Ziel / Zweck
In Notfällen muss die Institution weiter auf geschäftsrelevante Informationen zugreifen können, um einen kritischen Geschäftsprozess, einen Service, eine Anwendung, ein IT- System oder eine IaaS-, PaaS- oder SaaS-Infrastruktur wiederherstellen zu können. Aus diesem Grunde sollten deshalb entsprechende Wiederherstellungsprozesse geplant, etabliert und überprüft werden, um so die Informationssicherheit auch in einer Notfall-Situation aufrechterhalten zu können.
Nur wenn geplant und organisiert vorgegangen wird, ist eine optimale Notfallvorsorge und Notfallbewältigung möglich. Ein professioneller Prozess zum Notfallmanagement reduziert die Auswirkungen eines Notfalls und sichert somit den Betrieb und Fortbestand der Institution. Es sind geeignete Maßnahmen zu identifizieren und umzusetzen, durch die zeitkritische Geschäftsprozesse und Fachaufgaben zum einen robuster und ausfallsicherer werden. Zum anderen sollten diese Maßnahmen ermöglichen, einen Notfall schnell und zielgerichtet zu bewältigen.
Die Aufrechterhaltung der Informationssicherheit im Notfall ist in ein übergreifendes Notfallmanagement, idealerweise in ein Notfallmanagementsystem, einzubinden. Das Notfallmanagement hat jedoch einen eigenen Prozessverantwortlichen, den Notfallbeauftragten, der sich mit dem Informationssicherheitsbeauftragten abstimmt.
Ziel dieser Sicherheitsrichtlinie ist es, Anforderungen zu beschreiben, um die Informationssicherheit in der Institution selbst in geschäftskritischen Situationen zu gewährleisten. Dazu sind die entsprechenden Maßnahmen in ein ganzheitliches Notfallmanagement idealerweise auf Basis des BSI Standards 200-4 einzubetten. Zudem sind alle Aspekte zu betrachten, die erforderlich sind, um die Informationssicherheit auch bei Schadensereignissen oder Notfällen aufrechterhalten zu können. Dies reicht von der Planung bis zur Überprüfung aller Prozesse. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben des BSI Bausteines DER.4 "Notfallmanagement" aus dem Kompendium 2020 zurückgegriffen. Zusätzlich zu den Anforderungen aus dem referenzierten BSI Baustein wurde ein benutzerdefinierter Abschnitte hinzugefügt (DER.4.bd.A1).
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
