Business continuity planning

Business continuity planning - Geschäftskontinuitätsplanung

Beschreibung

Datei:BCPLifecycle.gif

„Geschäftskontinuität“ kann definiert werden als ‚die Fähigkeit einer Organisation, die Lieferung von Produkten oder Dienstleistungen nach einem Störfall auf einem vordefinierten akzeptablen Niveau fortzusetzen‘, und ‚Geschäftskontinuitätsplanung‘ (oder ‚Geschäftskontinuitäts- und Resilienzplanung‘) ist der Prozess der Schaffung von Präventions- und Wiederherstellungssystemen, um mit potenziellen Bedrohungen für ein Unternehmen umzugehen.

• Neben der Prävention besteht das Ziel darin, den laufenden Betrieb vor und während der Durchführung der Notfallwiederherstellung zu ermöglichen.

Geschäftskontinuität ist das beabsichtigte Ergebnis einer ordnungsgemäßen Ausführung sowohl der Geschäftskontinuitätsplanung als auch der Notfallwiederherstellung.

Mehrere Geschäftskontinuitätsstandards wurden von verschiedenen Normungsgremien veröffentlicht, um bei der Erstellung von Checklisten für laufende Planungsaufgaben zu helfen.

Geschäftskontinuität erfordert einen Top-Down-Ansatz, um die Mindestanforderungen einer Organisation zu ermitteln und ihre Überlebensfähigkeit als Einheit sicherzustellen.

• Die Widerstandsfähigkeit einer Organisation gegen Ausfälle ist „die Fähigkeit ...
• Veränderungen in ihrer Umgebung standzuhalten und trotzdem zu funktionieren“.
• Oft als Resilienz bezeichnet, ist es eine Fähigkeit, die es Organisationen ermöglicht, entweder Umweltveränderungen zu überstehen, ohne sich permanent anpassen zu müssen, oder die Organisation ist gezwungen, eine neue Arbeitsweise anzupassen, die besser zu den neuen Umweltbedingungen passt.

Übersicht

Jedes Ereignis, das sich negativ auf den Betrieb auswirken könnte, sollte in den Plan aufgenommen werden, z. B. eine Unterbrechung der Lieferkette, der Verlust oder die Beschädigung kritischer Infrastrukturen (Großmaschinen oder Computer-/Netzwerkressourcen).

• Daher ist BCP eine Untermenge des Risikomanagements.

In den USA bezeichnen Regierungsbehörden diesen Prozess als „Continuity of Operations Planning“ (COOP).

• Ein „Business Continuity Plan“

beschreibt eine Reihe von Katastrophenszenarien und die Schritte, die das Unternehmen in einem bestimmten Szenario unternehmen wird, um zum regulären Geschäftsbetrieb zurückzukehren.

• BCPs werden im Voraus erstellt und können auch Vorkehrungen enthalten, die getroffen werden müssen.
• Ein BCP wird in der Regel unter Einbeziehung von Schlüsselmitarbeitern und Interessengruppen erstellt und ist eine Reihe von Eventualitäten, um potenzielle Schäden für Unternehmen in ungünstigen Szenarien zu minimieren.

Resilienz

Eine Analyse aus dem Jahr 2005 darüber, wie sich Störungen negativ auf die Geschäftstätigkeit von Unternehmen auswirken können und wie Investitionen in Resilienz einen Wettbewerbsvorteil gegenüber Unternehmen verschaffen können, die nicht auf verschiedene Eventualitäten vorbereitet sind, erweiterte die damals üblichen Geschäftskontinuitätsplanungsmethoden.

• Wirtschaftsorganisationen wie der Rat für Wettbewerbsfähigkeit haben dieses Resilienzziel aufgegriffen.

Die Anpassung an Veränderungen in einer scheinbar langsameren, evolutionäreren Weise – manchmal über viele Jahre oder Jahrzehnte hinweg – wurde als resilienter beschrieben, und der Begriff „strategische Resilienz“ wird heute verwendet, um über die Abwehr einer einmaligen Krise hinauszugehen und stattdessen kontinuierlich vorausschauend zu handeln und sich anzupassen, „bevor die Notwendigkeit einer Veränderung dringend offensichtlich wird“.

Dieser Ansatz wird manchmal wie folgt zusammengefasst: Vorbereitung, Schutz, Reaktion und Wiederherstellung.

Die Resilienztheorie kann mit dem Bereich der Öffentlichkeitsarbeit in Verbindung gebracht werden.

• Resilienz ist ein kommunikativer Prozess, der von Bürgern, Familien, Mediensystemen, Organisationen und Regierungen durch alltägliche Gespräche und vermittelte Konversation aufgebaut wird.

Die Theorie basiert auf der Arbeit von Patrice M. * Buzzanell, Professor an der Brian Lamb School of Communication der Purdue University.

• In ihrem Artikel „Resilience: Talking, Resisting, and Imagining New Normalcies Into Being“ aus dem Jahr 2010

diskutierte Buzzanell die Fähigkeit von Organisationen, nach einer Krise durch den Aufbau von Widerstand zu gedeihen.

• Buzzanell stellt fest, dass es fünf verschiedene Prozesse gibt, die Einzelpersonen anwenden, wenn sie versuchen, ihre Resilienz aufrechtzuerhalten: Normalität schaffen, Identitätsanker bekräftigen, Kommunikationsnetzwerke aufrechterhalten und nutzen, alternative Logiken anwenden und negative Gefühle herunterspielen, während positive Emotionen in den Vordergrund gerückt werden.

Wenn man sich die Resilienztheorie ansieht, ist die Theorie der Krisenkommunikation ähnlich, aber nicht gleich.

• Die Theorie der Krisenkommunikation basiert auf dem Ruf des Unternehmens, die Resilienztheorie hingegen auf dem Prozess der Erholung des Unternehmens.
• Es gibt fünf Hauptkomponenten der Resilienz: Herstellung von Normalität, Bestätigung von Identitätsankern, Aufrechterhaltung und Nutzung von Kommunikationsnetzwerken, Anwendung alternativer Logiken und Herunterspielen negativer Gefühle, während negative Emotionen in den Vordergrund gerückt werden.
• Jeder dieser Prozesse kann auf Unternehmen in Krisenzeiten angewendet werden, sodass Resilienz ein wichtiger Faktor ist, auf den sich Unternehmen bei Schulungen konzentrieren sollten.

Es gibt drei Hauptgruppen, die von einer Krise betroffen sind.

• Sie sind micro (individuell), meso (Gruppe oder Organisation) und macro (national oder interorganisatorisch).
• Es gibt auch zwei Haupttypen von Resilienz, nämlich proaktive und post-Resilienz.
• Proaktive Resilienz bedeutet, sich auf eine Krise vorzubereiten und eine solide Grundlage für das Unternehmen zu schaffen.
• Post-Resilienz umfasst die Aufrechterhaltung der Kommunikation und die Überprüfung der Situation mit den Mitarbeitern.
• Proaktive Resilienz bedeutet, sich mit anstehenden Problemen zu befassen, bevor sie zu einer möglichen Veränderung des Arbeitsumfelds führen, und nach einem Vorfall die Kommunikation aufrechtzuerhalten und Veränderungen zu akzeptieren.
• Resilienz kann auf jede Organisation angewendet werden.

In Neuseeland wurde im Rahmen des Programms „Resilient Organisations“ der Universität Canterbury ein Bewertungsinstrument für das Benchmarking der Resilienz von Organisationen entwickelt.

Kontinuität

Pläne und Verfahren werden in der Geschäftskontinuitätsplanung eingesetzt, um sicherzustellen, dass die kritischen organisatorischen Abläufe, die für den Betrieb einer Organisation erforderlich sind, auch dann weiterlaufen, wenn wichtige Abhängigkeiten der Abläufe unterbrochen werden.

• Kontinuität muss nicht für jede Aktivität gelten, die die Organisation durchführt.
• Beispielsweise sind Organisationen gemäß ISO 22301:2019 verpflichtet, ihre Ziele für die Geschäftskontinuität, die Mindestanforderungen an den Produkt- und Dienstleistungsbetrieb, die als akzeptabel angesehen werden, und die maximal tolerierbare Unterbrechungszeit (MTPD) festzulegen, die zulässig ist.

Ein großer Kostenfaktor bei der Planung hierfür ist die Erstellung von Dokumenten zur Einhaltung der Prüfungsvorschriften. Es stehen Automatisierungstools zur Verfügung, um den Zeit- und Kostenaufwand für die manuelle Erstellung dieser Informationen zu reduzieren.

