Planung der Geschäftskontinuität - Wikipedia

Lebenszyklus der Geschäftskontinuitätsplanung

Geschäftskontinuitätsplanung ^[1][2] (oder Geschäftskontinuitäts- und Ausfallsicherheitsplanung ) ist der Prozess der Schaffung von Präventions- und Wiederherstellungssystemen zur Bewältigung potenzieller Bedrohungen für ein Unternehmen. ^[3] Neben der Prävention ist es das Ziel, den laufenden Betrieb vor und während der Ausführung von Disaster Recovery zuzulassen. ^[4]

Die Widerstandsfähigkeit einer Organisation gegen Misserfolg ist die "Fähigkeit, Veränderungen in der Umgebung zu überstehen und weiterhin zu funktionieren". ^[5] Oft als Resilienz bezeichnet, ist dies eine Fähigkeit, die es Organisationen ermöglicht, entweder Umweltänderungen zu ertragen, ohne sich permanent anpassen zu müssen, oder die Organisation muss eine neue Arbeitsweise anpassen, die den neuen Umweltbedingungen besser entspricht. ^[5]

Überblick [19659008] [ edit ]

Jedes Ereignis, das den Betrieb negativ beeinflussen könnte, ist in dem Plan enthalten, z. B. Unterbrechung der Lieferkette, Verlust oder Beschädigung kritischer Ereignisse Infrastruktur (größere Maschinen- oder Rechner- / Netzwerkressourcen). Daher stellt BCP eine Untergruppe des Risikomanagements dar. In den USA bezeichnen Regierungsbehörden den Prozess als Kontinuität der Operationsplanung (COOP). ^[7] Ein Business Continuity Plan ^[8] skizziert eine Reihe von Katastrophenszenarien und die Schritte, die das Unternehmen in einem bestimmten Szenario unternimmt, um wieder zum regulären Handel zu gelangen. BCPs werden im Voraus geschrieben und können auch Vorkehrungen enthalten, die zu treffen sind. Ein BCP wird in der Regel mit dem Einsatz von Schlüsselpersonen und Stakeholdern erstellt und besteht aus einer Reihe von Eventualitäten zur Minimierung eines potenziellen Schadens für Unternehmen in widrigen Szenarien. ^[9]

Resilience [] [19] [19] [19]

A Analyse des Jahres 2005, inwiefern sich Störungen auf die Geschäftstätigkeit von Unternehmen auswirken können und wie Investitionen in die Widerstandsfähigkeit einen Wettbewerbsvorteil gegenüber Unternehmen schaffen können, die nicht auf verschiedene Eventualitäten vorbereitet sind ^[10] und dann die damals übliche Geschäftskontinuitätsplanung ausweiten Praktiken. Unternehmensverbände wie der Council on Competitiveness begrüßten dieses Ziel der Resilienz. ^[11]

Die Anpassung an den Wandel auf scheinbar langsamere, evolutionärere Weise - manchmal über viele Jahre oder Jahrzehnte hinweg - wurde als widerstandsfähiger beschrieben ^[12] und der Begriff " Strategische Resilienz "wird jetzt verwendet, um über eine einmalige Krise hinauszugehen, sondern um fortwährend zu antizipieren und anzupassen", bevor die Gründe für einen Wandel offensichtlich werden. "

Dieser Ansatz wird manchmal als Vorsorge, Schutz, Reaktion und Erholung zusammengefasst. ^[13]

Geschäftskontinuität [ edit

. Geschäftskontinuität ist das beabsichtigte Ergebnis Business Continuity-Planung und Disaster Recovery . Dies ist die Belohnung für den kostengünstigen Kauf von Ersatzmaschinen und Servern, das Durchführen von Backups und das Offshore-Bereitstellen von Aufgaben, das Zuweisen von Verantwortung, das Durchführen von Übungen, die Schulung der Mitarbeiter und die Wachsamkeit.

Ein wesentlicher Planungsaufwand hierfür ist die Erstellung von Audit-Compliance-Management-Dokumenten. Automatisierungswerkzeuge stehen zur Verfügung, um den Zeit- und Kostenaufwand für die manuelle Erstellung dieser Informationen zu reduzieren.

