ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)
こんにちは、丸山満彦です。
ドイツのBSIが事業継続管理に関する標準 (BS-Standard 200-4 BCM)の第2次ドラフトを公表し、意見募集をしていますね。。。
● Bundesamt für Sicherheit in der Informationstechnik: BSI
・2022.09.19 Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht
Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht | BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)の発行 |
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die überarbeitete Version des BSI-Standards 200-4 BCM zur Kommentierung veröffentlicht. Die Entwicklungen im Cyber-Raum der letzten Jahre und globale Krisen haben gezeigt, wie wichtig eine gute Vorbereitung auf diese und Notfälle aller Art ist. Der aktualisierte BSI-Standard 200-4 BCM zeigt auf, wie sich Institutionen auf solche Fälle vorbereiten können. | ドイツ連邦情報セキュリティ庁(BSI)は、BSI標準200-4 BCMの改訂版を公開し、コメントを求めています。近年のサイバー空間の発展や世界的な危機は、これらやあらゆる種類の緊急事態に十分備えておくことがいかに重要であるかを示しています。更新されたBSIスタンダード200-4 BCMは、このようなケースに機関がどのように備えることができるかを示しています。 |
Das BSI hatte bereits den ersten Community Draft des BSI-Standards 200-4 zur Kommentierung zur Verfügung gestellt. Durch das Feedback konnte der Standard weiter verbessert werden. Die grundlegende Methodik und Dokumentenstruktur des ersten Community Drafts des BSI-Standards 200-4 wurde beibehalten. Jedoch haben sich die Struktur des Standards und inhaltliche Details in der aktuellen Version geändert. Daher wird der Standard erneut als Community Draft CD 2.0 zum Download bereitgestellt. | BSIは、すでにBSI標準200-4の最初のコミュニティドラフトを公開し、コメントを求めていた。フィードバックにより、この標準はさらに改善される可能性があります。BSI標準200-4の最初のコミュニティドラフトの基本的な方法論と文書構成はそのまま踏襲された。しかし、現行版では標準の構成や内容の詳細が変更されています。そこで、今回もコミュニティドラフト CD 2.0として標準をダウンロードできるようにしました。 |
Der Community Draft kann bis zum 30. November 2.02.2. kommentiert werden. Derzeit ist geplant, die finale Version des BSI-Standards 200-4- nach Einarbeitung der Kommentare im ersten Quartal des nächsten Jahres zu veröffentlichen. | コミュニティ・ドラフトは、2.02.2.年11月30日までコメントを受け付けています。現在、BSI Standard 200-4は、コメントを反映した最終版を来年の第1四半期に発行する予定です。 |
Zusätzlich stellt das BSI auf seinen Webseiten zahlreiche Hilfsmittel zum Thema BCM bereit. Als weiteres Hilfsmittel wird im Oktober der zum Standard dazugehörige Anforderungskatalog bereitgestellt, der die Anforderungen des Standards listenartig wiedergibt, damit sich Personen mit BCM-Erfahrung ohne Erklärungen direkt auf diese fokussieren können. | また、BSIはBCMをテーマとした数多くのツールをホームページで提供しています。また、10月に公開されるもう一つのツールは、標準に付随する要求事項カタログで、BCM経験者が説明なしに直接集中できるように、標準の要求事項を一覧にしています。 |
・2022.09.19 BSI-Standard 200-4 Business Continuity Management - Community Draft
BSI-Standard 200-4 Business Continuity Management - Community Draft | BSI標準200-4 事業継続マネジメント(BCM) - コミュニティドラフト |
Modernisierter BSI-Standard 200-4 Business Continuity Management | BSI標準200-4「事業継続マネジメント」改訂版 |
