Business Continuity Management (BCM) hat das Ziel, unternehmensgefährdende Risiken und deren Auswirkungen zu analysieren, zu minimieren und vor ihrem Eintritt effektive Gegenmaßnahmen zu implementieren – einen „Plan B“ zu haben. BCM erhöht die Widerstandsfähigkeit des Unternehmens, verbessert das Image und sichert den Fortbestand – und das auf eine möglichst effektive und effiziente Art und Weise. Unser Vorgehensmodell Business Continuity basiert auf unseren langjährigen Projekterfahrungen, den Best-Practice-Modellen der Branche, namentlich GPG (BCI), und den aktuellen, internationalen Standards.
Die Initiierungsphase eines BCM-Projekts ist ein sehr wichtiger Bestandteil bei der Durchführung des Projekts und späteren Etablierung des Prozesses. In dieser Phase gilt es, die Ziele, den Umfang und die notwendigen Ressourcen klar zu definieren. In dieser Phase wird die BC-Policy und das BC-Handbuch entwickelt.
In der Phase „Analyse und Konzept“ geht es darum, die Ziele und Lösungsoptionen für die Wiederanlaufplanung festzulegen. Dies ist notwendig, um die knappen finanziellen und personellen Ressourcen für die richtigen Geschäftsprozesse, Organisationen und Infrastrukturen einzusetzen.
Die erste Aufgabe des Projekt-Teams ist die Durchführung einer Business-Impact-Analyse (BIA). Die BIA liefert als Ergebnis eine Aufstellung der Prozesse, Systeme und Ressourcen, die für das Überleben des Unternehmens kritisch und für den Wiederanlauf notwendig sind. Darüber hinaus werden die maximal vertretbaren Ausfallzeiten ermittelt.
Die Bedrohungsanalyse ermittelt im Anschluss die Risiken und deren Eintrittswahrscheinlichkeiten für die kritischen Prozesse und Systeme.
Die aus der BIA gewonnenen Erkenntnisse erlauben die Definition eines angemessenen Business-Continuity-Konzepts, mit einem optimalen Verhältnis aus Risiko-Minimierung und Kosten / Nutzen der vorgeschlagenen Optionen.
Nachdem die Strategie festgelegt wurde, beschäftigt sich die Implementierungsphase mit der organisatorischen Struktur und Umsetzung der Maßnahmen zur Prävention und Notfallvorsorge.
Für den Notfall ist eine eigenständige Organisationsstruktur (Schattenorganisation) zu etablieren. Ziel dieser Organisationsform ist die eindeutige, schnelle Entscheidungsfindung in kritischen Situationen auf Basis weniger Hierarchiestufen. Ferner wird für diese Notfall-Organisation ein eigenständiges Eskalationsverfahren definiert.
Um die nach Abschluss des Projekts ständig anfallenden Aufgaben in den Regelbetrieb übergeben zu können, sind die im BC-Handbuch definierten Steuerprozesse zu implementieren.
In diesem Bereich geht es um die Umsetzung der risikomindernden Maßnahmen. Diese können in organisatorischen Veränderungen liegen, aber auch konkrete Investitionen in die Infrastruktur bedingen. Zum einen sollen Schadenseintritte vermieden werden (Prävention), zum anderen soll Vorsorge für die Zeit nach einem Notfall-Eintritt getroffen werden (z. B. Aufbau einer Ausweichlokation, Notlieferabkommen, …).
Die Entwicklung von Plänen für die Bewältigung von Notfällen ist eine der wichtigsten Aufgaben beim Aufbau eines Business-Continuity-Managements. Ein wesentliches Ziel des BCM-Prozesses sind funktionierende Pläne, die wir wie folgt unterscheiden:
Die strategischen Pläne dienen zur Steuerung des Unternehmens in einer Krise. Zu diesen Plänen zählen:
Die taktischen Pläne koordinieren die Wiederanlaufaktivitäten und sonstigen Tätigkeiten auf der Ebene des Lagezentrums.
Die Business-Continuity-Pläne (BCP) beschreiben die notwendigen Überbrückungsmaßnahmen bei Ausfall eines Geschäftsprozesses und die notwendigen Maßnahmen zur Aufnahme des Notbetriebs.
Die Teststrategie definiert die Testtiefe (Testklasse), die Testkomponenten und die Teststruktur. Die Testplanung legt einen konkreten Zeitplan für die Durchführung der Tests fest. Für Tests ab der Testklasse „Funktionaler Test“ wird ein Testkonzept erstellt.
Das erfolgreiche Durchlaufen einer niedrigen Testklasse (z. B. Basistest) ist Voraussetzung für die Durchführung eines Tests einer höheren Testklasse (z. B. Anwendungstest). Wir unterscheiden folgende Testklassen:
Diese Tests sind die einfachsten und am häufigsten durchgeführten Tests. Der Autor und die im Plan genannten Notfall-Teams prüfen die Inhalte und die Aktualität der Inhalte am Schreibtisch.
Diese Testklasse überprüft einzelne BCPs und/oder Ausweichressourcen. Während eines solchen Tests sollen die definierten Prozeduren für den Wiederanlauf und den Notbetrieb getestet werden. Dies umfasst auch die Überprüfung der technischen Infrastruktur an der Ausweichlokation und die Einhaltung der Wiederanlaufzeiten.
Bei Prozessketten-Tests werden die Notfallmaßnahmen für einen Geschäftsprozess End-to-End überprüft. Dabei werden auch die bestehenden gegenseitigen Abhängigkeiten zwischen den Notfallmaßnahmen der betreffenden IT-Komponenten sowie die Anforderungen an deren zeitliche Abfolge innerhalb der Prozesskette berücksichtigt und entsprechend überprüft.
Für diese Übungsklasse werden Drehbücher geschrieben, aus denen der zeitliche Ablauf und die simulierte Krisensituation hervorgehen. Abhängig von dem simulierten Ereignis können diese Übungen einige Stunden, aber auch Tage umfassen. Eine Simulationsübung wird in der Regel für die strategischen und taktischen Pläne durchgeführt.
Übungen dieser Klasse umfassen alle Notfall-Teams, einschließlich Krisenstab und Lagezentrum. Mit den Vollübungen soll der Nachweis erbracht werden, dass sowohl technische als auch organisatorische Notfallprozesse unter realistischen Bedingungen funktionieren.
Vor der Überführung des BCM-Projekts in den Betrieb ist ein erster Initialtest durchzuführen. Den Umfang des Tests bestimmt die zuvor festgelegte Teststrategie (Szenarientest, Überbrückungs- und Ausweichtest, Infrastrukturtest, Kommunikationstest). Wichtig für den Initialtest ist, dass alle Planungsaktivitäten im Zusammenhang mit dem Test durchgeführt werden:
MEHR
MEHR
MEHR
Wir servieren sichere Lösungen nach Maß mit unserer eigenen Marke.
MEHR