Business Continuity Management
BCM-Standards
Aufgrund der wachsenden Bedeutung, die dem Business Continuity Management (BCM) zukommt, wurden eine Reihe von Best-Practice-Leitfäden entwickelt, die einen standardisierten Ansatz für die Entwicklung einer BCM-Strategie bieten.
Eine wichtige Norm in diesem Zusammenhang ist der British Standard BS 25999. Dieser international anerkannte Standard basiert auf dem Konzept eines Management-Systems für das Notfallmanagement (Business Continuity Management System – BCMS): Im Gegensatz zu einem reinen "Notfallhandbuch", das sich ausschließlich auf die Wiederherstellung des Betriebs nach einer Unterbrechung konzentriert, beinhaltet das BCMS auch die Entwicklung und Umsetzung von Richtlinien und Abläufen zum Schutz aller Werte einer Organisation. Das BCMS bietet sowohl Instrumente, um den Risiken einer Betriebsunterbrechung vorzubeugen, als auch Empfehlungen für die sinnvolle Reaktion auf einen Ausfall. Konkrete Arbeitsschritte werden hier jedoch nicht beschrieben.
Ausgehend vom BS 25999 hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 100-4 entwickelt. Im Gegensatz zum BS 25999 geht der deutsche Standard über abstrakte Empfehlungen hinaus und bietet konkrete Anweisungen zur Implementierung eines Notfallmanagements.
Umsetzung der Standards
- Definieren Sie Ihre Anforderungen, z. B. Ihre strategischen Ziele, Kernprodukte oder -dienstleistungen, Risikotoleranz und Verpflichtungen.
- Erstellen Sie eine Leitlinie, die Ihre Anforderungen sowie die Unterstützung durch das Management dokumentiert. Planen Sie regelmäßige Reviews ein und informieren Sie alle Mitarbeiter über die Leitlinie.
- Stellen Sie Ressourcen bereit: Entwerfen Sie Ihre BCM-Organisation und deren Rollen, und sorgen Sie für das nötige Know-how Ihres BCM-Teams.
- Binden Sie alle Mitarbeiter ein und stellen Sie sicher, dass die gesamte Belegschaft für den Ernstfall ausreichend geschult und informiert ist.
- Dokumentieren Sie Ihre Strategie und setzen Sie Maßnahmen zur Sicherung und Revision ein.
- Führen Sie eine Business-Impact-Analyse durch, um alle kritischen Prozesse, Abhängigkeiten zwischen Prozessen und Ressourcen, sowie das Minimum an erforderlichen Ressourcen festzustellen. Die Analyse dient dazu, die maximal tolerierbare Ausfallzeit jedes Prozesses zu bestimmen und Ziele für den Wiederanlauf zu definieren.
- Mit einer Risikoanalyse bestimmen Sie für jeden Geschäftsbereich, mit welcher Wahrscheinlichkeit die ermittelten Bedrohungen zu einer Geschäftsunterbrechung führen. Zusätzlich wird die zu erwartende Auswirkung der Bedrohungen dokumentiert.
- Erstellen Sie einen Risikobehandlungsplan, um den Umgang mit den ermittelten Risiken festzulegen. Dabei sind folgende Optionen möglich:
- Risiko bewusst akzeptieren
- Angemessene Maßnahmen implementieren
- Risiko vermeiden, z. B. durch Verzicht auf die damit zusammenhängenden Geschäftsaktivitäten
- Risiko übertragen, z. B. durch den Abschluss entsprechender Versicherungen oder durch vertragliche Vereinbarungen mit Geschäftspartnern
- Planen Sie Ihr Vorgehen im Notfall: Ermitteln Sie die Ressourcen und Abläufe, die nötig sind, um angemessene Business-Continuity-Aktivitäten anzustoßen und mit Stakeholdern zu kommunizieren.
- Erstellen Sie ein Notfallhandbuch. Dieses dokumentiert Maßnahmen für die Notfallbewältigung sowie für den Wiederanlauf der Prozesse bzw. deren Aufrechterhaltung in einem definierten Umfang.
- Führen Sie Übungen durch, um die Effektivität Ihrer Pläne zu überprüfen und um Ihr Personal für den Ernstfall zu schulen.
- Führen Sie interne Audits durch, um sicherzustellen, dass Ihre Strategie Ihren Zielen entspricht und ordnungsgemäß umgesetzt und aktualisiert wird.
- Mit regelmäßigen Management Reviews überprüfen Sie die Angemessenheit und Effektivität Ihrer Strategie.
- Führen Sie Korrektur- und Präventionsmaßnahmen ein, wenn die Prozesse zur Überwachung und Prüfung Ihrer Strategie Schwachstellen aufdecken
- Sorgen Sie für die dauerhafte Verbesserung Ihrer Strategie: mit kontinuierlichen Reviews Ihrer Leitlinie und Ziele, Audit- und Monitoring-Daten, sowie der implementierten Maßnahmen.
Business Continuity Management in Ihrem Unternehmen
Sind Sie an der Einführung einer Business Continuity Management-Strategie in Ihrem Unternehmen interessiert? In 4 Projektschritten unterstützt plan42 Sie bei der Umsetzung. Haben Sie weitere Fragen? Nehmen Sie Kontakt mit uns auf.