Business Continuity Management

Aus Foxwiki

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

Business Continuity Management
  • Sicherstellung des Fortbestands des Unternehmens
  • Im Angesicht von Risiken mit hohem Schadensausmaß


  • Entwicklung von Strategien, Plänen und Handlungen
  • zu schützen bzw. alternative Abläufe zu ermöglichen
  • Tätigkeiten oder Prozesse ermitteln
    • deren Unterbrechung
    • ernsthafte Schäden oder vernichtende Verluste zufügen würden
  • (etwa Betriebsstörungen),

Ziel

Sicherstellung des Fortbestands des Unternehmens
Betriebskontinuitätsmanagement
  • bezeichnet zusammenfassend eine Managementmethode
  • die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert
  • Es besteht eine enge Verwandtschaft mit dem Risikomanagement
  • In den deutschsprachigen Ländern wird das BKM bisweilen als verwandt mit der Informationssicherheit, der IT-Notfallplanung und dem Facility Management angesehen
  • Verbindungen bestehen auch zum Gedankengut der Corporate Governance
Ursprung
  • Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur (Sun Tzu, um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie Clausewitz.
  • Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der industriellen Revolution auf das betriebliche Geschehen übertragen.

Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. (USA) civil defence, homeland security, (D) Zivilverteidigung, Katastrophenschutz.

  • Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
  • Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der Informationstechnologie, deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
  • Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch „IT-Notfallplanung“.
Gesamtbetrieb

In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) Sarbanes-Oxley Act 2002 und den (GB) Civil Contingencies Act 2004.

Good Practice Guide

Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.

  • Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.
Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.

  • Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.
Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Primär Fragen
  • Welche Prozesse müssen unbedingt aufrechterhalten werden?
  • Welche Maßnahmen sind dafür notwendig?
Prioritäten und Ressourcen
  • Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
  • Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung

Business Continuity Management ist die Organisationseinheit eines Unternehmens

  • Aufbau und Betrieb eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen bearbeitet.
  • Dadurch soll erreicht werden, dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.
Ziel des Business-Continuity-Managements
  • Generierung und Proklamation von Prozessdefinitionen und Dokumentation
  • Eines betriebsbereiten und dokumentierten Notfallvorsorgeplans
  • Exakt auf das individuelle Unternehmen abgestimmt ist
    • sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

Katastrophenszenarien

Art von Ereignissen (Incidents)
  • IT/System-Ausfall
  • Gebäudeausfall
  • Ausfall von Personal (Pandemie, ...)
  • Ausfall von Lieferanten/Partnern
Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophenszenario reagieren
  • Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
  • Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
  • Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
  • Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.

Gesellschaftliche Sicherheit

ISO TC 223 „Societal Security“

Im September 2007 wurde durch das ISO TC 223 „Societal Security“ der internationale Standard ISO/PAS 22399 „Societal security – Guideline for incident preparedness and operational continuity management“ veröffentlicht.

  • Er wurde von allen 50 darin vertretenen Staaten verabschiedet und basiert konkret auf den Best Practices (bzw. Standards) aus fünf Nationen: dem amerikanischen NFPA 1600, dem britischen BS 25999-1:2006, dem australischen HB 211:2004, dem israelischen INS 24001:2007 sowie japanischen Vorschriften.
IPOCM

Das Akronym IPOCM steht dabei für Incident Preparedness and Operational (Business) Continuity Management.

  • IPOCM wird dabei als Erweiterung des BKM verstanden.
  • Während BKM Unternehmen fokussiert, bezieht IPOCM darüber hinaus sowohl private als auch öffentliche Organisationen sowie Verwaltungen mit ein und legt den Fokus auf die Aufrechterhaltung bzw. den Wiederaufbau lebenswichtiger Infrastrukturen unabhängig von der Art des Ereignisses.
ISO

Die Internationale Organisation für Normung (ISO) hat Mitte Mai 2012 den neuen Standard ISO 22301:2012 mit dem Namen „Societal security – Business continuity management systems – Requirements“ final verabschiedet und veröffentlicht.

  • Der Standard dient Unternehmen bei der Implementierung eines Business Continuity Management Systems und kann als Grundlage für eine Zertifizierung dienen.
  • Wie der Qualitätsstandard ISO 9001 kann auch diese Norm auf Unternehmen aller Größen und Branchen angewandt werden.
ISO/TC 292 Security

Das 2014 gebildete technische Komitee ISO/TC 292 Security konzentriert sich auf das Thema Sicherheit und beschäftigt sich mit den Themen Sicherheitsmanagement, betriebliches Kontinuitätsmanagement, Belastbarkeits- und Notfallmanagement, Schutz- und Kontrollmaßnahmen gegen Betrug, Sicherheitsdienste und Heimatschutz.

  • Das Komitee wird vom ISO-Mitglied für Schweden, SIS (Swedish Standards Institute), geleitet und das erste Meeting fand im März 2015 in Japan zur UN Weltkonferenz zur Katastrophenrisikominderung (WCDRR-Konferenz) statt.