Bestandsaufnahme

Planer müssen über Informationen verfügen über:

• Ausrüstung
• Vorräte und Lieferanten
• Standorte, einschließlich anderer Büros und Backup-/Work Area Recovery (WAR)-Standorte
• Dokumente und Unterlagen, einschließlich solcher, die über externe Sicherungskopien verfügen:
  • Geschäftsdokumente
  • Verfahrensdokumentation

Analyse

Die Analysephase besteht aus:

• Auswirkungsanalyse
• Bedrohungs- und Risikoanalyse
• Auswirkungsszenarien

Die Quantifizierung von Verlustquoten muss auch „Dollar zur Verteidigung in einem Rechtsstreit“ beinhalten. Schätzungen zufolge kann ein Dollar, der in die Schadensverhütung investiert wird, „sieben Dollar an katastrophenbedingten wirtschaftlichen Verlusten“ verhindern.^[1]

Business Impact Analysis (BIA)

Eine Business Impact Analysis (BIA) unterscheidet zwischen kritischen (dringenden) und nicht kritischen (nicht dringenden) Organisationsfunktionen/-aktivitäten.

• Eine Funktion kann als kritisch angesehen werden, wenn sie gesetzlich vorgeschrieben ist.

Jede Funktion/Aktivität ist in der Regel auf eine Kombination von Bestandteilen angewiesen, um funktionieren zu können:

• Humanressourcen (Vollzeitmitarbeiter, Teilzeitmitarbeiter oder Auftragnehmer)
• IT-Systeme
• Sachanlagen (Mobiltelefone, Laptops/Workstations usw.)
• Dokumente (elektronisch oder physisch)

Für jede Funktion werden zwei Werte zugewiesen:

• Recovery Point Objective (RPO) – die akzeptable Latenzzeit von Daten, die nicht wiederhergestellt werden.
• Ist es beispielsweise für das Unternehmen akzeptabel, Daten von zwei Tagen zu verlieren? Das Recovery Point Objective muss sicherstellen, dass der maximal tolerierbare Datenverlust für jede Aktivität nicht überschritten wird.
• Recovery Time Objective (RTO) – die akzeptable Zeitspanne für die Wiederherstellung der Funktion

Maximale RTO

Maximale Zeitbeschränkungen dafür, wie lange die wichtigsten Produkte oder Dienstleistungen eines Unternehmens nicht verfügbar oder nicht lieferbar sein dürfen, bevor die Interessengruppen inakzeptable Folgen wahrnehmen, wurden wie folgt benannt:

• Vorlage:Visible anchor (MTPoD)
• Maximal tolerierbare Ausfallzeit (MTD)
• Maximal tolerierbarer Ausfall (MTO)
• Maximal akzeptabler Ausfall (MAO)

Gemäß ISO 22301 bedeuten die Begriffe „maximal akzeptabler Ausfall“ und „maximal tolerierbare Unterbrechungsdauer“ dasselbe und werden mit genau denselben Worten definiert. Einige Standards verwenden den Begriff „maximale Ausfallzeitgrenze“.

Konsistenz

Wenn mehr als ein System abstürzt, müssen Wiederherstellungspläne die Notwendigkeit der Datenkonsistenz mit anderen Zielen wie RTO und RPO in Einklang bringen.

„Recovery Consistency Objective“ (RCO) ist der Name dieses Ziels.

• Es wendet Datenkonsistenz-Ziele an, um eine Messung für die Konsistenz verteilter Geschäftsdaten innerhalb vernetzter Systeme nach einem Katastrophenfall zu definieren.
• Ähnliche Begriffe, die in diesem Zusammenhang verwendet werden, sind ‚Recovery Consistency Characteristics‘ (RCC) und ‚Recovery Object Granularity‘ (ROG).

Während RTO und RPO absolute Werte pro System sind, wird RCO als Prozentsatz ausgedrückt, der die Abweichung zwischen dem tatsächlichen und dem angestrebten Zustand von Geschäftsdaten über Systeme hinweg für Prozessgruppen oder einzelne Geschäftsprozesse misst.

Die folgende Formel berechnet RCO, wobei „n“ die Anzahl der Geschäftsprozesse und „Entitäten“ einen abstrakten Wert für Geschäftsdaten darstellen: ${\displaystyle {\text{RCO}}=1-{\frac {({\text{Anzahl inkonsistenter Entitäten}})_{n}}{({\text{Anzahl der Entitäten}})_{n}}}}$

100 % RCO bedeutet, dass nach der Wiederherstellung keine Abweichung der Geschäftsdaten auftritt.