Mehrere Standards für die Geschäftskontinuität wurden von verschiedenen Standardisierungsgremien veröffentlicht, um die Überprüfung dieser laufenden Aufgaben zu unterstützen. ^[14]

Inventar [ edit ]

Planer müssen Informationen zu folgenden Themen haben:

• Ausrüstung
• Verbrauchsmaterialien und Lieferanten
• Dokumente und Dokumentation, einschließlich Off-Site-Sicherungskopien: ^[8]
  • Geschäftsdokumente
  • Verfahrensdokumentation

Analyse [ edit ]]

Die Analysephase besteht aus

• Auswirkungsanalyse
• Bedrohungsanalyse und
• Auswirkungsszenarien.

Die Quantifizierung der Schadenquoten muss auch "Dollar zur Verteidigung einer Klage" einschließen. ^[15] Es wurde geschätzt, dass ein Dollar zur Verhinderung von Schäden ausgegeben werden kann verhindern "sieben Dollar katastrophenbedingter wirtschaftlicher Verluste." ^[16]

Analyse der Auswirkungen auf Unternehmen (BIA) [ edit ]

Eine Analyse der Auswirkungen auf Unternehmen (BIA) unterscheidet kritische (dringende) und nicht kritische Faktoren -kritische (nicht dringende) Organisationsfunktionen / -aktivitäten. Eine Funktion kann als kritisch betrachtet werden, wenn dies gesetzlich vorgeschrieben ist.

Für jede Funktion werden zwei Werte zugewiesen:

• Wiederherstellungspunktziel (Recovery Point Objective, RPO) - die akzeptable Latenz von Daten, die nicht wiederhergestellt werden können. Ist es zum Beispiel akzeptabel, dass das Unternehmen zwei Tage an Daten verliert? ^[17] Das Wiederherstellungspunktziel muss sicherstellen, dass der maximal tolerierbare Datenverlust für jede Aktivität nicht überschritten wird.
• Recovery Time Objective (RTO) - das akzeptable Zeit zum Wiederherstellen der Funktion.

Maximaler RTO [ edit ]

Maximale Zeitbeschränkung, wie lange die wichtigsten Produkte oder Dienstleistungen eines Unternehmens vor den Interessengruppen nicht verfügbar oder unzustellbar sein können wahrnehmen, inakzeptable Folgen wurden genannt als:

• Maximal tolerierbare Unterbrechungszeit ( MTPoD )
• Maximal tolerierbare Ausfallzeit MTD ). Maximal tolerierbarer Ausfall ( MTO )
• Maximal zulässiger Ausfall ( MAO [18] [18] [19]

Gemäß ISO 22301 bedeuten die Ausdrücke maximal akzeptabler Ausfall und maximal tolerierbare Unterbrechungsdauer dasselbe und werden mit denselben Wörtern definiert. ^[20]

Bedrohungs- und Risikoanalyse (TRA) [ edit ]

Nach der Festlegung der Erholungsanforderungen kann jede potenzielle Bedrohung eindeutige Erholungsschritte erfordern. Häufige Bedrohungen sind:

Die oben genannten Bereiche können kaskadieren: Responder können stolpern. Vorräte können aufgebraucht sein. Während des SARS-Ausbruchs von 2002-2003 haben einige Organisationen Teams aufgeschlüsselt, um die Inkubationszeit der Krankheit anzupassen. Sie verbieten auch persönlichen Kontakt während der Geschäftszeiten und außerhalb der Geschäftszeiten. Dies erhöhte die Widerstandsfähigkeit gegen die Bedrohung.

Auswirkungsszenarien [ edit ]

Auswirkungsszenarien werden identifiziert und dokumentiert:

• Bedarf an medizinischem Bedarf ^[21]
• Bedarf an Transportoptionen ^[22]
• ziviler Einfluss von Atomkatastrophen [23]

  19659029] Bedarf an Geschäfts- und Datenverarbeitungsbedarf ^[24]

Diese sollten den größtmöglichen Schaden widerspiegeln.