Anhang

Siehe auch

Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement
  2. Link zur ISO-Norm 22301:2012 "Societal security - Business continuity management systems - Requirements" (englisch, zurückgezogen, ersetzt durch die ISO 22301:2019)
  3. Link zur ISO-Norm 22301:2019 "Security and resilience — Business continuity management systems — Requirements" (englisch)
  4. Bundesamt für Sicherheit in der Informationstechnik – Standard 100-4 Notfallmanagement
  5. BSI-Standard 200-4 Business Continuity Management - Community Draft
  6. Vorlage:Webarchiv
  7. Compliance-Seite mit nützlichen Informationen zu BCM
  8. Marktübersicht BCM-Tools
  9. BCM-News

TMP

Business Continuity Management

Geschäftskontinuität

Das Business Continuity Management (BCM) befasst sich mit Vorkehrungen, die darauf abzielen, die kritischen Geschäftsfunktionen einer Organisation vor Unterbrechungen aufgrund von Zwischenfällen zu schützen oder zumindest die Auswirkungen zu minimieren.

BCM ist für jede Organisation unerlässlich, um die Technologie und das Geschäft mit den aktuellen Bedrohungen für die Fortführung des Geschäftsbetriebs in Einklang zu bringen.

Das BCM sollte in den Risikoanalyse-Plan einer Organisation aufgenommen werden, um sicherzustellen, dass alle erforderlichen Geschäftsfunktionen über die notwendigen Mittel verfügen, um im Falle einer Bedrohung einer beliebigen Geschäftsfunktion weiterarbeiten zu können.

Sie umfasst
  • Analyse der Anforderungen, z.B. Identifizierung kritischer Geschäftsfunktionen, Abhängigkeiten und potenzieller Fehlerpunkte, potenzieller Bedrohungen und somit Vorfälle oder Risiken, die für die Organisation von Bedeutung sind;
  • Spezifikation, z.B. maximal tolerierbare Ausfallzeiten; Wiederherstellungspunktziele (maximal akzeptable Zeiten für Datenverluste);
  • Architektur und Design, z.B. eine geeignete Kombination von Ansätzen, einschließlich der Ausfallsicherheit (z.B. Entwicklung von IT-Systemen und -Prozessen für hohe Verfügbarkeit), Vermeidung oder Vorbeugung von Situationen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten), Störungs- und Notfallmanagement (z.B. Evakuierung von Räumlichkeiten, Anruf bei den Notdiensten, Triage/Situationsbewertung und Aufrufen von Wiederherstellungsplänen)
  • Bewertung der Situation und Aufrufen von Wiederherstellungsplänen), Wiederherstellung (z.B. Wiederaufbau) und Notfallmanagement (allgemeine Fähigkeiten zur positiven Bewältigung von Ereignissen mit allen verfügbaren Ressourcen);
  • Implementierung, z.B. Konfiguration und Planung von Backups, Datenübertragungen usw., Duplizierung und Verstärkung kritischer Elemente; Vertragsabschluss mit Dienstleistungs- und Ausrüstungsanbietern;
  • Testen, z.B. Übungen zur Geschäftskontinuität verschiedener Arten, Kosten und Sicherheitsstufen;
  • Management, z.B. Definition von Strategien, Festlegung von Zielen und Vorgaben, Planung und Leitung der Arbeit, Zuweisung von Mitteln, Personal und anderen Ressourcen, Festlegung von Prioritäten im Verhältnis zu anderen Aktivitäten, Teambildung, Führung, Kontrolle, Motivation und Koordinierung mit anderen Unternehmensfunktionen und -aktivitäten (z.B. IT, Einrichtungen, Personalwesen, Risikomanagement, Informationsrisiko und -sicherheit, Betrieb); Überwachung der Situation, Überprüfung und Aktualisierung der Vorkehrungen, wenn sich die Dinge ändern; Reifung des Ansatzes durch kontinuierliche Verbesserung, Lernen und angemessene Investitionen;
  • Gewährleistung, z.B. Testen anhand festgelegter Anforderungen; Messen, Analysieren und Berichten von Schlüsselparametern; Durchführen zusätzlicher Tests, Überprüfungen und Audits, um das Vertrauen zu stärken, dass die Vorkehrungen bei Inanspruchnahme wie geplant funktionieren.

Während BCM einen umfassenden Ansatz zur Minimierung katastrophenbedingter Risiken verfolgt, indem es sowohl die Wahrscheinlichkeit als auch die Schwere von Vorfällen reduziert, konzentriert sich ein Disaster Recovery Plan (DRP) speziell darauf, den Geschäftsbetrieb nach einer Katastrophe so schnell wie möglich wieder aufzunehmen.

Ein Disaster-Recovery-Plan, der kurz nach einer Katastrophe aufgerufen wird, legt die Schritte fest, die zur Wiederherstellung kritischer Informations- und Kommunikationstechnologie (IKT)-Infrastruktur erforderlich sind.

Die Wiederherstellungsplanung im Katastrophenfall umfasst die Einrichtung einer Planungsgruppe, die Durchführung einer Risikobewertung, die Festlegung von Prioritäten, die Entwicklung von Wiederherstellungsstrategien, die Erstellung von Inventaren und die Dokumentation des Plans, die Entwicklung von Überprüfungskriterien und -verfahren und schließlich die Umsetzung des Plans.