Business Continuity Planning.
Prävention
Kern einer jeden Business Continuity-Planung muss es sein, Prozesse, die zu Schäden führen können, so zu gestalten, dass wir sie im Bestfall auszuschließen. Wenn die Vorbeugung nicht wirkt, muss dafür Sorge getragen werden, dass eine Fehlentwicklung schnell erkannt und ihr entgegen gewirkt werden kann.
Bestandsaufnahme Sicherheitskonzept
Prozessanalysen
- Abhängigkeits-, Business Impact-Analyse
Für die kritischen Geschäftsprozesse und zentralen Funktionen wird über die durch einen Stillstand hervorgerufenen materiellen und immateriellen Sekundärschäden die maximal tolerierbare Ausfallzeit bestimmt. Eine Alternative besteht darin, dass die maximal tolerierbaren Ausfallzeiten von der Geschäftsleitung vorgegeben werden. - Schwachstellenanalysen
- Ermittlung von SPOFs (Single Point of Failure)
- Modulbildung und Schadensszenarien
Es werden diejenigen Komponenten der technischen und informationstechnischen Prozessketten sowie der baulichen Infrastruktur herausgefiltert, von deren Funktionsfähigkeit die Verfügbarkeit der kritischen Geschäftsanwendungen und Zentralenfunktionen abhängig ist. Weiter wird aufgezeigt, welche Interdependenzen zwischen diesen Modulen bestehen und welche Schadensszenarien daraus abgeleitet werden können. - Modell der Kernprozesse und -funktionen
Eine Wiederanlauffähigkeit bei den Modulen der Infrastruktur wird durch die obigen Maßnahmenansätze weitgehend erreicht. Teilweise können Schadensereignisse sogar so abgefedert werden, dass ihre Auswirkungen kaum wahrzunehmen sind. Bei größeren Schadensszenarien oder wenn Arbeitsplätze und ihre Umgebung betroffen sind, ist ein weiterer Ansatz zu verfolgen. Die auch nach einem Katastrophenfall unverzichtbaren Geschäftsprozesse und zentralen Funktionen müssen in einem Umfang innerhalb einer festzulegenden Zeitdauer wieder aufgenommen werden, so dass ein Überleben des Unternehmens ermöglicht wird. Also müssen den dafür benötigten Mitarbeitern Ersatzarbeitsplätze mit erforderlicher informationstechnischer und technischer Infrastruktur fristgerecht zur Verfügung gestellt werden. Dies erfordert entsprechende Vorbereitungen. - Maßnahmenansätze für die Module
Grundsätzlich kommen folgende Maßnahmenansätze in Betracht: - Redundanzen und Teilredundanzen
Diese stellen den effektivsten Maßnahmenansatz dar, finden aber häufig ihre Grenzen in den durch sie verursachten Kosten. Auch die Business Continuity Planung muss sich dem Angemessenheitsprinzip unterwerfen. - Notfallüberbrückung
Hier kommen, wenn auch meist im begrenztem Umfang, personelle und organisatorische Notfallverfahren in Betracht, die für eine bestimmte Zeitdauer in der Lage sind, Ausfälle zu überbrücken. Immer ist jedoch dabei zu prüfen, wie und mit welchem Aufwand die anschließende Rückkehr in den Normalbetrieb erfolgen kann. - Wiederanlaufmaßnahmen
Dazu gehört beispielsweise im Rahmen der Informationsverarbeitung die Nutzung eines Ausweichrechenzentrums - Erhöhte präventive Sicherheit
Module, für die keine der zuvor genannten Maßnahmenkategorien in Frage kommen und die die sogenannten single points of failure darstellen, werden durch ein erhöhtes präventives Sicherheitsniveau geschützt. - Dokumentation
Für die aufgestellten, abgestuften Szenarien werden in fortschreibungsfähiger Form die vorgeplanten Reaktionen dokumentiert. Besonderes Gewicht ist auf Handlungsanweisungen und Checklisten zu legen, die abgestimmt auf die unterschiedlichen Szenarien und betroffenen Zielgruppen, ein effizientes und sicheres Reagieren ermöglichen.