Stufen der Bereitschaft [ edit ]

SHAREs sieben Stufen der Notfallwiederherstellung ^[25] die 1992 veröffentlicht wurden, wurden 2012 von IBM als achtstufiges Modell aktualisiert: ^[26]

• Tier 0 - Nichts Off-Site ... "Erholungszeit .. unvorhersehbar ..." - möglicherweise nicht möglich.
• Tier 1 - Was IBM als "PTAM (Pickup Truck Access Method)" bezeichnet - aber eine heiße Site (Sicherungshardware).
• Tier 2 - "Hot Site" - benötigt Stunden oder sogar Tage, um die letzte Sicherung zu laden Tapes.
• Tier 3 - Die Transaktionsdaten am Off-Standort werden über eine fortlaufende Hochgeschwindigkeits-Datenverbindung (elektronisches Vaulting) und "eine automatisierte Bandbibliothek am Remote-Standort" relativ aktuell gehalten. 19659029] Tier 4 - "Point-in-Time-Kopien", so dass weniger Wiederaufbereitung von Transaktionen erforderlich ist.
• Tier 5 - "Transaktionsintegrität" - die heiße Stelle ist ke pt so aktuell wie möglich.
• Tier 6 - "Null oder nahezu Null-Datenverlust"
• Tier 7 - Wiederherstellung "Hoch automatisiert" - wenige manuelle Schritte nach einem Ausfall des Hauptstandorts; Der Rollover-Betrieb an der heißen Stelle erfolgt automatisch.

Lösungsentwurf [ edit ]

Zwei Hauptanforderungen aus der Wirkungsanalyse-Phase sind:

• Für IT: die Mindestanforderungen an Anwendung und Daten sowie die Zeit, in der sie verfügbar sein müssen.
• Außerhalb der IT: Erhalt der Ausdrucke (z. B. Verträge). Eine verfahrenstechnische Anlage muss qualifiziertes Personal und eingebettete Technologie berücksichtigen.

Diese Phase überschneidet sich mit der Planung der Notfallwiederherstellung.

Die Lösungsphase bestimmt:

• Befehlsstruktur für Krisenmanagement
• Telekommunikationsarchitektur zwischen primären und sekundären Arbeitsplätzen
• Datenreplikationsmethode zwischen primären und sekundären Arbeitsorten
• Sicherungsstandort - Erforderliche Anwendungen, Daten und Arbeitsbereich am sekundären Arbeitsbereich [19659092] Aktuelle britische Normen [ edit ]

  Die British Standards Institution (BSI) veröffentlichte eine Reihe von Normen:

  • BS 7799, Peripherieverfahren für Informationssicherheitsverfahren.
  • 2006: BCP-BS 25999-1,
  • 2007: BS 25999-2 "Spezifikation für Business Continuity Management", die Anforderungen für die Implementierung, den Betrieb und die Verbesserung festlegt ein dokumentiertes Business-Continuity-Management-System (BCMS).
  • 2008: BS25777, um Computer-Kontinuität speziell mit Business-Kontinuität in Einklang zu bringen. (zurückgezogen März 2011)
  • 2011: ISO / IEC 27031 - Sicherheitstechniken - Richtlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Business Continuity.
  • Juli 2014: BS EN ISO 22301: 2014, der aktuelle Standard für die Business Continuity-Planung. ^[27]

  Einige dieser Begriffe wurden von ITIL® definiert. ^[28]

  In Großbritannien BS 25999-2: 2007 und BS 25999-1: 2006 Wird für das Business Continuity Management in allen Organisationen, Branchen und Sektoren verwendet. Diese Dokumente enthalten einen praktischen Plan für die meisten Fälle - von extremen Wetterbedingungen bis zu Terrorismus, Ausfall des IT-Systems und Krankheit der Mitarbeiter. ^[29]

