Tessinstrasse 48, 4054 Basel

Peter Hasenfratz Continuity Services

Beratung und Unterstützung für BCM, ITSCM und Krisenmanagement

Die drei Phasen im BCMS

Die verschiedenen Bausteine eines Business Continuity Management Systems Zielen die drei Phasen einer Unterbrechung an:

Phase 1

Vorbereitung

Im Normalbetrieb (Phase 1) gilt es sich vorzubereiten auf den Fall der Fälle:

  • Es geht darum, präventive Massnahmen zu ergreifen, um das Risiko, dass etwas geschieht zu minimieren oder sogar zu eliminieren (technische Massnahmen, Mitarbeiter Awareness, Business Impact Analyse, Risik Assessment, etc.)
  • Parallel dazu werden Vorbereitungen getroffen für die Phasen: «Reaktion» und «Wiederherstellung» (Ausbildung und Training von Notfall- und/oder Krisenteams, Vorbereitung von Notfall- und/oder Business Continuity Plänen, Disaster Recovery Tests, etc.)

Phase 2

Reaktion

Falls doch etwas passiert, soll durch effizientes Arbeiten der Schaden minimiert werden. Dazu braucht es:
 
  • Eingespieltes Notfall- und/oder Krisenmanagement
  • Vorbereitete Notfall- und/oder Business Continuity Pläne
  • Effiziente Analyse der Lage
  • Rasche Entscheidungen zur Wiederherstellung

Phase 3

Wiederherstellung

Bei der Wiederherstellung sollen zuerst die kritischen Geschäftsprozesse wiederhergestellt werden. Danach kann sukzessive zum Normalbetrieb zurückgekehrt werden. In dieser Phase werden benötigt:
 
  • Einer oder mehrere Disaster Recovery oder auch Wiederanlaufpläne (bestimmt die Reihenfolge der Wiederherstellung nach Abhängigkeiten und Prioritäten)
  • dokumentierte und getestete Prozesse zur Wiederherstellung der benötigten Ressourcen sowie der Geschäftsprozesse

Ablauf eines BCMS Projektes

Es wäre naheliegend, sich ein fix-fertiges Business Continuity Management System aus dem Internet herunterzuladen. Es gibt zwar eine Vielzahl von Vorlagen, Checklisten und Dokumenten im Internet, diese müssen jedoch den Anforderungen und Prozessen, sowie der Corporate Identity der Firma angepasst werden.
 
Die ISO Norm 22301:2019 zeigt zudem die allgemeinen Anforderungen eines erfolgreichen BCMS. Diese Norm bietet ein gutes Gerüst, auch wenn man sich nicht zertifizieren lassen will.
Wir unterstützen Sie in Ihrem Projekt und haben die folgende allgemeine Vorgehensweise:
Auch wenn dies alles sehr formalistisch und aufwändig erscheint, gibt es immer einen pragmatischen Weg im Projekt.
 
Für uns gilt bezüglich Aufwand: so wenig wie möglich und nur soviel wie wirklich nötig!

Details zu den Projektschritten

Projekt Initiierung

In der ersten Phase sind vor allem Projekt-Management Aufgaben zu erledigen:
 
  • Definieren des Projektumfanges, der Projektziele, des Budgets sowie des Projektzeitraumes
  • Aufsetzen der Projektorganisation
  • Erstellen eines Projektplanes
  • Erarbeiten eines gemeinsamen Verständnisses bezüglich Business Continuity Management innerhalb des Projektteams

Definition der Anforderungen

Die Anforderungen an das Business Continuity Management System werden im Rahmen einer Business Impact Analyse (BIA) mit Risk Assessment (RA) definiert. Beim IT Service Continuity Management können aber auch Service Level Agreements (SLA) und die Betriebsorganisation noch zusätzliche Anforderungen haben. Für das Krisenmanagement können noch zusätzliche Anforderungen aus dem Risk Management der Firma, oder aus der Geschäftsleitung einfliessen.