Im IT-Grundschutz ist das Thema Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Die fortlaufenden Entwicklungen und Erfahrungen in den Bereichen BCM, Notfallmanagement und (IT-)Krisenmanagement sowie mit den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. Die Ziele der Modernisierung bestehen vornehmlich darin: | 事業継続管理(BCM)は、長年にわたりIT業界の中で確固たる地位を築いており、緊急事態管理に関する従来のBSI標準100-4は、十分な根拠に基づいた支援を行っています。しかし、BCM、緊急事態管理、(IT)危機管理の分野や、情報セキュリティに関する隣接するBSI標準の発展や経験が、BSI標準100-4を根本的に近代化する必要性を示しています。近代化の目標は、主に以下の通りです。 |
![]() |
|
Quelle Bundesamt für Sicherheit in der Informationstechnik | 出典 連邦情報セキュリティ局 |
Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Er ermöglicht so insbesondere unerfahrenen BCM-Anwenderinnen und -Anwendern einen leichten Einstieg in die Thematik. Für erfahrene BCM-Anwenderinnen und -Anwender wird ein normativer Anforderungskatalog zur Verfügung gestellt. Derzeit ist noch keine Zertifizierung zu dem Standard geplant. | BSI標準200-4は、自機関の事業継続マネジメントシステム(BCMS)を立ち上げ、確立するための実践的な手順を示しています。特に、BCMの経験が浅い方でも簡単に始められるように配慮しています。BCMの経験者向けに、要求事項の規範的なカタログが提供されています。現在のところ、この標準の認証取得は予定していません。 |
Der BSI-Standard 200-4 steht unter folgendem Link als Community Draft 2.0 (CD 2.0) zum Download zur Verfügung: | BSI標準200-4は、Community Draft 2.0 (CD 2.0)として、以下のリンクからダウンロードすることができます。 |
BSI-Standard 200-4 – Business Continuity Management CD 2.0 | BSI Standard 200-4 - Business Continuity Management CD 2.0. |
Auf Basis des Feedbacks zum Community Draft 1.0 des BSI-Standards 200-4 wurden umfangreiche Änderungen vorgenommen und der Community Draft 2.0 des BSI-Standards 200-4 erstellt. Dieser kann bis zum 30.11.2.02.2. kommentiert werden. So möchte das BSI allen Anwendern die erneute Möglichkeit geben, die Änderungen, die sich aus dem bisherigen Feedback ergeben, zu kommentieren, bevor der BSI-Standard 200-4 final veröffentlicht wird. | BSI標準200-4のコミュニティドラフト1.0に対するフィードバックを基に、大幅な変更を加え、BSI標準200-4のコミュニティドラフト2.0が作成されました。2.02.2.年11月30日までコメント可能です。このように、BSIはBSI標準200-4の最終発行に先立ち、これまでに寄せられた意見に基づく変更点について、利用者の皆様に改めてコメントをいただく機会を設けたいと考えています。 |
Übersicht über wesentliche Weiterentwicklungen zum ersten Community Draft | 第1次コミュニティ・ドラフトと比較した、さらなる重要な進展の概要 |
Neue Kapitelstruktur: | 新しい章構成: |
Der BSI-Standard 200-4 CD 2.0 ist umstrukturiert und so im Umfang deutlich reduziert. Er beschreibt den Aufbau eines BCMS pro Prozessschritt, statt anhand der Stufen Reaktiv-, Aufbau- und Standard-BCMS. Bei den Kapitelüberschriften wird nun differenziert, für welche Stufe die jeweiligen Kapitel benötigt werden, so dass die Stufe auch weiterhin gut erkennbar ist. Hierdurch ist der BSI-Standard 200-4 noch übersichtlicher und es konnten viele Redundanzen entfernt werden. | BSI Standard 200-4 CD 2.0は再構築されたため、範囲が大幅に縮小されました。反応型BCMS、構造型BCMS、標準型BCMSという段階を使わず、プロセスステップごとにBCMSの構造を記述しています。各章の見出しは、どのレベルの章が必要かを区別し、レベルがわかりやすいようにしました。これにより、BSI標準200-4はさらに明確になり、多くの冗長性が取り除かれる可能性があります。 |
Methodik im Wesentlichen unverändert: | 方法論は基本的に変更しない: |
Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden BSI-Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit bereits begonnene Dokumentation leicht fortgeführt werden kann. | 好評でもあり、既存のBSI標準100-4からの移行を容易にするため、基本的な手法と関連手順、および基本的な文書モデルは変更されていません。また、すでに公開されているツールも大きくは変更されませんので、これですでにスタートしたドキュメントも容易に継続することができます。 |
Outsourcing: | アウトソーシング: |
Die Inhalte des Kapitels 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ aus dem ersten CD sind größtenteils in das Hilfsmittel BC-Strategien (wird derzeit überarbeitet) verschoben. Sie stehen dort gleichwertig neben anderen BC-Strategien im Fall von zeitkritischen Dienstleistungen. Im BSI-Standard 200-4 selbst ist das Thema in den BCM-Prozessen an geeigneten Stellen integriert (BC-Strategien, Soll-Ist-Vergleich, Überprüfungen, etc.), sodass das ursprüngliche Kapitel 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ entfallen konnte. | 第1弾CDの第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」の内容は、BC戦略ツール(現在改訂中)にほぼ移管されています。そこで、タイムクリティカルなサービスの場合、他のBC戦略と対等に立ち回ることができる。BSI標準200-4自体では、適切な箇所(BC戦略、目標・実績比較、レビューなど)でBCMプロセスに組み込まれ、当初の第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」を削除することが可能できました。 |
Weitere Änderungen: | その他の変更点: |
Neben dem grundsätzlichen, positiven Feedback gab es auch eine Vielzahl, an konstruktiven Kommentaren, die wiederum zu einer Vielzahl von Veränderungen im Detail geführt haben. Diese Änderungen werden hier nicht im Detail aufgezeigt. | 基本的でポジティブな意見に加え、建設的な意見も多く、その結果、細部の変更も多く見られました。これらの変更点の詳細については、ここでは記載していません。 |
An dieser Stelle sei allen Anwenderinnen und Anwendern für die zahlreichen konstruktiven Anmerkungen gedankt. Über Updates zum BSI-Standard 200-4 informiert u.a. der BCM-Newsletter. | この時点で、利用者の皆様から数々の建設的なご意見をいただいたことに感謝いたします。BSI Standard 200-4の更新情報は、BCMニュースレターでご覧いただけます。 |
Bis zur Veröffentlichung des finalen neuen BSI-Standard 200-4 bleibt der BSI-Standard 100-4 gültig. Anwender und Anwenderinnen können ihr BCMS bereits an den aktuellen CD des BSI-Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden. | 最終的な新しい BSI 標準 200-4 が発行されるまでは、BSI 標準 100-4 が引き続き有効です。第2次コメント段階では、方法論や文書に大きな変更はないため、既に、利用者はBSI規格200-4の現行CDとBCMSを整合させることが可能です。 |
Hilfsmittel zum BSI-Standard 200-4 | BSI標準200-4に対する補足 |
Um den Anwenderinnen und Anwendern die Arbeit und Umsetzung des BSI-Standards 200-4 zu erleichtern, werden zu diesem Standard zahlreiche Hilfsmittel veröffentlicht, wie z. B. weiterführende Aspekte zur Bewältigung oder eine Dokumentvorlage für Wiederanlaufpläne. Diese umfangreichen, bereits im BSI-Standard 200-4 referenzierten Hilfsmittel und die normativen Dokumente werden kontinuierlich auf der Webseite BSI-Standard 200-4 Hilfsmittel veröffentlicht. | BSI標準200-4の作業と実施を利用者のために容易にするために、この標準のために、対処のためのさらなる側面や復旧計画のための文書テンプレートなど、多くの補足が公表されています。BSI標準200-4で既に参照されているこれらの広範な補足と、規範となる文書は、BSI標準200-4補足のウェブサイトで継続的に公開されています。 |
・[PDF] BSI-Standard 200-4 Business Continuity Management -Community Draft 2.0-
