EFK erteilt gute Noten für Business Continuity Management

Das Bundesamt für Statistik hat im Bereich BCM zugelegt, sagt die Finanzkontrolle. Das freut auch das BIT.
 
Das Bundesamt für Statistik (BFS) produziert und publiziert, wie der Name schon sagt, statistische Informationen. Dafür nutzt das Amt eine IT-Infrastruktur, die vom Bundesamt für Informatik und Kommunikation (BIT) betrieben wird. Diese ist von grosser Bedeutung, da die Informationen des BFS der Meinungsbildung der Bevölkerung aber auch der Planung und Steuerung von zentralen Politikbereichen dient.
 
Als die Eidgenössische Finanzkontrolle (EFK) vor sieben Jahren diese umfassende Infrastruktur prüfte, stellte sie einige Mängel fest. So wurde zentral das Fehlen eines angemessenen Business Continuity Managements (BCM) bemängelt. 2017 wurden dann vom Bundsamts des Inneren (EDI) Richtlinien für das BCM erlassen, nach denen sich das BFS richtet. Vor einem Jahr schaute sich die EFK den Fortschritt in Sachen BCM an und publizierte nun einen Bericht.
 
Basierend auf einer Business-Impact-Analyse habe das BFS ermittelt, wie kritisch welche Geschäftsprozesse seien, heisst es darin. Für den Fall einer grösseren Störung soll ein dafür geschaffener Krisenstab einberufen werden, der die Abwicklung der Geschäftsprozesse abgestuft nach Dringlichkeit weiterhin abwickeln soll. Bei der Beurteilung folge das BFS dem "Best-Effort-Prinzip", so die EFK. Die Folgerung der Finanzkontrolle: "Diese Regelung ist angemessen."
 
Im Juli 2018 wurde seitens BFS eine Übung bezüglich BCM durchgeführt. Solche Tests sollen in Zukunft halbjährlich wiederholt werden. Darauf basierend würden dann Verbesserungen dokumentiert und umgesetzt.
 
Drei Systemplattformen wurden vom BFS als kritisch eingestuft: BUR2000 (Betriebs- und Unternehmensregister), SEDEX (Secure Data Exchange) und UID (Register für Unternehmens-Identifikationsnummern). Sie werden allesamt vom BIT betrieben. Definiert wurde, dass für diese Systeme eine Störung innerhalb von maximal 24 Stunden behoben sein muss, die Verfügbarkeit muss mindestens 96 Prozent betragen.
 
BUR befindet sich momentan in einem Reengineering. Auch dieses Projekt prüfte die EFK 2017 und formulierte Empfehlungen, die laut der Finanzkontrolle umgesetzt sind.
 
Im Bereich der Dokumentation wurden seitens EFK derweil noch "geringe Mängel" festgehalten: "Für die BCM-relevanten Dokumente sollte ein Verteiler festgelegt werden und es sollte eine nachvollziehbare Änderungskontrolle geführt werden." Man verzichte aber auf eine explizite Empfehlung, schreibt die EFK und resümiert: "Die relevanten Empfehlungen sind umgesetzt". (ts)