Vorsorgen für den Ernstfall
Vorsorgen für den Ernstfall
Taktgeber ist das Business: Um die relevanten Risiken überhaupt identifizieren und bewerten zu können, braucht es spezifische Kenntnisse der Geschäftsabläufe. Es ist daher zwingend notwendig, für die Business Impact Analyse des Schadenspotenzials und der internen und externen Abhängigkeiten die betroffenen Geschäftseinheiten frühzeitig zu involvieren. So entstehen Business-Recovery-Strategien, welche auf die Anforderungen der Geschäftseinheiten abgestimmt sind. Der IT als interner Dienstleistungserbringer kommt in vielen Fällen die Hauptlast in der Umsetzung von Vorsorgemassnahmen (Disaster Recovery Plänen) zu.
Der Schlüssel zu einem erfolgreichen BCM liegt ausserdem darin, zwischen unternehmenskritischen und -unkritischen Geschäftsprozessen zu unterscheiden. Die Fokussierung auf unternehmenskritische Prozesse erleichtert die Identifikation derjenigen Ressourcen - und da gehören IT-Dienstleistungen dazu - die nach einer Katastrophe unbedingt wieder bereitgestellt werden müssen.
Im Weiteren muss BCM prozess- und bereichsübergreifend koordiniert werden. Es nützt nichts, wenn die Verkaufsabteilung nach kurzer Zeit wieder Bestellungen entgegennehmen kann, diese aber nicht abgewickelt werden können, weil die Lagerbewirtschaftung noch nicht operativ ist. Eine saubere Analyse der Schnittstellen und Abhängigkeiten hilft, die Anforderungen und Fähigkeiten von Leistungsbezügern und Leistungserbringern transparent zu machen. Dies fördert zudem die direkte Kommunikation zwischen Business und IT.
Und schliesslich gilt es, BCM als Prozess zu verstehen. In Zeiten, in denen Organisations-Strukturen bereits wieder falsch sind, kaum sind sie publiziert, veralten BCM-Pläne sehr schnell. Deshalb ist es notwendig, die BCM-Pläne periodisch einer Prüfung zu unterziehen und anzupassen. Die BCM-Pläne müssen regelmässig getestet und die betroffenen Mitarbeiter und Krisenstäbe geschult werden.
Fazit
Security- und Risk-Management wird für zahlreiche Unternehmen immer mehr zu einem kritischen Erfolgsfaktor. Daraus -abgeleitet wird die Operationalisierung
der Informationssicherung - und damit die Sicherheitskultur - durch die Geschäftsleitung bestimmt und auf der obersten -Führungsebene verankert. Mithilfe der Business-Impact-Analyse werden die unternehmenskritischen Prozesse und die hier-für notwendigen Organisationseinheiten, IT- und Gebäudeinfrastrukturen identifiziert und zueinander in Beziehung gesetzt. Die Entscheidung über die tragbaren Restrisiken und die daraus abgeleiteten Szenarien ist durch die Risikopolitik der Unternehmung sowie durch Kosten-Nutzen-Überlegungen bestimmt und durch den Verwaltungsrat oder die Geschäftsleitung zu treffen. Tritt trotz der präventiven Massnahmen ein Schadensfall ein, sind in erster Priorität Menschenleben zu schützen, zweitens die Datenbestände, die für die Weiterführung der Geschäftstätigkeit immer wichtiger werden.
der Informationssicherung - und damit die Sicherheitskultur - durch die Geschäftsleitung bestimmt und auf der obersten -Führungsebene verankert. Mithilfe der Business-Impact-Analyse werden die unternehmenskritischen Prozesse und die hier-für notwendigen Organisationseinheiten, IT- und Gebäudeinfrastrukturen identifiziert und zueinander in Beziehung gesetzt. Die Entscheidung über die tragbaren Restrisiken und die daraus abgeleiteten Szenarien ist durch die Risikopolitik der Unternehmung sowie durch Kosten-Nutzen-Überlegungen bestimmt und durch den Verwaltungsrat oder die Geschäftsleitung zu treffen. Tritt trotz der präventiven Massnahmen ein Schadensfall ein, sind in erster Priorität Menschenleben zu schützen, zweitens die Datenbestände, die für die Weiterführung der Geschäftstätigkeit immer wichtiger werden.
Weitere Informationen: Das BCI-Phasenmodell
Das Business Continuity Institute (BCI) empfiehlt in Sachen BCM einen sechsstufigen Plan:
1. Geschäftsprozess-Analyse: Welche Prozesse könnten in welcher Form betroffen sein? Wie müsste en Notfallbetrieb aussehen?
2. Entwicklung der BCM-Strategie: Evaluation und Selektion von entsprechenden Handlungsoptionen.
3. Umsetzung der Massnahmen auf Geschäftsprozess-Ebene und IT-Ebene.
4. Verankerung einer BCM-Kultur im Sinne einer Qualitätsmassnahme.
5. Durchführen von Notfallübungen.
6. Etablierung eines permanenten Programm-Managements zur kontinuierlichen Verbesserung der BCM-Massnahmen.
Das Business Continuity Institute (BCI) empfiehlt in Sachen BCM einen sechsstufigen Plan:
1. Geschäftsprozess-Analyse: Welche Prozesse könnten in welcher Form betroffen sein? Wie müsste en Notfallbetrieb aussehen?
2. Entwicklung der BCM-Strategie: Evaluation und Selektion von entsprechenden Handlungsoptionen.
3. Umsetzung der Massnahmen auf Geschäftsprozess-Ebene und IT-Ebene.
4. Verankerung einer BCM-Kultur im Sinne einer Qualitätsmassnahme.
5. Durchführen von Notfallübungen.
6. Etablierung eines permanenten Programm-Managements zur kontinuierlichen Verbesserung der BCM-Massnahmen.
Der Autor:
Wolfgang Sidler ist eidg. Wirtschaftsinformatiker und Mitautor des "Sicherheitshandbuches für die Praxis".
www.sihb.ch
Wolfgang Sidler ist eidg. Wirtschaftsinformatiker und Mitautor des "Sicherheitshandbuches für die Praxis".
www.sihb.ch
Wolfgang Sidler