目次...
1.Einleitung | 1.はじめに |
1.1. Adressatenkreis | 1.1. 想定読者 |
1.2. Zielsetzung | 1.2. 目標 |
1.3. Anwendungsweise | 1.3. 適用方法 |
2. Einführung in das BCM | 2. BCMの概要 |
2.1. Begriffe | 2.1. 用語 |
2.2. Grundlagen eines Managementsystems | 2.2. マネジメントシステムの基本 |
2.3. Ablauf der Bewältigung | 2.3. マネジメントのプロセス |
2.4. Abgrenzung und Synergien | 2.4. 限界とシナジー効果 |
2.5. Überblick über Normen und Standards | 2.5. 規範・標準の概要 |
2.6. BCMS Stufenmodell | 2.6. BCMSステージモデル |
3. Initiierung des BCMS durch die Institutionsleitung (R+AS) | 3. 機関の経営層によるBCMSの開始(R+AS) |
3.1. Übernahme der Verantwortung durch die Leitungsebene (R+AS) | 3.1.経営層による責任分担(R+AS) |
3.2. Zielsetzung (R+AS) | 3.2. 目標 (R+AS) |
3.3. Geltungsbereich (R+AS) | 3.3. 適用範囲 (R+AS) |
3.4. Entscheidung für Vorgehensweise (R+AS) | 3.4. 手続きの決定 (R+AS) |
3.5. Ernennung des BC-Beauftragten (R+AS) | 3.5. 事業継続責任者の選任 (R+AS) |
4. Konzeption und Planung des BCMS (R+AS) | 4. BCMSの設計・計画(R+AS) |
4.1. Definition und Abgrenzung (R+AS) | 4.1. 定義と区切り(R+AS) |
4.2. Analyse der erweiterten Rahmenbedingungen (AS) | 4.2. 拡張フレームワーク条件の分析(AS) |
4.3. Definition der BC-Aufbauorganisation (R+AS) | 4.3. 事業継続組織体制の定義(R+AS) |
4.4. Dokumentation (R+AS) | 4.4. 文書化(R+AS) |
4.5. Ressourcenplanung (R+AS) | 4.5. リソースプランニング(R+AS) |
4.6. Schulung (R+AS) | 4.6. トレーニング(R+AS) |
4.7. Sensibilisierung (R+AS) | 4.7. 啓発(R+AS) |
4.8. Leitlinie BCMS (R+AS) | 4.8. ガイドラインBCMS(R+AS) |
5. Aufbau und Befähigung der BAO (R+AS) | 5. BAOの仕組みとエンパワーメント(R+AS) |
5.1. Aufbau der BAO (R+AS) | 5.1. BAOの構造(R+AS) |
5.2. Detektion, Alarmierung und Eskalation (R+AS) | 5.2. 検出、アラート、エスカレーション(R+AS) |
5.3. Definition von Sofortmaßnahmen (R+AS) | 5.3. 当面の対策の定義(R+AS) |
5.4. Festlegung der Grundsätze zur Stabsarbeit (R) | 5.4. スタッフワークの原則の定義(R) |
5.5. Definition der Geschäftsordnung des Stabs (AS) | 5.5. スタッフの手続き規則の定義(AS) |
5.6. Herstellung der Fähigkeit zur Stabsarbeit (R+AS) | 5.6. スタッフの能力の確立(R+AS) |
5.7. NuK-Kommunikation (R+AS) | 5.7. NUC通信(R+AS) |
5.8. Nacharbeiten und Deeskalation (R+AS) | 5.8. 再開とエスカレーションの解除(R+AS) |
5.9. Analyse der Bewältigung (R+AS) | 5.9. 対処法分析(R+AS) |
6. Voranalyse (R+A) | 6. 事前対応 (R+A) |
6.1. Vorbereitung der Voranalyse (R+A) | 6.1. 事前分析の準備(R+A) |
6.2. Konkretisierung des Begriffs zeitkritisch (R+A) | 6.2. タイムクリティカルという用語の具体化(R+A) |
6.3. Durchführung der Voranalyse (R+A) | 6.3. 予備解析の実施(R+A) |
6.4. Konsolidierung und Vorstellung der Ergebnisse (R+A) | 6.4. 成果の集約と発表(R+A) |
6.5. Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS (A) | 6.5. 構築したBCMSの枠組みの中における計画的プロセス範囲の拡大(A) |
7. Business Impact Analyse (R+AS) | 7. 事業影響分析 (BIA)(R+AS) |
7.1. Vorbereitung der BIA (R+AS) | 7.1. BIAの準備(R+AS) |
7.2. Durchführung der BIA (R+AS) | 7.2. BIAの実施(R+AS) |
7.3. Auswertung (R+AS) | 7.3. 評価(R+AS) |
8. Soll-Ist-Vergleich (R+AS) | 8. 目標性能比較 (R+AS) |
8.1. Identifizierung der Ressourcenzuständigen (R+AS) | 8.1. リソース担当者の特定(R+AS) |