Bedrohungs- und Risikoanalyse (TRA)

Nach der Definition der Wiederherstellungsanforderungen kann jede potenzielle Bedrohung spezifische Wiederherstellungsschritte (Notfallpläne oder Playbooks) erfordern.

• Zu den häufigsten Bedrohungen gehören:

Vorlage:Columns-list

Die oben genannten Bereiche können kaskadieren: Einsatzkräfte können ins Straucheln geraten.

• Vorräte können zur Neige gehen.
• Während des Ausbruchs von SARS 2002–2003 teilten einige Organisationen ihre Teams in Abteilungen auf und wechselten sie aus, um sie an die Inkubationszeit der Krankheit anzupassen.
• Sie verboten auch den persönlichen Kontakt während der Geschäfts- und der Freizeit.
• Dies erhöhte die Widerstandsfähigkeit gegen die Bedrohung.

Auswirkungsszenarien

Auswirkungsszenarien werden identifiziert und dokumentiert:

• Bedarf an medizinischer Versorgung

• Bedarf an Transportmöglichkeiten^[2]
• zivile Auswirkungen von Atomkatastrophen
• Bedarf an Betriebs- und Datenverarbeitungsbedarf^[3]

Diese sollten den größtmöglichen Schaden widerspiegeln.

Bereitschaftsstufen

Die sieben Stufen der Notfallwiederherstellung von SHARE, die 1992 veröffentlicht wurden, wurden 2012 von IBM als achtstufiges Modell aktualisiert:^[4] Tier 0 – Keine Offsite-Daten • Unternehmen mit einer Tier-0-Notfallwiederherstellungslösung haben keinen Notfallwiederherstellungsplan.

• Es gibt keine gespeicherten Informationen, keine Dokumentation, keine Sicherungshardware und keinen Notfallplan.
• Typische Wiederherstellungszeit: „Die Dauer der Wiederherstellung ist in diesem Fall nicht vorhersehbar“.
• Tatsächlich ist eine Wiederherstellung möglicherweise überhaupt nicht möglich.

„Tier 1“ – ‚Datensicherung ohne Hot Site‘ • Unternehmen, die Tier-1-Lösungen für die Notfallwiederherstellung verwenden, sichern ihre Daten an einem externen Standort.

• Je nachdem, wie oft Backups erstellt werden, sind sie darauf vorbereitet, einen Datenverlust von mehreren Tagen bis Wochen zu akzeptieren, aber ihre Backups sind außerhalb des Standorts sicher.
• Allerdings fehlen auf dieser Ebene die Systeme, auf denen Daten wiederhergestellt werden können.
• Pickup Truck Access Method (PTAM).

Stufe 2 – Datensicherung mit Hot Site • Lösungen der Stufe 2 für die Notfallwiederherstellung erstellen regelmäßige Backups auf Band.

• Dies wird mit einer externen Einrichtung und Infrastruktur (bekannt als Hot Site) kombiniert, in der Systeme im Katastrophenfall von diesen Bändern wiederhergestellt werden können.
• Diese Lösung der Stufe führt immer noch dazu, dass Daten im Umfang von mehreren Stunden bis Tagen neu erstellt werden müssen, aber „die Wiederherstellungszeit ist weniger unvorhersehbar“.
• Beispiele hierfür sind: PTAM mit Hot Site verfügbar, IBM Tivoli Storage Manager.

Stufe 3 – Elektronische Sicherung • Lösungen der Stufe 3 nutzen Komponenten der Stufe 2.

• Zusätzlich werden einige geschäftskritische Daten elektronisch gesichert.
• Diese elektronisch gesicherten Daten sind in der Regel aktueller als die über PTAM versandten Daten.
• Dadurch kommt es nach einem Notfall zu weniger Datenwiederherstellung oder -verlust.

Stufe 4 – Kopien zu einem bestimmten Zeitpunkt • Tier-4-Lösungen werden von Unternehmen eingesetzt, die sowohl eine größere Datenaktualität als auch eine schnellere Wiederherstellung benötigen als Benutzer niedrigerer Stufen.