  Civil Contingencies Act [ ]

  im Jahr 2004 Nach Krisen in den vorangegangenen Jahren verabschiedete die britische Regierung das Civil Contingencies Act von 2004: Die Unternehmen müssen über Kontinuitätsplanungsmaßnahmen verfügen, um zu überleben und weiterhin erfolgreich zu sein, um den Vorfall so gering wie möglich zu halten. ^[30]

  Das Gesetz wurde in zwei Teile aufgeteilt:

  • Teil 1: Zivilschutz mit Rollen und Verantwortlichkeiten für lokale Einsatzkräfte
  • Teil 2: Notfallmächte

  Australien und Neuseeland [ edit ]

  Vereinigtes Königreich und Australien ^[31] haben Resilienz in ihre Kontinuitätsplanung einbezogen. ^[32][33] In Großbritannien wird Resilienz lokal vom Local Resilience Forum umgesetzt.

  In Neuseeland entwickelte das Programm der Canterbury University Resilient Organizations ein Bewertungsinstrument für das Benchmarking der Resilienz von Organisationen. ^[34] Es deckt 11 Kategorien mit jeweils 5 bis 7 Fragen ab. A Resilience Ratio fasst diese Bewertung zusammen. ^[35]

  Implementierung und Testen [ edit ]

  Die Implementierungsphase umfasst Politikänderungen, Materialbeschaffung, Personalbesetzung und Tests.

  Testen und organisatorische Akzeptanz [ edit ]

  Das 2008 erschienene Buch Exercising for Excellence herausgegeben von The British Standards Institution, hat drei Arten von Übungen identifiziert, die eingesetzt werden können beim Testen von Business-Continuity-Plänen.

  • Tabletop-Übungen - Eine kleine Anzahl von Menschen konzentriert sich auf einen bestimmten Aspekt einer BCP. Eine andere Form besteht aus einem einzelnen Vertreter aus mehreren Teams.
  • Mittlere Übungen - Mehrere Abteilungen, Teams oder Disziplinen konzentrieren sich auf mehrere BCP-Aspekte. Der Umfang kann von wenigen Teams von einem Gebäude bis zu mehreren Teams reichen, die an verschiedenen Standorten arbeiten. Vorgeskriptete "Überraschungen" werden hinzugefügt.
  • Komplexe Übungen - Alle Aspekte einer mittleren Übung bleiben erhalten, aber für maximalen Realismus wird eine unbeaufsichtigte Aktivierung, eine tatsächliche Evakuierung und ein tatsächlicher Aufruf einer Wiederherstellungs-Site hinzugefügt

  Während Start- und Stoppzeiten vorab festgelegt sind, kann die tatsächliche Dauer unbekannt sein, wenn Ereignisse ihren Kurs ausführen dürfen.

  Wartung [ edit ]

  Die halbjährliche oder jährliche Wartung eines BCP-Handbuchs ^[31] wird in drei periodische Aktivitäten unterteilt.

  • Bestätigung der Informationen im Handbuch, Einführung in die Mitarbeiter zur Sensibilisierung und gezielten Schulung kritischer Personen.
  • Testen und Verifizieren von technischen Lösungen für Wiederherstellungsvorgänge.
  • Testen und Verifizieren von Organisationserholungsverfahren. [19659039] Probleme, die während der Testphase gefunden wurden, müssen häufig wieder in die Analysephase aufgenommen werden.

    Informationen / Ziele [ edit ]

    Das BCP-Handbuch muss mit der Organisation weiterentwickelt werden und Informationen über enthalten, die wissen müssen, wer

    • eine Reihe von Checklisten
      • Berufsbeschreibungen, erforderliche Fähigkeiten, Schulungsanforderungen
      • Dokumentation und Dokumentenmanagement
    • Definitionen der Terminologie zur Ermöglichung einer zeitnahen Kommunikation während der Notfallwiederherstellung ^[36]
    • Verteilerlisten (Personal, wichtig) Kunden, Lieferanten / Lieferanten)
    • Informationen zur Kommunikations- und Verkehrsinfrastruktur (Straßen, Brücken) ^[37]

    Technisch [ edit ]

    Spezielle technische Ressourcen müssen gepflegt werden. Checks beinhalten: Verteilung der Virusdefinition