Business Impact Analyse

Welchen Einfluss haben Ausfälle auf die verschiedenen Geschäftsprozesse und damit auf das Geschäft? Wie schnell müssen die verschiedenen Geschäftsprozesse nach einem Ausfall wieder laufen um ein Überleben der Firma sicherzustellen? Wieviel Datenverlust ist akzeptabel? Neben den finanziellen Gesichtspunkten müssen auch das Ansehen der Firma und mögliche Abwanderungen von Kunden zur Konkurrenz berücksichtigt werden. Der Fokus bei der Business Impact Analyse liegt auf den kritischen Geschäftsprozessen, immer aus der Sicht des „Business».

Risk Assessment

Im Rahmen einer Risiko Analyse (Risk Assessment) werden potentielle Ereignisse identifiziert, deren Wahrscheinlichkeit bestimmt, sowie deren qualitative und quantitative Auswirkungen auf die Firma und ihre Immobilien und Gerätschaften evaluiert. Der Fokus beim Risk Assessment liegt bei den Funktionen und Dienstleistungen, welche die kritischen Geschäftsprozesse unterstützen.

Analyse der vorhandenen Prozesse

Bei der Realisierung eines Business Continuity Management Systems wird selbstverständlich auf bereits vorhandene Prozesse Rücksicht genommen. Es gibt wohl keine Firma, welche nicht bereits Prozesse für das Disaster Recovery der IT umgesetzt hat, oder die bereits Notfall Management Prozesse definiert hat. Diese werden soweit mögliche ins BCMS integriert und wenn nötig angepasst.

Strategie und Konzept

Aus den Resultaten der Business Impact Analyse und des Risk Assessment wird ein Risiko Profil erstellt, welches klar aufzeigt, wo Handlungsbedarf ist. Es können nun verschiede mögliche Lösungsstrategien und -szenarien entworfen werden mit Kostenschätzungen. Mit Hilfe einer Kosten/Nutzen-Analyse und der Evaluation der Vor- und Nachteile kann daraufhin die zukünftige Continuity Strategie identifiziert werden und ein entsprechendes Konzept für die Umsetzung erstellt werden.

Umsetzung

Abhängig von der gewählten Continuity Strategie können Anpassungen bei den bestehenden Prozessen notwendig werden. Zudem müssen Verträge mit Lieferanten eventuell mit Service Level Agreements ergänzt werden, und es können baulichen Massnahmen an Gebäuden und bei der IT-Infrastruktur notwendig werden.
 
Für eine erfolgreiche Wiederherstellung der kritischen Geschäftsprozesse nach einem Desaster werden diese drei Dinge benötigt:
  • Daten (Archivierte Dokumente, Verträge, IT-Backups, etc.)
  • Ersatzinfrastruktur (Arbeitsplätze, Produktions- und Lagerstätten, IT, etc.)
  • Dokumentierte und überprüfte Prozesse zur Wiederherstellung (Evakuationspläne, Pläne für das Krisenmanagement, Continuity Plane für Business und IT, etc.)
Der erste Punkt ist der wichtigste, ohne Daten ist eine Wiederherstellung nicht möglich! Die Punkte zwei und drei dienen der Beschleunigung der Wiederherstellung: je besser die Vorbereitung, desto schneller und erfolgreicher die Wiederherstellung.

Ausbildung und Überprüfung

Business Continuity Management oder IT-Service Continuity Management kann nur erfolgreich funktionieren, wenn die beteiligten Mitarbeiterinnen und Mitarbeiter die Grundzüge des Systems, sowie ihre eigenen Aufgaben darin kennen und beherrschen. Ihre Beteiligung an den jährlichen Überprüfungen ist daher zwingend.
 
Ein wichtiger Aspekt bei der Einführung eines Business Continuity Management Systems oder eines IT Service Continuity Management Systems ist die Überprüfung der neuen Prozesse. Dies erfolgt nicht nur am Ende des Projektes: eine Überprüfung muss regelmässig wiederholt werden um sicher zu stellen, dass eventuelle Änderungen in den Geschäftsabläufen oder in der Infrastruktur auch ins BCM und IT-SCM eingeflossen sind. Für die Überprüfung werden Testpläne benötigt und der Test muss zur späteren Auswertung dokumentiert werden.