Business-Continuity-Management ( BCM )

Business-Continuity-Management ( BCM )
@Adobe @stanciuc

Was ist Business Continuity Management ( BCM ) und warum ist sie wichtig?

Business Continuity Management ( BCM ) ist die Fähigkeit einer Organisation, wesentliche Funktionen während und nach dem Eintreten einer Katastrophe aufrechtzuerhalten. Die Business-Continuity-Planung legt Risikomanagementprozesse und -verfahren fest, die darauf abzielen, Unterbrechungen der geschäftskritischen Dienste zu verhindern und die volle Funktionsfähigkeit der Organisation so schnell und reibungslos wie möglich wiederherzustellen.

Die grundlegendste Anforderung an die Geschäftskontinuität besteht darin, die wesentlichen Funktionen während einer Katastrophe aufrechtzuerhalten und mit so wenig Ausfallzeiten wie möglich wiederherzustellen. Ein Geschäftskontinuitätsplan berücksichtigt verschiedene unvorhersehbare Ereignisse, wie Naturkatastrophen, Brände, Krankheitsausbrüche, Cyberattacken und andere externe Bedrohungen.

Die Geschäftskontinuität ist für Organisationen jeder Größe wichtig, aber es ist möglicherweise nur für die größten Unternehmen praktikabel, alle Funktionen für die Dauer einer Katastrophe aufrechtzuerhalten. Nach Ansicht vieler Experten besteht der erste Schritt bei der Planung der Geschäftskontinuität darin, zu entscheiden, welche Funktionen wesentlich sind, und das verfügbare Budget entsprechend zuzuweisen. Sobald die entscheidenden Komponenten identifiziert sind, können die Administratoren Failover-Mechanismen einrichten.

Technologien wie die Festplattenspiegelung ermöglichen es einer Organisation, aktuelle Datenkopien an geografisch verteilten Standorten und nicht nur im primären Rechenzentrum vorzuhalten. Dies ermöglicht einen ununterbrochenen Datenzugriff, wenn ein Standort deaktiviert ist, und schützt vor Datenverlust.

Warum ist Business Continuity Management ( BCM ) wichtig?

In einer Zeit, in der Ausfallzeiten inakzeptabel sind, ist die Geschäftskontinuität von entscheidender Bedeutung. Ausfallzeiten kommen aus einer Vielzahl von Quellen. Einige Bedrohungen, wie Cyberattacken und extreme Wetterbedingungen, scheinen sich zu verschlimmern. Es ist wichtig, einen Plan für die Geschäftskontinuität zu haben, der alle potenziellen Betriebsunterbrechungen berücksichtigt.

Der Plan sollte die Organisation in die Lage versetzen, den Betrieb während einer Krise zumindest auf minimalem Niveau aufrechtzuerhalten. Die Geschäftskontinuität hilft der Organisation bei der Aufrechterhaltung ihrer Widerstandsfähigkeit, indem sie schnell auf eine Unterbrechung reagieren kann. Eine starke Geschäftskontinuität spart Geld, Zeit und den Ruf des Unternehmens. Ein längerer Ausfall riskiert finanzielle, persönliche und Reputationsverluste

Die Geschäftskontinuität erfordert, dass ein Unternehmen einen Blick auf sich selbst wirft, potenzielle Schwachstellen analysiert und Schlüsselinformationen - wie Kontaktlisten und technische Diagramme von Systemen - sammelt, die außerhalb von Katastrophensituationen nützlich sein können. Durch die Durchführung des Business-Continuity-Planungsprozesses kann eine Organisation ihre Kommunikation, Technologie und Widerstandsfähigkeit verbessern.

Die Geschäftskontinuität kann sogar aus rechtlichen oder Compliance-Gründen erforderlich sein. Besonders in einer Zeit zunehmender Regulierung ist es wichtig zu verstehen, welche Vorschriften eine bestimmte Organisation betreffen.

Was beinhaltet Business Continuity Management ( BCM ) ?

Business Continuity Management ( BCM ) ist ein proaktiver Weg, um sicherzustellen, dass geschäftskritische Operationen während einer Unterbrechung weiterlaufen. Ein umfassender Plan enthält Kontaktinformationen, Schritte für das Vorgehen bei einer Vielzahl von Vorfällen und einen Leitfaden für die Verwendung des Dokuments.

Die Geschäftskontinuität umfasst klare Richtlinien dafür, was eine Organisation tun muss, um den Betrieb aufrechtzuerhalten. Wenn die Zeit für eine Reaktion gekommen ist, sollte es keine Frage sein, wie mit den Geschäftsprozessen weiter verfahren werden soll. Das Unternehmen, Kunden und Mitarbeiter stehen potenziell auf dem Spiel.