• Anstatt sich weitgehend auf den Versand von Bändern zu verlassen, wie es in den unteren Stufen üblich ist, beginnen Tier-4-Lösungen, mehr festplattenbasierte Lösungen zu integrieren. „Ein Datenverlust von mehreren Stunden ist immer noch möglich“, aber es ist einfacher, solche Point-in-Time-Kopien (PIT) häufiger zu erstellen als Daten, die durch bandbasierte Lösungen repliziert werden können.

„Tier 5“ – ‚Transaktionsintegrität‘ • Tier-5-Lösungen werden von Unternehmen eingesetzt, die eine Konsistenz der Daten zwischen Produktions- und Wiederherstellungsrechenzentren benötigen. Bei solchen Lösungen gibt es ‚kaum bis gar keine Datenverluste‘, allerdings hängt das Vorhandensein dieser Funktionalität vollständig von der verwendeten Anwendung ab. „Tier 6„ – ‚Kein oder nur geringer Datenverlust‘ • Tier-6-Lösungen für die Notfallwiederherstellung ‚sorgen für die höchste Datenaktualität‘.

• Sie werden von Unternehmen eingesetzt, die Datenverluste nicht oder nur in geringem Umfang tolerieren und Daten in Anwendungen schnell wiederherstellen müssen.
• Diese Lösungen sind nicht auf die Anwendungen angewiesen, um Datenkonsistenz zu gewährleisten.

„Tier 7“ – „Hochautomatisierte, unternehmensintegrierte Lösung“ Tier-7-Lösungen umfassen alle wichtigen Komponenten, die für eine Tier-6-Lösung verwendet werden, mit der zusätzlichen Integration von Automatisierung.

• Dadurch kann eine Tier-7-Lösung eine Datenkonsistenz gewährleisten, die über der von Tier-6-Lösungen liegt.
• Darüber hinaus ist die Wiederherstellung der Anwendungen automatisiert, sodass Systeme und Anwendungen viel schneller und zuverlässiger wiederhergestellt werden können, als dies durch manuelle Disaster-Recovery-Verfahren möglich wäre.

Lösungskonzept

Aus der Phase der Folgenabschätzung ergeben sich zwei Hauptanforderungen:

• Für die IT: die Mindestanforderungen an Anwendungen und Daten und die Zeit, in der sie verfügbar sein müssen.
• Außerhalb der IT: Aufbewahrung von Papierdokumenten (z. B. Verträge).
• Ein Prozessplan muss qualifiziertes Personal und eingebettete Technologie berücksichtigen.

Diese Phase überschneidet sich mit der Notfallwiederherstellungsplanung.

Die Lösungsphase bestimmt:

• Krisenmanagement-Kommandostruktur
• Telekommunikationsarchitektur zwischen primären und sekundären Arbeitsstandorten
• Datenreplikation-Methodik zwischen primären und sekundären Arbeitsstandorten
• Backup-Site mit Anwendungen, Daten und Arbeitsbereich

Standards

ISO-Standards

Es gibt viele Standards, die zur Unterstützung der Planung und des Managements der Geschäftskontinuität zur Verfügung stehen.

Die Internationale Organisation für Normung (ISO) hat beispielsweise unter der Verantwortung des technischen Ausschusses ISO/TC 292 eine ganze Reihe von Normen für Business-Continuity-Managementsysteme entwickelt:

• ISO 22300:2021 Sicherheit und Widerstandsfähigkeit – Vokabular (Ersetzt ISO 22300:2018 Sicherheit und Widerstandsfähigkeit – Vokabular und ISO 22300:2012 Sicherheit und Widerstandsfähigkeit – Vokabular.)
• ISO 22301:2019 Sicherheit und Widerstandsfähigkeit – Managementsysteme für die Geschäftskontinuität – Anforderungen (ersetzt ISO 22301:2012)
• ISO 22313:2020 Sicherheit und Widerstandsfähigkeit – Business-Continuity-Managementsysteme – Anleitung zur Anwendung von ISO 22301 (Ersetzt ISO 22313:2012 Sicherheit und Widerstandsfähigkeit – Business-Continuity-Managementsysteme – Anleitung zur Anwendung von ISO 22301)
• ISO/TS 22317:2021 Sicherheit und Widerstandsfähigkeit – Business-Continuity-Managementsysteme – Leitlinien für die Analyse der Auswirkungen auf das Unternehmen (ersetzt ISO/TS 22315:2015 Gesellschaftliche Sicherheit – Business-Continuity-Managementsysteme – Leitlinien für die Analyse der Auswirkungen auf das Unternehmen)
• ISO/TS 22318:2021 Sicherheit und Widerstandsfähigkeit – Managementsysteme für Geschäftskontinuität – Leitlinien für die Kontinuität der Lieferkette (ersetzt ISO/TS 22318:2015 Gesellschaftliche Sicherheit – Managementsysteme für Geschäftskontinuität – Leitlinien für die Kontinuität der Lieferkette)
• ISO/TS 22330:2018 Sicherheit und Widerstandsfähigkeit – Managementsysteme für Geschäftskontinuität – Leitlinien für die Berücksichtigung von Personenaspekten bei der Geschäftskontinuität (aktuell ab 2022)
• ISO/TS 22331:2018 Sicherheit und Widerstandsfähigkeit – Managementsysteme für Geschäftskontinuität – Leitlinien für die Strategie der Geschäftskontinuität (aktuell ab 2022)
• ISO/TS 22332:2021 Sicherheit und Widerstandsfähigkeit – Managementsysteme für Geschäftskontinuität – Leitlinien für die Entwicklung von Plänen und Verfahren für die Geschäftskontinuität (aktuell ab 2022)
• ISO/IEC/TS 17021-6:2014 Konformitätsbewertung – Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren – Teil 6: Kompetenzanforderungen für die Auditierung und Zertifizierung von Managementsystemen für Geschäftskontinuität

• ISO/IEC 24762:2008 Informationstechnologie – Sicherheitstechniken – Leitlinien für Disaster-Recovery-Services der Informations- und Kommunikationstechnologie (zurückgezogen)
• ISO/IEC 27001:2022 Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits-Managementsysteme – Anforderungen. (Ersetzt ISO/IEC 27001:2013 Informationstechnologie – Sicherheitstechniken – Informationssicherheits-Managementsysteme – Anforderungen.)
• ISO/IEC 27002:2022 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitskontrollen. (Ersetzt ISO/IEC 27002:2013 Informationstechnologie – Sicherheitstechniken – Verhaltenskodex für Informationssicherheitskontrollen.)
• ISO/IEC 27031:2011 Informationstechnologie – Sicherheitstechniken – Richtlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Geschäftskontinuität.
• ISO/PAS 22399:2007 Gesellschaftliche Sicherheit – Leitfaden für die Vorbereitung auf Vorfälle und das betriebliche Kontinuitätsmanagement (zurückgezogen)
• IWA 5:2006 Notfallvorsorge (zurückgezogen)

Britische Standards

Die British Standards Institution (BSI Group) hat eine Reihe von Standards herausgegeben, die inzwischen zurückgezogen und durch die oben genannten ISO-Standards ersetzt wurden.

• BS 7799-1:1995 - peripher adressierte Informationssicherheitsverfahren (zurückgezogen)
• BS 25999-1:2006 - Business Continuity Management Teil 1: Verhaltenskodex (ersetzt, zurückgezogen)
• BS 25999-2:2007 Business Continuity Management Teil 2: Spezifikation (ersetzt, zurückgezogen)
• 2008: BS 25777, Kontinuitätsmanagement für Informations- und Kommunikationstechnologie.
• Verhaltenskodex. (zurückgezogen)

Im Vereinigten Königreich wurden BS 25999-2:2007 und BS 25999-1:2006 für das Geschäftskontinuitätsmanagement in allen Organisationen, Branchen und Sektoren verwendet.

• Diese Dokumente enthalten einen praktischen Plan für den Umgang mit den meisten Eventualitäten – von extremen Wetterbedingungen bis hin zu Terrorismus, IT-Systemausfällen und Krankheit des Personals.

Nach Krisen in den Vorjahren verabschiedete die britische Regierung 2004 den Civil Contingencies Act of 2004: Unternehmen müssen über Maßnahmen zur Kontinuitätsplanung verfügen, um zu überleben und weiterhin erfolgreich zu sein, während sie darauf hinarbeiten, den Vorfall so gering wie möglich zu halten. Das Gesetz wurde in zwei Teile unterteilt: Teil 1: Katastrophenschutz, der die Aufgaben und Verantwortlichkeiten der lokalen Einsatzkräfte abdeckt Teil 2: Notfallbefugnisse. Im Vereinigten Königreich wird Resilienz auf lokaler Ebene durch das Local Resilience Forum umgesetzt.

