Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuit\u00e4tsmanagement nicht viel gemeinsam – man m\u00f6chte vielleicht anmerken, dass beide mit IT zu tun haben.<\/p>\n
Informationssicherheit-Management wird in der internationalen Norm ISO\/IEC 27001<\/a> am besten definiert, w\u00e4hrend die britische Norm BS 25999-2<\/a> betriebliches Kontinuit\u00e4tsmanagement festlegt \u2013 wenn wir also diese beiden Themen vergleichen wollen, so ist es das Kl\u00fcgste, die Inhalte dieser beiden Normen anzuschauen.<\/p>\n Zun\u00e4chst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT \u2013 der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die gr\u00f6\u00dften Risiken in b\u00f6sartigen und unbeabsichtigten Aktivit\u00e4ten von Mitarbeitern bestehen. Daher k\u00f6nnen die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuit\u00e4tsmanagements nicht allein durch Informationstechnologie gel\u00f6st werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.<\/p>\n Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als \u201eBewahrung der Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Informationen\u201c. Andererseits definiert BS 25999-2 betriebliches Kontinuit\u00e4tsmanagements als die \u201estrategische und taktische F\u00e4higkeit des Unternehmens, f\u00fcr Vorf\u00e4lle St\u00f6rungen des Gesch\u00e4ftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abl\u00e4ufe auf einem vorab definierten akzeptablen Niveau weiterzuf\u00fchren\u201c.<\/p>\n Die beiden Normen scheinen sich nicht sehr \u00e4hnlich zu sein. Da gibt es jedoch einen sehr \u00e4hnlichen Aspekt \u2013 Verf\u00fcgbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuit\u00e4tsmanagement darauf, Informationen f\u00fcr die Mitarbeiter verf\u00fcgbar zu halten, die sie ben\u00f6tigen \u2013 diesbez\u00fcglich bietet der Anhang A der ISO 27001 einige Ma\u00dfnahmen, die sich nur auf das betriebliche Kontinuit\u00e4tsmanagement beziehen.<\/p>\n Au\u00dferdem verlangen beide Normen, dass die Risikoeinsch\u00e4tzung vorgenommen wird, um m\u00f6gliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchf\u00fchrung interner Audits, Managementpr\u00fcfungen sowie Korrektur- und Vorbeugungsma\u00dfnahmen erforderlich. Sollten Sie also bereits \u00fcber eine Dokumentation<\/a> f\u00fcr ISO 27001 verf\u00fcgen, so k\u00f6nnen sie die gleichen Verfahren auch f\u00fcr BS 25999-2 verwenden (mit nur geringf\u00fcgigen \u00c4nderungen).<\/p>\n Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich gr\u00f6\u00dferen Bereich ab und ist daher bez\u00fcglich des betrieblichen Kontinuit\u00e4tsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Gesch\u00e4ftsauswirkungsanalyse durchzuf\u00fchren ist, wie Strategien f\u00fcr betriebliches Kontinuit\u00e4tsmanagement festgelegt werden, welche Inhalte die Pl\u00e4ne f\u00fcr betriebliches Kontinuit\u00e4tsmanagement haben sollten usw.<\/p>\n Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuit\u00e4tsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuit\u00e4tsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.<\/p>\n