Zu einer ordnungsgemäßen Geschäftskontinuität gehören verschiedene Reaktionsebenen. Nicht alles ist geschäftskritisch, daher ist es wichtig, zu erläutern, was am wichtigsten ist, um den Betrieb aufrechtzuerhalten, und was zu einem späteren Zeitpunkt wieder online gehen könnte. Es ist wichtig, ehrlich zu sein, was die Ziele für die Wiederherstellungszeit und die Wiederherstellungspunkte betrifft.

Der Prozess schließt die gesamte Organisation ein, von der Geschäftsführung bis hinunter zum Management. Auch wenn die IT die Geschäftskontinuität vorantreiben kann, ist es wichtig, die Zustimmung der Geschäftsleitung zu erhalten und wichtige Informationen an die gesamte Organisation zu kommunizieren. Ein weiterer wichtiger Bereich der Zusammenarbeit ist die Zusammenarbeit mit dem Sicherheitsteam - obwohl die beiden Gruppen oft getrennt voneinander arbeiten, kann eine Organisation viel gewinnen, wenn sie Informationen zwischen diesen Abteilungen austauscht. Zumindest sollte jeder die grundlegenden Schritte kennen, wie die Organisation zu reagieren gedenkt.

Drei Schlüsselkomponenten eines Business-Continuity-Plans

Ein Business Continuity Plan hat drei Schlüsselelemente: Belastbarkeit, Recovery und Notfallplanung.

Eine Organisation kann die Belastbarkeit erhöhen, indem sie kritische Funktionen und Infrastrukturen mit Blick auf verschiedene Katastrophenmöglichkeiten konzipiert; dazu können Personalrotation, Datenredundanz und die Aufrechterhaltung eines Kapazitätsüberschusses gehören. Die Gewährleistung der Widerstandsfähigkeit gegenüber verschiedenen Szenarien kann Organisationen auch dabei helfen, wichtige Dienste vor Ort und außerhalb des Standorts ohne Unterbrechung aufrechtzuerhalten.

Eine schnelle Wiederherstellung zur Wiederherstellung der Geschäftsfunktionen nach einer Katastrophe ist von entscheidender Bedeutung. Die Festlegung von Zielen für die Wiederherstellungszeit für verschiedene Systeme, Netzwerke oder Anwendungen kann dabei helfen, Prioritäten zu setzen, welche Elemente zuerst wiederhergestellt werden müssen. Andere Wiederherstellungsstrategien umfassen Ressourcenbestände, Vereinbarungen mit Dritten zur Übernahme von Unternehmensaktivitäten und die Nutzung umgewandelter Räume für unternehmenskritische Funktionen.

Ein Notfallplan verfügt über Verfahren für eine Vielzahl von externen Szenarien und kann eine Befehlskette beinhalten, die die Verantwortlichkeiten innerhalb der Organisation verteilt. Zu diesen Verantwortlichkeiten können der Austausch von Hardware, die Anmietung von Büroräumen für den Notfall, die Schadensbeurteilung und die Beauftragung von Drittanbietern mit der Hilfeleistung gehören.

Business Continuity Management ( BCM ) vs. Wiederherstellung im Katastrophenfall

Wie ein Business Continuity Plan legt die Notfallwiederherstellungsplanung die geplanten Strategien einer Organisation für die Verfahren nach einem Ausfall fest. Ein Notfallwiederherstellungsplan ist jedoch nur eine Teilmenge der Geschäftskontinuitätsplanung.

Notfallwiederherstellungspläne sind hauptsächlich auf Daten ausgerichtet und konzentrieren sich darauf, Daten so zu speichern, dass nach einem Ausfall leichter auf sie zugegriffen werden kann. Die Geschäftskontinuität berücksichtigt dies, konzentriert sich aber auch auf das Risikomanagement, die Aufsicht und die Planung, die eine Organisation benötigt, um während einer Unterbrechung betriebsbereit zu bleiben.

Entwicklung der Geschäftskontinuität

Das Business Continuity Management ( BCM ) beginnt mit der Initiierung des Planungsprojekts. Die Analyse der Geschäftsauswirkungen ( Business-Impact-Analyse (BIA)) und die Risikobewertung sind wesentliche Schritte bei der Sammlung von Informationen für den Plan.

Die Durchführung einer Business-Impact-Analyse (BIA) kann mögliche Schwachstellen sowie die Folgen einer Katastrophe für verschiedene Abteilungen aufdecken. Der Business-Impact-Analyse (BIA)-Bericht informiert eine Organisation über die wichtigsten Funktionen und Systeme, die in einem Business-Continuity-Plan vorrangig zu behandeln sind.

Eine Risikobeurteilung identifiziert potenzielle Gefahren für eine Organisation, wie z.B. Naturkatastrophen, Cyberattacken oder Technologieversagen. Risiken können sich auf das Personal, die Kunden, den Gebäudebetrieb und den Ruf des Unternehmens auswirken. Die Bewertung enthält auch Einzelheiten darüber, was oder wen ein Risiko schädigen könnte, sowie die Wahrscheinlichkeit der Risiken.

