Business Continuity Management gemäß BSI-Standard 200-4 & ISO 27001

Grundlagen des Business Continuity Managements

• Bedeutung, Ziele und Nutzen von Business Continuity Management
• Abgrenzung von BCM, Informationssicherheitsmanagement, Risikomanagement, Krisenmanagement und Notfallmanagement
• Aufbau eines Business Continuity Management Systems
• Rollen, Verantwortlichkeiten und Governance im BCMS
• Einordnung des BSI-Standards 200-4 in die IT-Grundschutz-Systematik
• Bezug zu ISO/IEC 27001:2022 und Anforderungen an ein ISMS
• Zusammenspiel von organisatorischer Resilienz, Informationssicherheit und Geschäftskontinuität

Regulatorische Anforderungen und Compliance

• Relevante gesetzliche und regulatorische Anforderungen für BCM und Informationssicherheit
• Bezüge zu DSGVO, NIS2, KRITIS-Anforderungen und branchenspezifischen Vorgaben
• Nachweisführung, Dokumentation und Management-Reporting
• Compliance-Management und Überwachung von BCM-relevanten Verpflichtungen
• Einbindung von Geschäftsführung, Fachbereichen, IT und externen Dienstleistern
• Anforderungen an Lieferketten, Auslagerungen und Cloud-Services

BCMS nach BSI-Standard 200-4

• Struktur, Zielsetzung und Vorgehensweise des BSI-Standards 200-4
• Stufenmodell mit Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS
• Planung und Scope eines BCMS
• BCM-Leitlinie, BCM-Organisation und relevante Dokumente
• Integration in bestehende Managementsysteme und Prozesse
• Kontinuierliche Verbesserung, Pflege und Wirksamkeitskontrolle

Business Impact Analysis und Risikoanalyse

• Identifikation kritischer Geschäftsprozesse und Ressourcen
• Ermittlung von Auswirkungen, Wiederanlaufzeiten und Abhängigkeiten
• Festlegung von Recovery Time Objective und Recovery Point Objective
• Bewertung von Risiken für Prozesse, IT-Services, Personal, Standorte und Dienstleister
• Priorisierung von Risiken und Ableitung geeigneter Maßnahmen
• Dokumentation der Ergebnisse für Managemententscheidungen

BCM-Strategien und Notfallvorsorge

• Entwicklung tragfähiger BCM-Strategien für kritische Geschäftsprozesse
• Technische und organisatorische Sicherheitsmaßnahmen
• Notfallvorsorgekonzepte für IT, Fachbereiche, Gebäude, Personal und Dienstleister
• Wiederanlaufplanung und Wiederherstellungsverfahren
• Krisenkommunikation, Eskalationswege und Entscheidungsstrukturen
• Integration von Datenschutz, Cloud-Sicherheit und Informationssicherheit

Incident Response und Krisenmanagement

• Zusammenarbeit von BCM, Incident Response und IT-Sicherheitsorganisation
• Vorgehen bei Sicherheitsvorfällen und Betriebsunterbrechungen
• Kommunikation und Koordination im Krisenfall
• Rollen von Krisenstab, Notfallteam und Fachbereichen
• Schnittstellen zu Forensik, Wiederherstellung und externen Stellen
• Lessons Learned nach Vorfällen und Übungen

Audits, Übungen und Wirksamkeitsprüfung

• Planung und Durchführung von BCM-Audits
• Auditierung nach BSI-Standard 200-4 und ISO/IEC 27001
• Vorbereitung von Interviews, Begehungen und Dokumentenprüfungen
• Übungsarten, Testplanung und Auswertung
• Bewertung der BCM-Reife und der Informationssicherheitslage
• Maßnahmenverfolgung, Berichterstattung und Managementbewertung

Praxisübertragung und Vertiefung

• Bearbeitung praxisnaher Fallbeispiele
• Diskussion typischer Schwachstellen in BCM-Projekten
• Erarbeitung von Verbesserungsmaßnahmen für bestehende Konzepte
• Übertragung der Seminarinhalte auf eigene Organisationsstrukturen
• Klärung offener Fragen und Erfahrungsaustausch

• IT-Sicherheitsbeauftragte, ISMS-Verantwortliche und BCM-Verantwortliche in Unternehmen, Behörden und öffentlichen Einrichtungen
• IT-Leitungen, IT-Administratorinnen und IT-Administratoren mit Verantwortung für Notfallvorsorge, Wiederanlaufplanung und Servicekontinuität
• Risikomanagerinnen, Compliance-Verantwortliche, Datenschutzbeauftragte und interne Auditorinnen mit Bezug zu Informationssicherheit und Resilienz
• Security- und Netzwerkverantwortliche, die ihr Wissen durch den Certified Network Defender technisch ergänzen möchten

• Du kannst den Aufbau eines BCMS nach BSI-Standard 200-4 erklären und auf die eigene Organisation übertragen
• Du kannst kritische Geschäftsprozesse mit einer Business Impact Analysis strukturiert bewerten
• Du kannst BCM-Risiken priorisieren und passende technische sowie organisatorische Maßnahmen ableiten
• Du kannst Notfallpläne, Wiederanlaufverfahren und Krisenkommunikation fachlich beurteilen
• Du kannst BCM-Audits vorbereiten und Nachweise nach BSI-Standard 200-4 sowie ISO/IEC 27001 einordnen
• Du kannst konkrete Verbesserungsmaßnahmen für bestehende BCM- und Notfallmanagement-Strukturen formulieren

• Trainerinput mit Praxisbeispielen aus BCM, Informationssicherheit, IT-Betrieb und Auditpraxis
• Fallarbeit zur Analyse kritischer Geschäftsprozesse und typischer Ausfallszenarien
• Praxisübungen zu Business Impact Analysis, Risikoanalyse, Maßnahmenplanung und Dokumentation
• Workshops zur Entwicklung von BCM-Strategien, Notfallplänen und Kommunikationsstrukturen
• Diskussion von Teilnehmerfällen mit fachlicher Einordnung durch den Dozenten
• Checklisten, Vorlagen und Transferimpulse für die Umsetzung im eigenen Arbeitsumfeld