Implementierung eines Business

Continuity Management Systems ISACA Trend Talk

28.04.2016 - Bernhard Zacherl

Seite 2

► Business Continuity Management System

► Regulatorische / gesetzliche Anforderungen

► Projektvorgehen

► BIA & RA – Vorgehensweise und Beispiel

► Vergleich BSI vs ISO

► Aktuelle Trends

► Fragen & Antworten

AGENDA

Seite 3

Business Continuity Management System

Notfallvorsorge Notfallmanagement / Notfallbewältigung

Allgemeine Definitionen

BCMS

Business Impact Analyse BCM Organisation

Tests und Übungen

Schulungen und

Sensibilisierung

Abstimmen der

Notfallkonzepte mit

Dienstleistern

Risikoanalyse

Krisenstabsleitfaden Wiederanlauf

Alarmierungsketten

Wiederherstellung Geschäftfortführung

BCM Guideline

Krisenkommunikation

Seite 4

Regulatorische und gesetzliche Anforderungen

Österreich:

► GmbH Gesetz §30g (4a) - Risikomanagement

► Aktiengesetz §91 (4a) - Risikomanagement

► Leitfaden operationelles Risiko der OeNB - 2.12 Grundsatze des ordnungsgemäßen

Managements von operationellen Risiken

► Publikationen aus Basel II / III: u.a. „High Level Principles for Business Continuity“

(2006)

► Versicherungsaufsichtsgesetz u.A.: § 228 (Notfallpläne für Krisensituationen)

Deutschland:

KWG §25 (a, b, c)

► Pflichten GF, operativ delegierbar jedoch unveräußerliche Accountability

► Technisch-organisatorische Ausstattung

► Notfallmanagement, insbes. iVm Risikotragfähigkeit und Verantwortung

AktG §91(2)

► Früherkennungssystem für bestandsgefährdende Risiken («KonTraG»)

MA Risk AT 7.2 und 7.3, zusätzlich AT 9 (konkretisiert KWG §25b)

Seite 5

Beispielhaftes Projektvorgehen

BCM Organisationsstruktur

Abstimmen der Notfallkonzepte mit den

Dienstleistern

Krisen-

kommunikation

Krisenstabsleitfaden

Risikoanalyse Wiederherstellungs- und

Wiederanlaufpläne

Business Impact Analyse Geschäftsfortführungspläne

Training und Awareness

BCM Guideline

Tests und Übungen

Alarmierungsketten

rund 1 Jahr

Seite 6

Vorgehensweise BIA und RA (BSI 100-4)

Prozess 3 Prozess 1 Prozess 2

Ressourcen:

► IT Applikation A

► Bürogebäude

► Personal A

Ressourcen

► IT Applikation A

► IT Applikation B

► Personal B

Ressourcen

► IT Applikation B

► Bürogebäude

Business Impact Analyse auf Basis des Prozesses bei Ausfall einer kritischen Ressource.

Risikoanalyse auf Basis der Ressourcen die in einem zeitkritischen Prozess verwendet werden.

Impact (BIA)

Ris

k F

acto

r (R

A)

P3

P5

P5 P6

P2

P8

Seite 7

Beispielhafte BIA und RA

Business Impact Analyse

Risikoanalyse

Seite 8

Beispiel BIA und RA

BIA

& RA

Ressourcen

Prozesse

Geschäftsfortführungspläne

• Für kritische Prozesse werden im Zuge des nächsten Arbeitspakets

Geschäftsfortführungspläne erstellt.

• Sie beschreiben “Workarounds”, um bei Ausfall einer Ressource (z.B. IT-

System) den Geschäftsprozess weiterhin durchführen zu können

Notbetrieb.

• Bei Abhängigkeiten zu anderen Prozessen (= sekundäre kritische

Prozesse) werden diese Prozesse der Erstellung der Pläne berücksichtigt.

Wiederanlaufpläne / Wiederherstellungspläne

• Für kritische Ressourcen werden Wiederanlaufpläne /

Wiederherstellungspläne geschrieben

• Sie beschreiben notwendige Schritte, um ausgefallene Ressourcen

wiederherzustellen Rückführung zum Not- / Normalbetrieb

• Bei Abhängigkeiten zu anderen Ressourcen werden diese Ressourcen

(= sekundäre kritische Ressourcen) bei der Erstellung der Pläne

berücksichtigt

• Erstellung u.a. in Zusammenarbeit mit den Providern

Seite 9

Abgleich ISO 22301 vs BSI 100-4

ISO22301

Einführung BCM durch Top Level Management

Übernahme der Verantwortung

Definition BCM Organisation Entwicklung

Kontinuitätsstrategie Notfallvorsorgekonzept Notfallbewältigungskonzept Krisenkommunikations-

konzept

Business Impact Analyse Risikoanalyse Geschäftsfortführungspläne Wiederanlaufpläne

Test- und Übungsplan Test- und Übungskonzept Audit Self assessment Training und Awareness

Administration und Verbesserung des Business Continuity Management Systems

Administrieren / Verbessern (Act)

Aufbau (Plan)

Einführung / Betrieb (Do)

Überwachen / Review (Check)

Einführung BCM durch Top Level Management

Übernahme der Verantwortung

Definition BCM Organisation

Business Impact Analyse Risikoanalyse Entwicklung

Kontinuitätsstrategie Notfallvorsorgekonzept

Notfallbewältigungskonzept Geschäftsfortführungspläne Wiederanlaufpläne Krisenkommunikations-

konzept

Test- und Übungsplan Test- und Übungskonzept Übungsdrehbuch

Audit Self assessment Training und awareness

Initiierung des Notfallmanagements

Kontinuitätsplanung

Notfallbewältigung

Tests / Übungen

Verbesserung des Prozesses

BSI100-4

Seite 10

Aktuelle Trends

Erweiterung der Risikoanalyse auf Geschäftsrisiken /

Prozessrisiken

► Integration mehrerer Management Systeme:

► Datenschutz-Management System

► Informationssicherheits-Management System

► Anti Bribery Management System

► Service Management

► Quality Management

► GRC / IKS

BCMS

22301

QSMS

9001

DSMS

29100 ISMS

27001

SMS

20000

MGMT

System

The better the question. The better the answer.�The better the world works.

Fragen & Antworten