Business Continuity Strategie Entwicklungsrahmen in vier Phasen
Business Continuity Strategie (BCS) - 4 Entwicklungsphasen
Die 4 Phasen der Business Continuity Strategie (BCS) Entwicklung beschreiben einen Rahmen für die Entwicklung der BCS. Der Ansatz beginnt mit der Ermittlung der Anforderungen für die Geschäftswiederherstellung und endet mit einer Reihe von Wiederherstellungsoptionen (Recovery Optionen) für die BCS. Innerhalb dieses Rahmens werden verschiedene Wiederherstellungsoptionen als mögliche Lösungen zur Bewältigung der Wiederherstellungsanforderungen betrachtet. Im Bereich der ICT-Systeme und der Infrastruktur umfassen potenzielle Wiederherstellungsoptionen beispielsweise eine Hot Site, eine Cold Site oder eine Warm Site Lösung. Diese Optionen haben im Allgemeinen unterschiedliche Wiederherstellungszeiten, Kosten und Funktionen.
Der BCS-Entwicklungsrahmen besteht aus vier Phasen:
Phase A: Identifizierung der Wiederherstellungsanforderungen
Phase B: Identifizierung der Wiederherstellungsoptionen
Phase C: Verfügbarkeitsbewertung
Phase D: Kosten-Nutzen-Bewertung.
Phase A: Identifizierung der Wiederherstellungsanforderungen
Diese Phase identifiziert die Wiederherstellungsanforderungen, die von der BCS behandelt werden sollen. Phase A besteht aus fünf Schritten, wie die Abbildung zeigt. Die Anforderungen werden in erster Linie aus der Business Impact Analyse (BIA) abgeleitet bzw. identifiziert. Die typischsten fünf üblichen Wiederherstellungs-Kategorien sind:
- Arbeitsbereiche
- ICT-Systeme eine Infrastruktur
- Herstellung/ Fabrikation und Produktion
- .Daten und kritische / lebenswichtige Aufzeichnungen bzw. Backups
- Personal (Schlüsselpersonen)
Phase B: Identifizierung der Wiederherstellungsoptionen
Das Ziel von Phase B besteht darin, verfügbare Wiederherstellungsoptionen für die Wiederherstellungsanforderungen in Phase A zu ermitteln. Wie in der Abbildung dargestellt, ist diese Phase in mehrere Schritte unterteilt, die jeweils einem bestimmten Wiederherstellungsbereich zugeordnet sind. Diese Schritte identifizieren Wiederherstellungsoptionen, die für die Anforderungen in Bezug auf ihre Wiederherstellungsbereiche verfügbar sind.
Phase C: Bewertung der erwarteten Verfügbarkeitszeit (EVZ)
Der Zweck dieser Phase besteht darin, die Verfügbarkeit der Wiederherstellungsoptionen der Phase B durch eine Bewertung der erwarteten Verfügbarkeitszeit (EVZ) der in den Optionen angegebenen Ressourcen zu bestimmen. Für jede Option umfasst diese Bewertung drei Hauptschritte:
- Schritt 1: Bewerteung EVZ der Ressourcen.
- Schritt 2: Vergleichen EVZ mit den Anforderungen an die Wiederherstellungszeit - maximal tolerierbare Unterbrechungsdauer (MTPD), Wiederherstellungszeitziele (RTO) und Ziel der Wiederherstellungszeit (WHZ).
- Schritt 3: Wählen Sie die Wiederherstellungsoption als funktionsfähig, wenn ihre EVZ die Anforderungen an die Wiederherstellungszeit erfüllt.
Phase D: Bewertung Kosten / Nutzen
Die Wiederherstellungsoptionen, die die Anforderungen an die Wiederherstellungszeit in Phase C erfüllen, werden in Phase D weiter analysiert und verglichen. Der Zweck dieser Analyse und des Vergleichs besteht darin, die Optionen auszuwählen, die die Wiederherstellungskosten und die Kapazitätsanforderungen am besten erfüllen. Die ausgewählten Optionen werden Teil der Business Continuity Strategie.
Risikoakzeptanzniveau und Business Continuity Strategie | Risiko-Appetit und Compliance | |
Sobald eine Organisation ihre Business Impact Analyse (BIA) und ihre Risikobewertung entwickelt hat, muss sie gemäss ISO 22301 eine geeignete Business Continuity Strategie (BCS) festlegen, um durch priorisierte Aktivitäten, basierend auf den Risikoakzeptanzniveaus zu einem bestimmten Zeitpunkt wieder die Geschäftstätigkeiten aufnehmen bzw. wiederherstellen zu können. Dies muss unter Berücksichtigung der Zeit geschehen, in welcher die Schadenausmasse noch nicht inakzeptabel werden (Risikoakzeptanzniveaus). Die Entwicklung einer BCS ist wahrscheinlich einer der kompliziertesten und aspruchsvollsten Schritte beim Aufbau eines Business Continuity Management Systems (BCMS). Ein passendes BCS erfordert die Anwendung eines methodischen Ansatzes und kreatives Denken.
| Bei der Festlegung der Risikoakzeptanzniveaus (Risiko-Appetit) ist zu beachten, dass die Einhaltung der regulatorischen Vorschriften auch im Krisenfall gelten. Es gibt somit Grenzen in der Art und weise wie das Management mit Risiken umgeht. Die Haftungsfragen sind heutzutage gesetzlich präzis geregelt. Auf der einen Seite kann gegen das Unternehmen rechtliche Schritte eingeleitet werden, andererseits müssen auch Manager und Sicherheitsverantwortliche privatrechtlich mit Ihrem privaten Vermögen sich rechtlich im Ereignisfall wehren. Deshalb sollten Sie sich bzw. Ihr Unternehmen / Ihre Behörde in "guten Zeiten" auf das Unvorhersehbare so gut als möglich vorbereiten. Die Compliance hat aber immer Vorrang bie risikoadjustieren Entscheidungen. |
Business Continuity Strategie und Risikoakzeptanzniveau / BCM Beratung oder Coaching?
Sie wollen eine Business Continuity Strategie entwickeln und brauchen ressourcen-mässig Unterstützung oder Entlastung? Sie suchen einen Projektleiter, Experten, BCM Berater oder Coach? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, wie wir Sie im Thema Business Continuity unterstützen können.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.
RM Risk Management AG ist Gründungsmitglied der SSI Schweizerische Vereinigung unabhängiger Sicherheitsingenieure und -berater.