8.2. Durchführung des Soll-Ist-Vergleichs (R+AS) | 8.2. 目標と実績の比較の実施(R+AS) |
8.3. Auswertung und Freigabe der Ergebnisse (R+AS) | 8.3. 結果の評価と承認(R+AS) |
9. BCM-Risikoanalyse (AS) | 9. BCMリスク分析(AS) |
9.1. Auswahl einer geeigneten Risikoanalyse-Methode (AS) | 9.1. 適切なリスク分析手法の選択(AS) |
9.2. Vorarbeiten zur Risikoanalyse (AS) | 9.2. リスク分析のための予備作業(AS) |
9.3. Erstellung einer Gefährdungsübersicht (AS) | 9.3. ハザード・オーバービューの作成(AS) |
9.4. Risikoeinschätzung (AS) | 9.4. リスクアセスメント(AS) |
9.5. Risikobewertung (AS) | 9.5. リスク評価(AS) |
9.6. Risikobehandlung (AS) | 9.6. リスク対応(AS) |
10. Business-Continuity-Strategien und Lösungen (AS) | 10. 事業継続戦略とソリューション(AS) |
10.1. Identifikation möglicher BC-Strategien (AS) | 10.1. 考えられる事業継続戦略の特定(AS) |
10.2. Bewertung von BC-Strategien (AS) | 10.2. 事業継続戦略の評価(AS) |
10.3. Auswahl der BC-Strategien durch die Institutionsleitung (AS) | 10.3. 機関の経営層による事業継続戦略の選択(AS) |
10.4. Umsetzung der BC-Strategien und Lösungen (AS) | 10.4. BC戦略・ソリューションの実施(AS) |
11.Geschäftsfortführungsplanung (R+AS) | 11. 事業継続計画(R+AS) |
11.1. Vorbereitung der GFPs (R+AS) | 11.1. 事業継続計画の作成(R+AS) |
11.2. Erstellung der GFPs (R+AS) | 11.2. 事業継続計画の作成(R+AS) |
11.3. Qualitätssicherung und Freigabe (R+AS) | 11.3. 品質保証とリリース(R+AS) |
12. Wiederanlauf- und Wiederherstellungsplanung (AS) | 12.再稼働と復旧計画(AS) |
12.1. Vorbereitung der WAPs (AS) | 12.1. 再稼働計画の準備(AS) |
12.2. Erstellung der WAPs (AS) | 12.2. 再稼働計画の作成(AS) |
12.3. Qualitätssicherung und Freigabe der WAPs (AS) | 12.3. 品質保証と再稼働計画の開始(AS) |
12.4. Wiederherstellungsplanung im Rahmen des BCM (AS) | 12.4. BCMの枠組みにおける復旧計画(AS) |
13. Üben und Testen (R+AS) | 13. 実践と検証(R+AS) |
13.1. Rahmenbedingungen zum Üben im Reaktiv-BCMS (R) | 13.1. 受動的BCMSを実践するための枠組み条件(R) |
13.2. Festlegung der Rahmenbedingungen zum Üben (AS) | 13.2. 訓練フレームワークの確立(AS) |
13.3. Erstellung einer Jahresübungsplanung (R+AS) | 13.3. 年間演習計画の作成(R+AS) |
13.4. Vorbereitung und Durchführung einer Übung (R+AS) | 13.4. 演習の準備と実行(R+AS) |
13.5. Auswertung und Nachbereitung von Übungen (R+AS) | 13.5. 演習の評価とフォローアップ(R+AS) |
14. Leistungsüberprüfung und Berichterstattung (AS) | 14. パフォーマンスレビューと報告(AS) |
14.1. Überwachung, Messung, Analyse und Bewertung (AS) | 14.1.モニタリング、測定、分析、評価 (AS) |
14.2. Bewertung und Überwachung von externen Dienstleistern (AS) | 14.2. 外部サービスプロバイダーの評価と監視(AS) |
14.3. Interne und externe Überprüfungen (AS) | 14.3. 内部・外部レビュー(AS) |
14.4. Managementbewertung (AS) | 14.4. マネジメントレビュー(AS) |
15. Aufrechterhaltung und Verbesserung (R+AS) | 15. 保守・改善(R+AS) |
15.1. Vorbereitung eines BCM-Maßnahmenplans (R+AS) | 15.1.BCMアクションプランの作成(R+AS) |
15.2. Ableitung von Korrektur- und Verbesserungsmaßnahmen (R+AS) | 15.2. 是正処置及び改善処置の導出(R+AS) |
15.3. Umsetzung und Überwachung von Korrektur- und Verbesserungsmaßnahmen (AS) | 15.3. 是正・改善措置の実施とモニタリング(AS) |
15.4. Weiterentwicklung des Reaktiv-BCMS (R) | 15.4. 受動的BCMSのさらなる発展(R) |
Anhang A: Anforderungskatalog | 附属書A:要求事項のカタログ |
