implementierung eines business continuity management …. tt - 1... · seite 3 business continuity...
TRANSCRIPT
Implementierung eines Business
Continuity Management Systems ISACA Trend Talk
28.04.2016 - Bernhard Zacherl
Seite 2
► Business Continuity Management System
► Regulatorische / gesetzliche Anforderungen
► Projektvorgehen
► BIA & RA – Vorgehensweise und Beispiel
► Vergleich BSI vs ISO
► Aktuelle Trends
► Fragen & Antworten
AGENDA
Seite 3
Business Continuity Management System
Notfallvorsorge Notfallmanagement / Notfallbewältigung
Allgemeine Definitionen
BCMS
Business Impact Analyse BCM Organisation
Tests und Übungen
Schulungen und
Sensibilisierung
Abstimmen der
Notfallkonzepte mit
Dienstleistern
Risikoanalyse
Krisenstabsleitfaden Wiederanlauf
Alarmierungsketten
Wiederherstellung Geschäftfortführung
BCM Guideline
Krisenkommunikation
Seite 4
Regulatorische und gesetzliche Anforderungen
Österreich:
► GmbH Gesetz §30g (4a) - Risikomanagement
► Aktiengesetz §91 (4a) - Risikomanagement
► Leitfaden operationelles Risiko der OeNB - 2.12 Grundsatze des ordnungsgemäßen
Managements von operationellen Risiken
► Publikationen aus Basel II / III: u.a. „High Level Principles for Business Continuity“
(2006)
► Versicherungsaufsichtsgesetz u.A.: § 228 (Notfallpläne für Krisensituationen)
Deutschland:
KWG §25 (a, b, c)
► Pflichten GF, operativ delegierbar jedoch unveräußerliche Accountability
► Technisch-organisatorische Ausstattung
► Notfallmanagement, insbes. iVm Risikotragfähigkeit und Verantwortung
AktG §91(2)
► Früherkennungssystem für bestandsgefährdende Risiken («KonTraG»)
MA Risk AT 7.2 und 7.3, zusätzlich AT 9 (konkretisiert KWG §25b)
Seite 5
Beispielhaftes Projektvorgehen
BCM Organisationsstruktur
Abstimmen der Notfallkonzepte mit den
Dienstleistern
Krisen-
kommunikation
Krisenstabsleitfaden
Risikoanalyse Wiederherstellungs- und
Wiederanlaufpläne
Business Impact Analyse Geschäftsfortführungspläne
Training und Awareness
BCM Guideline
Tests und Übungen
Alarmierungsketten
rund 1 Jahr
Seite 6
Vorgehensweise BIA und RA (BSI 100-4)
Prozess 3 Prozess 1 Prozess 2
Ressourcen:
► IT Applikation A
► Bürogebäude
► Personal A
Ressourcen
► IT Applikation A
► IT Applikation B
► Personal B
Ressourcen
► IT Applikation B
► Bürogebäude
Business Impact Analyse auf Basis des Prozesses bei Ausfall einer kritischen Ressource.
Risikoanalyse auf Basis der Ressourcen die in einem zeitkritischen Prozess verwendet werden.
Impact (BIA)
Ris
k F
acto
r (R
A)
P3
P5
P5 P6
P2
P8
Seite 7
Beispielhafte BIA und RA
Business Impact Analyse
Risikoanalyse
Seite 8
Beispiel BIA und RA
BIA
& RA
Ressourcen
Prozesse
Geschäftsfortführungspläne
• Für kritische Prozesse werden im Zuge des nächsten Arbeitspakets
Geschäftsfortführungspläne erstellt.
• Sie beschreiben “Workarounds”, um bei Ausfall einer Ressource (z.B. IT-
System) den Geschäftsprozess weiterhin durchführen zu können
Notbetrieb.
• Bei Abhängigkeiten zu anderen Prozessen (= sekundäre kritische
Prozesse) werden diese Prozesse der Erstellung der Pläne berücksichtigt.
Wiederanlaufpläne / Wiederherstellungspläne
• Für kritische Ressourcen werden Wiederanlaufpläne /
Wiederherstellungspläne geschrieben
• Sie beschreiben notwendige Schritte, um ausgefallene Ressourcen
wiederherzustellen Rückführung zum Not- / Normalbetrieb
• Bei Abhängigkeiten zu anderen Ressourcen werden diese Ressourcen
(= sekundäre kritische Ressourcen) bei der Erstellung der Pläne
berücksichtigt
• Erstellung u.a. in Zusammenarbeit mit den Providern
Seite 9
Abgleich ISO 22301 vs BSI 100-4
ISO22301
Einführung BCM durch Top Level Management
Übernahme der Verantwortung
Definition BCM Organisation Entwicklung
Kontinuitätsstrategie Notfallvorsorgekonzept Notfallbewältigungskonzept Krisenkommunikations-
konzept
Business Impact Analyse Risikoanalyse Geschäftsfortführungspläne Wiederanlaufpläne
Test- und Übungsplan Test- und Übungskonzept Audit Self assessment Training und Awareness
Administration und Verbesserung des Business Continuity Management Systems
Administrieren / Verbessern (Act)
Aufbau (Plan)
Einführung / Betrieb (Do)
Überwachen / Review (Check)
Einführung BCM durch Top Level Management
Übernahme der Verantwortung
Definition BCM Organisation
Business Impact Analyse Risikoanalyse Entwicklung
Kontinuitätsstrategie Notfallvorsorgekonzept
Notfallbewältigungskonzept Geschäftsfortführungspläne Wiederanlaufpläne Krisenkommunikations-
konzept
Test- und Übungsplan Test- und Übungskonzept Übungsdrehbuch
Audit Self assessment Training und awareness
Initiierung des Notfallmanagements
Kontinuitätsplanung
Notfallbewältigung
Tests / Übungen
Verbesserung des Prozesses
BSI100-4
Seite 10
Aktuelle Trends
Erweiterung der Risikoanalyse auf Geschäftsrisiken /
Prozessrisiken
► Integration mehrerer Management Systeme:
► Datenschutz-Management System
► Informationssicherheits-Management System
► Anti Bribery Management System
► Service Management
► Quality Management
► GRC / IKS
BCMS
22301
QSMS
9001
DSMS
29100 ISMS
27001
SMS
20000
MGMT
System
The better the question. The better the answer.�The better the world works.
Fragen & Antworten