  • Verteilung der Anwendungssicherheit und Service-Patches
  • Hardwarefunktionalität
  • Anwendungsoperabilität
  • Datenverifizierung
  • Datenanwendung

  Testen und Verifizieren von Wiederherstellungsverfahren ] edit ]

  Software- und Arbeitsprozessänderungen müssen (erneut) dokumentiert und validiert werden, einschließlich der Überprüfung dokumentierte Arbeitsprozess-Wiederherstellungsaufgaben und unterstützende Infrastruktur für die Notfallwiederherstellung ermöglichen es dem Personal, sich innerhalb der vorgegebenen Wiederherstellungszeit zu erholen. ^[38]

  Siehe auch [ edit ]

  Referenzen bearbeiten ]

  1. ^ "So erstellen Sie einen effektiven und organisierten Business Continuity-Plan". Forbes . 26. Juni 2015.
  2. ^ "Eine Katastrophe überleben" (PDF) . American Bar.org (American Bar Association) . 2011.
  3. ^ Elliot, D .; Swartz, E .; Herbane, B. (1999) Warten auf den nächsten großen Knall: Business Continuity-Planung im britischen Finanzsektor. Journal of Applied Management Studies, Vol. 2, No. 8, Nr., S. 43–60. Hier: p. 48.
  4. ^ Alan Berman (9. März 2015). "Aufbau eines erfolgreichen Business Continuity Plans". Business Insurance Magazine .
  5. ^ ^{a b} Ian McCarthy; Mark Collard; Michael Johnson. "Adaptive organisatorische Resilienz: Eine evolutionäre Perspektive". Aktuelle Stellungnahme zur ökologischen Nachhaltigkeit . 28 : 33–40. doi: 10.1016 / j.cosust.2017.07.005.
  6. ^ Intrieri, Charles (10. September 2013). "Geschäftskontinuitätsplanung". Flevy . 29. September 2013 2013
  7. ^ "Anleitung & Richtlinien - FEMA.gov".
  8. ^a ] b "Ein Leitfaden für die Erstellung eines Business-Continuity-Plans" (PDF) .
  9. ^ "Business-Continuity-Planung (BCP) für Unternehmen aller Größen". 19. April 2017.
  10. ^ Yossi Sheffi (Oktober 2005). Das widerstandsfähige Unternehmen: Überwindung der Anfälligkeit für wettbewerbsfähige Unternehmen . MIT Press.
  11. ^ "Transform. The Resilient Economy".
  12. ^ https://www.newsday.com/2.811/jamie-herzlich/small-business-a-good-plan -shields-from-storm-clouds-1.1322137? firstfree = yes
  13. ^ "Aufbau einer widerstandsfähigen Nation: Verbesserung der Sicherheit, Sicherstellung einer starken Wirtschaft" (19459107) (PDF) . Reforminstitut. Oktober 2008.
  14. ^ "Business Continuity Plan". US-Heimatschutzministerium . 4. Oktober 2018 .
  15. ^ "Notfallplanung" (PDF) .
  16. Helen Clark (15. August 2012). . "Kann Ihre Organisation eine Naturkatastrophe überleben?" (PDF) . RI.gov .
  17. ^ May, Richard. Msgstr "RPO und RTO finden". Archiviert aus dem Original am 03.03.2016.
  18. ^ "Maximal akzeptabler Ausfall (Definition)". riskythinking.com . Albion Research Ltd . 4. Oktober 2018 .
  19. ^ "BIA-Anweisungen, BUSINESS CONTINUITY MANAGEMENT - WORKSHOP" (PDF) . driecentral.org . Notfallaustauschinformationsaustausch (DRIE) - Zentrale . 4. Oktober 2018 .
  20. ^ "Plain English ISO 22301 2012 Business Continuity Definitionen". praxiom.com . Praxiom Research Group LTD . 4. Oktober 2018 .
  21. ^ "Standort der medizinischen Versorgung und Verteilung bei Katastrophen". SCHOLAR.google.com .
  22. ^ "Transportplanung in der Notfallwiederherstellung". SCHOLAR.google.com .
  23. ^ "PLANNING SENARIOS Executive Summaries" (PDF) .
  24. ^ Chloe Demrovsky (22. Dezember 2017) . "Alles zusammenhalten". Manufacturing Business Technology Magazine.
  25. ^ entwickelt von SHAREs Technical Steering Committee in Zusammenarbeit mit IBM
  26. Ellis Holman (13. März 2012). "Eine Methode zur Auswahl der Geschäftskontinuitätslösung" (PDF) . IBM Corp.
  27. ^ British Standards Institution (2014). Gesellschaftliche Sicherheit - Business Continuity Management-Systeme - Anforderungen: London
  28. ^ "ITIL®-Glossar und Abkürzungen".
  29. British Standards Institution (2006). Geschäftskontinuitätsmanagement - Teil 1: Verhaltenskodex: London
  30. ^ Cabinet Office. (2004). Überblick über das Gesetz. In: Ziviles Haftpflichtsekretariat Gesetz über zivilrechtliche Verpflichtungen im Jahr 2004: eine kurze. London: Ziviles Kontingent-Sekretariat
  31. ^ ^{a b} "Business Continuity Plan Template". Resilient Nation. Demos. April 2009.
  32. ^ Verbesserung der Katastrophenresilienz. Australische Regierung. 12. Mai 2009.
  33. ^ "Resilient Organizations". 22. März 2011.
  34. ^ "Resilience Diagnostic". 28. November 2017.
  35. ^ "Glossar der Geschäftskontinuitätsbedingungen".
  36. ^ "Checkliste für den Notfallwiederherstellungsplan" (PDF) . CMS.gov .
  37. ^ Othman. Msgstr "Validierung eines Disaster Management Metamodels (DMM)". SCHOLAR.google.com .