Anhang B: Hinweise zu den Hilfsmitteln | 附属書B:ツールに関する注意事項 |
Literaturverzeichnis | 書誌情報 |
BSI 200-4補足資料
・ BSI-Standard 200-4: Hilfsmittel
・サンプルテキストを含む文書テンプレート
[DOCX] Leitlinie | ガイドライン |
[PPTX] Beispiel für eine BCM-Organisation | BCM組織の例 |
[PPTX] Präsentationsvorlage zur Business-Impact-Analyse | 事業影響分析用プレゼンテーションテンプレート |
[PPTX] Übersicht über Schadensszenarien und -kategorien | 損失シナリオとカテゴリの概要 |
[XLSX] Bewertungstabelle BC-Strategien | 評価表 事業継続戦略 |
[DOCX] Notfallvorsorgekonzept | 防災の考え方 |
[DOCX] Notfallhandbuch | 緊急時対応マニュアル |
[PPTX] Beispiel Verhaltenskodex | 行動規範の例 |
[PPTX] Schaubild Eskalations- und Alarmierungspfade | エスカレーションとアラートパスの図 |
[DOCX] Geschäftsfortführungsplan (GFP) | 事業継続計画(CFP) |
[DOCX] Wiederanlauf- / Wiederherstellungsplan (WAP/WHP) | 再稼働/復旧計画(WAP/WHP) |
[DOCX] Übungskonzept | 訓練のコンセプト |
[XLSX] BCM-Maßnahmenplan | BCMアクションプラン |
[DOCX] Grundanforderungskatalog für Outsourcing und Lieferketten | アウトソーシングとサプライチェーンのための基本要件カタログ |
現在のBS-Standard 100-4
・BSI-Standard 100-4 Notfallmanagement
BSI-Standard 100-4 Notfallmanagement | BSI標準100-4 緊急事態管理 |
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. | BSI標準100-4は、公共機関や企業において、事業の継続性を確保するための緊急事態管理システムを構築するための体系的な方法を示しています。したがって、緊急管理システムの課題は、フェイルセーフを高め、緊急事態や危機に対して十分に備え、障害が発生した場合に最も重要なビジネスプロセスを迅速に再開できるようにすることである。緊急事態や危機による被害を最小限に抑え、大きな被害が発生した場合でも当局や企業の存続を確保することを目的としています。 |
・[PDF] BSI-Standard 100-4 Notfallmanagement
Inhaltsverzeichnis | 目次 |
1.Einleitung | 1.はじめに |
1.1.Versionshistorie | 1.1.改訂履歴 |
1.2. Zielsetzung | 1.2. 目標 |
1.3. Adressatenkreis | 1.3. 対象者 |
1.4. Anwendungsweise | 1.4. 適用方法 |
1.5. Literaturverzeichnis | 1.5. 書誌事項 |
2. Notfallmanagement und IT-Grundschutz | 2. 緊急事態管理とIT化 |
2.1.Einordnung in die BSI-Standards | 2.1.BSI標準における分類 |
2.2. Begriffe | 2.2. 用語 |
2.3. Weitere Standards für Notfallmanagement | 2.3. その他の緊急事態管理に関する標準 |
3. Der Notfallmanagement-Prozess | 3. 緊急事態管理プロセス |
3.1.Überblick | 3.1.概要 |
3.2. Dokumentation | 3.2. ドキュメント |
3.2.1.Mindestanforderung an die Kennzeichnung der Dokumente zum Notfallmanagement | 3.2.1.緊急事態管理文書のラベル付けに関する最低要件 |
3.2.2. Detailtiefe | 3.2.2. 詳細レベル |
3.2.3. Änderungsmanagement | 3.2.3. 変更管理 |
3.2.4. Dokumentationsmedium | 3.2.4. ドキュメント媒体 |
3.3. Sicherheit und Datenschutz | 3.3. セキュリティとデータ保護 |
4. Initiierung des Notfallmanagement-Prozesses | 4. 緊急事態管理プロセスの開始 |
4.1.Übernahme von Verantwortung durch die Leitungsebene | 4.1.経営層による責任の分担 |
4.2. Konzeption und Planung des Notfallmanagement-Prozesses | 4.2. 緊急管理プロセスの設計と計画 |
4.2.1.Definition des Notfallmanagements | 4.2.1.緊急事態管理の定義 |
4.2.2. Festlegung des Geltungsbereichs | 4.2.2. 適用範囲の決定 |
4.2.3. Rechtliche Anforderungen und sonstige Vorgaben | 4.2.3. 法的要求事項およびその他の仕様 |
4.2.4. Zielsetzung und Anforderung an das Notfallmanagement | 4.2.4. 緊急事態管理の目的および要件 |
4.2.5. Planungsprinzip | 4.2.5. 計画の原則 |
4.3. Schaffung organisatorischer Voraussetzungen | 4.3. 組織的要求事項の作成 |
