M 6.2 Notfall-Definition, Notfall-Verantwortlicher
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Nicht jeder Teil- oder Gesamtausfall des Systems stellt jedoch einen Notfall dar. Oftmals lassen sich Ausfälle des IT-Systems durch geplante Maßnahmen, z. B. Ersatzbeschaffung, auch in kurzer Zeit beheben. Der Notfall tritt erst dann ein, wenn ein Zustand erreicht wird, bei dem innerhalb der geforderten Zeit eine Wiederherstellung der Verfügbarkeit (siehe M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen) nicht möglich ist und sich daraus ein sehr hoher Schaden ergibt. Schon bei Eintritt eines Ereignisses, in dessen Folge der Notfall entstehen könnte, sind die erforderlichen Maßnahmen zu ergreifen, die zu einer Schadensreduzierung führen.
Für die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen bedarf es der Benennung eines Notfall-Verantwortlichen. Die Behörden- bzw. Unternehmensleitung muss den Notfall-Verantwortlichen sowohl für die Entscheidung autorisieren, ob ein Notfall eingetreten ist, als auch für die Einleitung erforderlicher Notfallmaßnahmen.
Ergänzende Kontrollfragen:
- Wer ist autorisiert, über einen Notfall zu entscheiden?