarbeiter. Die Modulstruktur basiert auf dem ISO - OSI Referenzmodell
und erlaubt eine systematische Dokumentation der IT-Infrastruktur von den
passiven Netzwerkkomponenten bis hin zu den im Unternehmen eingesetzten
Anwendungen und den damit verbundenen Berechtigungen. Die Dokumenta-
tion der Gebäude, der IT-Räume und der Gebäudesicherheit kann ebenfalls
realisiert werden. Bereits im DocSetMinder®-Grundmodul „Unternehmensor-
ganisation“ ist die ITIL-konforme Struktur für die Dokumentation der IT-
Prozesse enthalten. Die Dokumentation der IT-Infrastruktur umfasst sowohl
technische als auch administrative bzw. organisatorische Aspekte. So beinhal-
15
Vgl. K. Paschke, „Organisationshandbuch - Umsetzung, Dokumentation und Kommunikation“ 2011.
S e i t e | 33
tet die Beschreibung eines beliebigen Servers neben technischen Informatio-
nen zu Prozessor, Speicher, Festplatte, Betriebssystem etc. auch administrative
Angaben, z.B. zu den zuständigen IT-Mitarbeitern, zu Wartungs- und ggf. Lea-
singverträgen. Darüber hinaus bildet eine vollständige Dokumentation auch die
logischen Zusammenhänge zwischen Geschäftsprozessen, Software, Daten-
banken und Servern ab. Die zur Verfügung stehenden Schnittstellen erlauben
den Datenimport aus Inventory-Tools, Verzeichnisdiensten (LDAP und Active
Directory) und ERP-Systemen. Diese Beschreibung der Abhängigkeiten der
Unternehmensorganisation und IT liefert wesentliche Informationen (Struktur-
analyse) für die Business Impact Analyse (BIA). Die mit Hilfe des Moduls erstell-
te Dokumentation liefert notwendige Inhalte für Prüfungen nach IDW PS 330,
IDW PS 951, ISAE 3402, PCI DSS sowie für die Umsetzung von Standards, wie
z.B. BSI-Standard 100-1 bis -4, ISO 22301 oder BCI GPG 2013. Teile der IT-
Dokumentation können auch im Bereich des Datenschutzes (BDSG, LDSG) ver-
wendet werden.
3.2.3 DocSetMinder® - (IT-)Notfallmanagement
Das DocSetMinder®-Modul „Notfallmanagement" basiert auf dem BSI-
Standard 100-4, ISO 22301 und BCI-GPG 2013 und bildet die Methodik zur
Etablierung eines adäquaten Notfallmanagementsystems im Unternehmen
oder einer Behörde ab. Das Modul erlaubt eine vollständige Erstellung und
Pflege von Dokumentationen des Anwendungsbereichs, der Notfallorganisati-
on, der Business Impact Analyse, der Risikoanalyse sowie der Alarmierung und
Eskalation bis hin zu Geschäftsfortführungs- und Wiederanlaufplänen (Notfall-
handbücher). Die Planung und Durchführung von Notfallübungen und der Ver-
besserungsprozess der Notfallorganisation (P-D-C-A) werden ebenfalls struktu-
riert unterstützt (vgl. Kapitel 6.8.3).
34 | S e i t e
3.2.4 DocSetMinder® - Modul „IT-Grundschutz“
Um die komplexen Maßnahmen aus den Grundschutzkatalogen des BSI pla-
nen, umsetzen und administrieren zu können, ist eine strukturierte Vorge-
hensweise und Dokumentation notwendig. Das Modul "IT-Grundschutz" bildet
die IT-Grundschutz-Kataloge des BSI ab, erlaubt die Definition des Schutzbe-
darfes der einzelnen Zielobjekte und die Bestimmung von notwendigen Sicher-
heitsmaßnahmen durch Modellierung des Informationsverbundes. Die Modul-
struktur unterstützt den BSI-Standard 100-2 und 100-3 bei der Planung, Durch-
führung und Erhaltung einer effektiven Informationssicherheit im Unterneh-
men oder in der Behörde. Das Modul nutzt die bereits im Grundmodul „Unter-
nehmensorganisation“ bereitgestellten Informationen zur Aufbauorganisation,
den Prozessen und zentralen Inhalten wie Richtlinien, Verträge, Anweisungen
sowie die im Modul "IT-Dokumentation" erfassten Sachverhalte des IT-
Verbunds für die Strukturanalyse der Organisation. Die Inhalte der IT-
Grundschutz-Kataloge sind in die Modulstruktur integriert.
3.2.5 DocSetMinder® - Modul „ISMS gemäß ISO/IEC 27001“
Die Norm ISO/IEC 27001 ist für die Planung, Umsetzung, Überwachung und
stetige Verbesserung des Informationssicherheits-Managementsystems (ISMS)
konzipiert. Das Modul "ISMS – ISO 27001" bildet die Anforderungen der Norm
ISO/IEC 27001 vollständig ab. Die Modulstruktur erlaubt die Definition und
Dokumentation des Anwendungsbereichs, der Verantwortlichkeiten, der ISMS-
Leitlinie, die Analyse und Bewertung der Risiken sowie die Definition der Maß-
nahmenziele und Maßnahmen zur Behebung der festgestellten Risiken. Dieses
Modul nutzt die bereits im Modul "Unternehmensorganisation" erfassten In-
formationen zur Aufbau- und Ablauforganisation im Unternehmen, die im Mo-
dul "IT-Dokumentation" beschriebenen IT-Ressourcen und -organisation sowie
das betriebliche Kontinuitätsmanagement im Modul „Notfallmanagement“.
Die Dokumentationsanforderungen und der P-D-C-A Zyklus der Norm sind de-
tailliert umsetzbar.