4.3.1.Rollen in der Notfallvorsorgeorganisation | 4.3.1.緊急時対応組織における役割 |
4.3.2. Rollen in der Notfallbewältigungsorganisation | 4.3.2. 緊急事態管理組織における役割 |
4.3.3. Zusammenspiel mit dem Informationssicherheitsmanagement | 4.3.3. 情報セキュリティ管理との相互作用 |
4.4. Erstellung einer Leitlinie zum Notfallmanagement | 4.4. 緊急時対応ガイドラインの作成 |
4.5. Bereitstellung von Ressourcen | 4.5. リソースの提供 |
4.5.1.Kosteneffiziente Notfallstrategie | 4.5.1.費用対効果の高い緊急対策 |
4.5.2. Ressourcen für die Notfallmanagement-Organisation | 4.5.2. 緊急事態管理組織のためのリソース |
4.5.3. Ressourcen für Vorsorgemaßnahmen und deren Betrieb | 4.5.3. 備え対策のための資源とその運用 |
4.5.4. Zusammenarbeit mit anderen Management-Systemen | 4.5.4. 他のマネジメントシステムとの協働 |
4.6. Einbindung aller Mitarbeiter | 4.6. 全スタッフの参画 |
4.6.1.Sensibilisierung und Schulung | 4.6.1.意識改革とトレーニング |
4.6.2. Einbindung, Risikokommunikation und Früherkennung | 4.6.2. 関与、リスクコミュニケーション、早期発見 |
5. Konzeption | 5. 設計 |
5.1.Die Business Impact Analyse | 5.1.ビジネスインパクトの分析 |
5.1.1.Überblick | 5.1.1.概要 |
5.1.2. Durchführung einer Business Impact Analyse | 5.1.2. ビジネスインパクト解析の実施 |
5.1.2.1.Stammdaten und Geschäftsprozesse | 5.1.2.1.マスターデータおよびビジネスプロセス |
5.1.2.2. Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse | 5.1.2.2. 対象とする組織単位及び業務プロセスの選定 |
5.1.2.3. Schadensanalyse | 5.1.2.3. ダメージ解析 |
5.1.2.4. Festlegung der Wiederanlaufparameter | 5.1.2.4. 再起動パラメータの決定 |
5.1.2.5. Berücksichtigung von Abhängigkeiten | 5.1.2.5. 依存関係への配慮 |
5.1.2.6. Priorisierung und Kritikalität der Geschäftsprozesse | 5.1.2.6. ビジネスプロセスの優先順位付けと重要性 |
5.1.2.7. Erhebung der Ressourcen für Normal- und Notbetrieb | 5.1.2.7. 平常時および緊急時のオペレーションに必要なリソースの調査 |
5.1.2.8. Kritikalität und Wiederanlaufzeiten der Ressourcen | 5.1.2.8. リソースのクリティカリティと再起動時間 |
5.1.3. BIA-Bericht | 5.1.3. BIAレポート |
5.2. Risikoanalyse | 5.2. リスク分析 |
5.2.1.Risikoidentifizierung | 5.2.1.リスクの特定 |
5.2.2. Risikobewertung | 5.2.2. リスクアセスメント |
5.2.3. Gruppierung und Szenarienbildung | 5.2.3. グループ分けとシナリオの構築 |
5.2.4. Risikostrategie-Optionen identifizieren | 5.2.4. リスク戦略オプションの特定 |
5.2.5. Risikoanalyse-Bericht | 5.2.5. リスク分析報告書 |
5.3. Aufnahme des Ist-Zustandes | 5.3. 現状の記録 |
5.4. Kontinuitätsstrategien | 5.4. 継続戦略 |
5.4.1.Entwicklung von Kontinuitätsstrategien | 5.4.1.継続戦略の策定 |
5.4.2. Kosten-Nutzen-Analyse | 5.4.2. コストベネフィット分析 |
5.4.3. Konsolidierung und Auswahl der Kontinuitätsstrategien | 5.4.3. 継続戦略の整理と選択 |
5.5. Notfallvorsorgekonzept | 5.5. 緊急事態への備えの考え方 |
5.5.1.Feinkonzeption, Sicherheit und Kontrollen | 5.5.1.詳細設計、セキュリティ、コントロール |
5.5.2. Inhalt | 5.5.2. コンテンツ |
5.5.3. Bekanntgabe und Verteilung des Notfallvorsorgekonzepts | 5.5.3. 緊急事態への備えの考え方の発表と配布 |
5.5.4. Aktualisierung des Notfallvorsorgekonzepts | 5.5.4. 緊急事態への備えの考え方の更新 |
6. Umsetzung des Notfallvorsorgekonzepts | 6. 緊急事態への備えの考え方の実施 |
6.1.Kosten- und Aufwandsschätzung | 6.1.コストと工数の見積もり |
6.2. Festlegung der Umsetzungsreihenfolge der Maßnahmen | 6.2. 施策の実施順序の決定 |