Australische Standards

• HB 292-2006, „A practitioners guide to business continuity management“
• HB 293-2006, “Executive guide to business continuity management“

Vereinigte Staaten von Amerika

• NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs (2010). National Fire Protection Association. (ersetzt).
• NFPA 1600, Standard on Continuity, Emergency, and Crisis Management (2019, aktueller Standard), National Fire Protection Association.
• Continuity of Operations (COOP) und National Continuity Policy Implementation Plan (NCPIP), United States Federal Government

• Business Continuity Planning Suite, DHS National Protection and Programs Directorate und FEMA.

• ASIS SPC.1-2009, Organizational Resilience: Security, Preparedness, and Continuity Management Systems - Requirements with Guidance for Use, American National Standards Institute

Umsetzung und Tests

Die Umsetzungsphase umfasst Richtlinienänderungen, Materialbeschaffung, Personalbesetzung und Tests.

Testen und Akzeptanz in der Organisation

In dem 2008 von der British Standards Institution veröffentlichten Buch „Exercising for Excellence“ werden drei Arten von Übungen genannt, die beim Testen von Plänen zur Aufrechterhaltung des Geschäftsbetriebs eingesetzt werden können.

• „‚‘‚Tabletop-Übungen‘'“ – eine kleine Anzahl von Personen konzentriert sich auf einen bestimmten Aspekt eines BCP.
• Eine andere Form sieht einen einzelnen Vertreter aus jedem von mehreren Teams vor.
• „Mittlere Übungen“ – Mehrere Abteilungen, Teams oder Fachbereiche konzentrieren sich auf mehrere BCP-Aspekte; der Umfang kann von einigen Teams in einem Gebäude bis hin zu mehreren Teams an verschiedenen Standorten reichen.
• Es werden vorab festgelegte „Überraschungen“ hinzugefügt.
• „Komplexe Übungen“ – Alle Aspekte einer mittleren Übung bleiben bestehen, aber für maximale Realitätsnähe werden eine Aktivierung ohne Vorankündigung, eine tatsächliche Evakuierung und ein tatsächlicher Aufruf eines Disaster-Recovery-Standorts hinzugefügt.

Die Start- und Endzeiten werden zwar im Voraus festgelegt, die tatsächliche Dauer kann jedoch unbekannt sein, wenn die Ereignisse ihren Lauf nehmen dürfen.

Wartung

Die halbjährliche oder jährliche Wartung eines BCP-Handbuchs ist in drei regelmäßige Aktivitäten unterteilt.

• Bestätigung der Informationen im Handbuch, Bekanntmachung bei den Mitarbeitern und spezifische Schulung für kritische Personen.
• Testen und Verifizieren der für Wiederherstellungsvorgänge festgelegten technischen Lösungen.
• Testen und Verifizieren der Wiederherstellungsverfahren der Organisation.

Probleme, die während der Testphase festgestellt werden, müssen oft erneut in die Analysephase aufgenommen werden.

Informationen und Ziele

Das BCP-Handbuch muss sich mit der Organisation weiterentwickeln und Informationen darüber enthalten, „wer was wissen muss“:

• Eine Reihe von Checklisten
  • Stellenbeschreibungen, erforderliche Fähigkeiten, Schulungsanforderungen
  • Dokumentation und Dokumentenverwaltung
• Definitionen von Terminologie zur Erleichterung der zeitnahen Kommunikation während der Notfallwiederherstellung
• Verteilerlisten (Mitarbeiter, wichtige Kunden, Verkäufer/Lieferanten)
• Informationen über die Kommunikations- und Verkehrsinfrastruktur (Straßen, Brücken)^[5]

Technische Maßnahmen

Es müssen spezialisierte technische Ressourcen vorgehalten werden.

• Zu den Prüfungen gehören:
• Viren-Definitionen verteilen
• Anwendungssicherheit und Verteilung von Service-Patches
• Hardware-Funktionsfähigkeit
• Anwendungsfunktionsfähigkeit
• Datenüberprüfung
• Datenanwendung

Testen und Verifizieren von Wiederherstellungsverfahren

Änderungen an Software und Arbeitsprozessen müssen dokumentiert und validiert werden, einschließlich der Überprüfung, ob die dokumentierten Arbeitsprozess-Wiederherstellungsaufgaben und die unterstützende Infrastruktur für die Notfallwiederherstellung es den Mitarbeitern ermöglichen, innerhalb des vorgegebenen Wiederherstellungszeitziels wiederherzustellen.^[6]