  Weiterführende Literatur [ ]

  USA [ ]

  . 19659008] [ edit ]

  Internationale Organisation für Normung [ edit ]

  • ISO / IEC 27001: 2005 (früher BS 7799-2: 2002) Informationssicherheits-Managementsystem
  • ISO / IEC 27002: 2005 (neu nummeriert als ISO17999: 2005) Informationssicherheitsmanagement - Verhaltenskodex
  • ISO / IEC 27031: 2011 Informationstechnik - Sicherheitstechniken - Richtlinien für die Bereitschaft der Informations- und Kommunikationstechnologie für die Kontinuität des Geschäftsbetriebs
  • ISO / PAS 22399: 2007 Leitfaden für das Bereitschaftsmanagement für Vorfälle und das Management der betrieblichen Kontinuität
  • ISO / IEC 24762: 2008 Richtlinien für Information und Kommunikation Technologie-Notfallwiederherstellungsdienste
  • IWA 5: 2006 Notfallvorsorge
  • ISO 22301: 2012 Gesellschaftliche Sicherheit - Systeme für die Verwaltung der Geschäftskontinuität - Anforderungen
  • ISO 22313: 2012 Gesellschaftliche Sicherheit - Systeme für die Verwaltung der Unternehmenskontinuität - Anleitung
  • ISO / TS 22315: 2015 Gesellschaftliche Sicherheit - Systeme für die Verwaltung der Geschäftskontinuität - Richtlinien für die Analyse der Auswirkungen von Unternehmen (BIA)
  • ISO / IEC 27031: 2011, "Inf Sicherheit in der Sicherheit - Sicherheitstechniken - Richtlinien für Informations- und Kommunikationstechnologie [ICT] Bereitschaft für Geschäftskontinuität "

  British Standards Institution [

  • BS 25999-1: 2006 Business Continuity Management Teil 1: Verhaltenskodex
  • BS 25999-2: 2007 Business Continuity Management Teil 2: Spezifikation

  Australien Standards [ edit

  • HB 292-2006, "Leitfaden für Praktiker zum Betriebskontinuitätsmanagement"
  • HB 293-2006, "Leitfaden zum Betriebskontinuitätsmanagement"

  Andere [ edit ] 19659270] Externe Links [ edit ]