6.3. Festlegung der Aufgaben und der Verantwortung | 6.3. 課題と責任の定義 |
6.4. Realisierungsbegleitende Maßnahmen | 6.4. 実施に伴う措置 |
7. Notfallbewältigung und Krisenmanagement | 7. 緊急対応・危機管理 |
7.1.Ablauforganisation | 7.1.プロセスの構成 |
7.1.1.Meldung, Alarmierung und Eskalation | 7.1.1.通知、警告、エスカレーション |
7.1.2. Sofortmaßnahmen | 7.1.2. 緊急対策 |
7.1.3. Krisenstabsraum | 7.1.3. 危機管理室 |
7.1.4. Aufgaben und Kompetenzen des Krisenstabs | 7.1.4. 危機管理チームの任務と能力 |
7.1.5. Geschäftsfortführung, Wiederanlauf und Wiederherstellung | 7.1.5. 事業の継続、再開、回復 |
7.1.6. Rückführung und Nacharbeiten | 7.1.6. 回復と再作業 |
7.1.7. Analyse der Notfallbewältigung | 7.1.7. 緊急時の対応に関する分析 |
7.1.8. Dokumentation in der Notfallbewältigung | 7.1.8. 緊急事態管理における文書化 |
7.2. Psychologische Aspekte bei der Krisenstabsarbeit | 7.2. 危機管理チーム活動の心理的側面 |
7.3. Krisenkommunikation | 7.3. 危機コミュニケーション |
7.3.1.Interne Krisenkommunikation | 7.3.1.社内危機コミュニケーション |
7.3.2. Externe Krisenkommunikation | 7.3.2. 社外危機コミュニケーション |
7.4. Notfallhandbuch | 7.4. 緊急時対応マニュアル |
7.4.1.Sofortmaßnahmenplan | 7.4.1.緊急時行動計画 |
7.4.2. Krisenstabsleitfaden | 7.4.2. 危機管理チームガイド |
7.4.3. Krisenkommunikationsplan | 7.4.3. 危機コミュニケーション計画 |
7.4.4. Geschäftsfortführungspläne | 7.4.4. 事業継続計画 |
7.4.5. Wiederanlaufpläne | 7.4.5. 復旧計画 |
8. Tests und Übungen | 8. テストと演習 |
8.1.Test- und Übungsarten | 8.1.テストと演習の種類 |
8.2. Dokumente | 8.2. 文書化 |
8.2.1.Übungshandbuch | 8.2.1.演習マニュアル |
8.2.2. Übungsplan | 8.2.2. 演習計画 |
8.2.3. Test- und Übungskonzept | 8.2.3. テストと演習の考え方 |
8.2.4. Test- und Übungsprotokoll | 8.2.4. テストと演習のプロトコル |
8.3. Durchführung von Tests und Übungen | 8.3. テストと演習の実施 |
8.3.1.Grundsätze | 8.3.1.原則 |
8.3.2. Rollen | 8.3.2. 役割 |
8.3.3. Ablauf | 8.3.3. 手続き |
9. Aufrechterhaltung und kontinuierliche Verbesserung | 9. メンテナンスと継続的改善 |
9.1.Aufrechterhaltung | 9.1.メンテナンス |
9.2. Überprüfungen | 9.2. レビュー |
9.3. Informationsfluss und Managementbewertung | 9.3. 情報の流れとマネジメントの見直し |
10. Outsourcing und Notfallmanagement | 10. アウトソーシングと緊急事態管理 |
10.1.Planung und Vertragsgestaltung | 10.1.企画・契約設計 |
10.2. Berücksichtigung bei der Konzeption | 10.2. 設計上の配慮 |
11.Tool-Unterstützung | 11.ツール支援 |
12. Glossar | 12. 用語集 |
Anhang A Strategieoptionen | 附属書A 戦略オプション |
A.1.Arbeitsplätze | A.1. 職場 |
A.2. Personal | A.2. 人員 |
A.3. Informationstechnik | A.3. 情報技術 |
A.4. Komponentenausfälle | A.4. コンポーネントの不具合 |
A.5. Informationen | A.5. 情報 |
A.6. Externe Dienstleister und Lieferanten | A.6. 外部サービスプロバイダーとサプライヤー |
Anhang B Präventive Maßnahmen | 附属書B 予防措置 |
B.1.Meldetechnik | B.1. レポート作成技術 |
B.2. Datensicherung | B.2. データのバックアップ |
B.3. Vereinbarungen mit externen Dienstleistern | B.3. 外部サービスプロバイダーとの契約 |
B.4. Festlegung von Ausweichstandorten und deren Anforderungen | B.4. 代替手段とその要求事項の決定 |
Anhang C Gliederung Notfallhandbuch | 附属書C 緊急時対応マニュアルの概要 |
Anhang D Gliederung Geschäftsfortführungsplan | 附属書D 事業継続計画の概要 |
Dankesworte | 謝辞 |
Comments