Die Business-Impact-Analyse (BIA) und die Risikobewertung arbeiten Hand in Hand. Die Business-Impact-Analyse (BIA) liefert Einzelheiten zu den möglichen Auswirkungen der in der Risikobewertung skizzierten möglichen Unterbrechungen.

Management der Geschäftskontinuität

Es ist wichtig zu bestimmen, wer für das Business Continuity Management ( BCM ) zuständig ist. Dabei kann es sich um eine Person handeln, wenn es sich um ein kleines Unternehmen handelt, oder um ein ganzes Team für eine größere Organisation. Software zur Verwaltung des Business Continuity Management ( BCM ) ist ebenfalls eine Option. Software - entweder vor Ort oder Cloud-basiert - hilft bei der Durchführung von BIAs, der Erstellung und Aktualisierung von Plänen und der Ermittlung von Risikobereichen.

Das Business Continuity Management ( BCM ) ist ein sich entwickelnder Prozess. Daher sollte der Business-Continuity-Plan eines Unternehmens nicht einfach in einem Regal stehen. Die Organisation sollte seinen Inhalt an so viele Menschen wie möglich kommunizieren. Die Implementierung von Business Continuity ist nicht nur für Krisenzeiten gedacht; die Organisation sollte Schulungen durchführen, damit die Mitarbeiter wissen, was sie im Falle einer tatsächlichen Unterbrechung zu tun haben.

Das Testen der Geschäftskontinuität ist entscheidend für ihren Erfolg. Es ist schwer zu wissen, ob ein Plan funktionieren wird, wenn er nicht getestet wurde. Ein Business-Continuity-Test kann so einfach sein wie jede andere Übung, bei der die Mitarbeiter besprechen, was im Notfall geschehen wird. Strengere Tests beinhalten eine vollständige Notfallsimulation. Eine Organisation kann den Test im Voraus planen oder ihn ohne Vorankündigung durchführen, um eine Krise besser nachahmen zu können.

Sobald die Organisation einen Test abgeschlossen hat, sollte sie überprüfen, wie er verlaufen ist, und den Plan entsprechend aktualisieren. Es ist wahrscheinlich, dass einige Teile des Plans gut verlaufen werden, aber andere Maßnahmen müssen möglicherweise angepasst werden. Ein regelmäßiger Zeitplan für die Tests ist hilfreich, insbesondere wenn das Unternehmen seinen Betrieb und sein Personal häufig wechselt. Die umfassende Geschäftskontinuität wird ständig getestet, überprüft und aktualisiert.

Das Business Continuity Institute (BCI)

Das Business Continuity Institute (BCI) ist eine globale Berufsorganisation, die Ausbildung, Forschung, berufliche Akkreditierung, Zertifizierung, Vernetzungsmöglichkeiten, Führung und Anleitung zur Geschäftskontinuität und organisatorischen Belastbarkeit bietet.

Das BCI, das seinen Sitz in Großbritannien hat, wurde 1994 gegründet und zählt rund 8.000 Mitglieder in mehr als 100 Ländern aus dem öffentlichen und privaten Sektor. Business-Continuity-Fachleute und Interessierte in diesem Bereich können die Produkte und Dienstleistungen des BCI nutzen.

Zu den Zielen und Aufgaben des Business Continuity Institute (BCI) gehören die Anhebung der Standards im Bereich Business Continuity, der Austausch von Best Practices im Bereich Business Continuity, die Ausbildung und Zertifizierung von BC-Fachleuten, die Aufwertung des Berufsstandes BC und die Entwicklung des Business Case für Business Continuity.

Zu den zahlreichen veröffentlichten Ressourcen des Instituts gehören die Good Practice Guidelines, die eine Anleitung zur Identifizierung von Business-Continuity-Aktivitäten bieten, die die strategische Planung unterstützen können.

Die Berufsmitgliedschaft im BCI vermittelt einen international anerkannten Status - die Zertifizierung belegt die Kompetenz eines Mitglieds im Business Continuity Management.

BCI-Kapitel wurden in Ländern oder Regionen eingerichtet, in denen es eine große Gemeinschaft von Mitgliedern gibt.

Wir von Intelligent Minds sind Mitglied des Das Business Continuity Institute (BCI) und setzen die Standards entsprechend um, nehmen regelmäßig an Fortbildungen und Workshops teil.

Gern helfen wir Ihnen beim Aufbau Ihres Business Continuity Management ( BCM ), bei einer Business-Impact-Analyse (BIA) oder der Erstellung eines Business-Continuity-Plans. Rufen Sie uns an – 04532-2767803

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen