Business Continuity Management gut versteckt

Abgelegt in: 1 Antwort

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Abgelegt in: Antworten

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…

BCI Good Practice Guidelines 2018 Edition erschienen

Abgelegt in: 1 Antwort

Nach einer Runde um den Globus sind die aktualisierten Good Practice Guidelines (GPG) Edition 2018 anlässlich der BCI World Conference in London veröffentlicht worden.

Die BCI GPG waren mir damals als Einsteiger in das Thema Business Continuity Management eine wertvolle Hilfestellung. Im Gegensatz zu den BCM-Standards (die es damals im Gegensatz zum GPG noch nicht gab), erläutern die GPG nicht nur was für ein gutes BCM implementiert werden muss, sondern geben auch Hilfestellung mit welchen Methoden die Ziele erreicht werden. Geschrieben von Praktikern für Praktiker. Die neue Version basiert weiterhin auf dem bewährten BCM-Lifecycle mit den Professional Management Practices (PP) “Policy und Programm Management” und  “Embedding BC” sowie den Technical Practices  “Analysis”, “Design”, “Implementation” und “Validation”.

Jede Phase besteht aus den Beschreibungsteilen

  • generell zu beachtende Prinzipien,
  • Konzepte,
  • Detailprozess mit Prozesschritten,
  • Methoden und Techniken sowie
  • Ergebnisse und Review.

Die Business Impact Analyse (BIA) hat die größte Überarbeitung erfahren und basiert in den neuen GPG konsequent auf dem Vorgehen im ISO-Standard ISO 22317:2015.

Aufbau und Inhalt des GPG 2018 sind sowohl für Einsteiger in das Thema BCM als auch für erfahrene Praktiker sehr hilfreich.

Die GPG tragen den Untertitel “Building organizational resilience”. Um das Gute noch besser zu machen, würde ich mir für eine zukünftige Version eine noch stärkere Berücksichtigung der Schnittstellen zwischen den Disziplinen wünschen, die für die organisatorische Resilienz erforderlich sind. In der Grafik auf dem Deckblatt haben sie zumindest schon ihr Plätzchen gefunden.

Eine Übersicht über den neuen Aufbau stellt das BCI auf den neu gestalteten Webseiten zur Verfügung. Der GPG ist für BCI-Mitglieder kostenfrei online erhältlich. Nicht-Mitglieder bezahlen 30 GBP excl. VAT für dieses hilfreiche Werk. Ein Schnäppchen im Vergleich zu den ISO-Standards!

Wenn Sie eine aktuelle deutsche Literatur zu BCM und IT Service Continuity Management suchen, dann werden Sie hier fündig:
Business Continuity und IT-Notfallmanagement: Grundlagen, Methoden und Konzepte (Edition <kes>)

Anforderungen an die Good Practice Guidelines für das Business Continuity Management

Abgelegt in: Methoden 3 Antworten

Das Business Continuity Institute BCI startet die Überarbeitung der Good Practice Guidelines für das BCM. Der GPL ist bereits in mehreren Iteration überarbeitet worden und stellt eine sehr gute Grundlage für das Vorgehen bei der Implementierung des BCM dar. Die Good Practice Guidelines sind auch in deutscher Sprache verfügbar und können auf der Webseite des BCI bezogen werden.

Die Welt dreht sich weiter und auch die Anforderungen an das Business Continuity Management wandeln sich. Welches sind Ihre Anforderungen und Wünsche an einen überarbeiteten Good Practice Leitfaden für das BCM?

Hier sind meine Wünsche:

1. Skalierbares Vorgehensmodell

Das Vorgehensmodell zur Implementierung und Betrieb des BCM sollte für Organisationen aller Größenordnungen und Branchen gut anwendbar sein. Der Leitfaden sollte insbesondere auch kleinen und mittelständischen Unternehmen Hilfestellung für eine erste Umsetzung geben, quasi “BCM light”. Oftmals ist die Einführung von BCM durch die Anforderung eines Kunden für ein Produkt oder einen Service getrieben.

2. Definition der Schnittstellen zu den anderen Disziplinen

Das Business Continuity Management hat sehr viele Schnittstellen zu anderen Disziplinen. Hierzu gehören insbesondere das Risikomanagement, die IT mit IT Service Continuity und Informationsicherheit, Facility Management, Objekt- und Personensicherheit sowie das Krisenmanagement. Ein Good Practice Leitfaden für das BCM sollte dem Nutzer helfen, diese Schnittstellen im Unternehmen zu erkennen und den Nutzen der Zusammenarbeit herausarbeiten. In einer engen Zusammenarbeit mit diesen Disziplinen können Synergieeffekte in der Methodik und Umsetzung erzielt werden. Es gibt zum Beispiel keine Notwendigkeit, dass das BCM ein Parallel-Universum für das Risikomanagement aufbaut, wenn es bereit etablierte Methoden und Verfahren gibt, die genutzt werden können.

3. Übergreifenden Prozess zur Erkennung und Eskalation von Störungen und Notfällen

Störungen und Notfälle können an ganz verschiedenen Stellen im Unternehmen auftreten. Ein einheitlicher Prozess für die Erkennung und Eskalation von Störungen und Notfällen über alle Disziplinen hinweg, hilft die Ereignisse frühzeitig identifizieren und einschätzen zu können. Die Gesamtlänge kann schneller erkannt und überblickt werden.

4. Berücksichtigung von Cyber-Risiken

Cyber-Risiken gehen zu den größten Bedrohungen für Unternehmen. Diese non-physical Risks sollten in einem Leitfaden daher neben den klassischen BCM-Risiken berücksichtigt werden

5. Krisenmanagement

Gehört nun Krisenmanagement zu BCM oder ist es eine eigene Diszipli? Wie auch immer, ohne Krisenmanagement funktioniert Business Continuity Management nicht. Daher ist eine Integration dieser Disziplinen Voraussetzung für ein funktionierendes BCM.

6. Fachbegriffe auf ein Mindestmaß reduzieren und eindeutig definieren

Im BCM gibt es eine Flut von Fachbegriffen und Abkürzungen, die jeden Einsteiger überfordern. Zudem sind ein Teil dieser Begriffe nicht eindeutig definiert. Weniger ist an dieser Stelle mehr.

7. Hilfsmittel und Templates als Unterstützung für die Umsetzung

Für Einsteiger sollte es einen Satz von Vorlagen und Templates geben, mit denen ein schneller Start in die BCM-Implementierung möglich ist. Zum Beispiel für die Business Impact Analyse, Notfallpläne sowie Tests und Übungen. Analog der Umsetzungshilfen des BSI für den BSI 100-4. Die BCM Community kann bestimmt einen ganzen Schatz an Hilfsmitteln zusammentragen.

So, das war meine spontane Wunschliste. Ich freue mich auf Ihre Wunschliste in den Kommentaren zu diesem Beitrag.

Business Continuity Management neu denken

Abgelegt in: Methoden 1 Antwort

Im Lauftraining haben wir unsere Lieblingsrunde. Wir kennen die Steigungen und Gefälle, haben unsere Wegmarken zu Orientierung und Motivation sowie Zwischenzeiten für das Benchmarking. Manchmal sollte mal allerdings einfach seine Lieblingsrunde in umgekehrter Richtung laufen, um wirklich zu wissen wo man steht und um Routine zu vermeiden. Welchen Bezug hat dies zum Business Continuity Management? Weiterlesen…

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Abgelegt in: 2 Antworten

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

Elevator Pitch für die BIA-Ergebnispräsentation

Abgelegt in: 1 Antwort

Die vorhergehenden Beiträge im Management-Meeting, in dem Sie die Ergebnisse der Business Impact Analyse vorstellen sollen, haben mal wieder überzogen und Ihnen bleiben  noch fünf Minuten bis das Management unwiderruflich das Notizbuch zuklappt. Geht nicht? Geht doch!

BIA Results

Die Ergebnisse der strategischen und taktischen BIA lassen sich kompakt auf einer Seite darstellen. In einer Darstellungsform, die dem Management geläufig ist. Dies fördert zudem die Akzeptanz und damit auch die Awareness beim Management für unser geliebtes BCM.

In der Kürze liegt die Würze – wie Sie sehen auch bei diesem Beitrag 😉

BCM-Literatur: Resilienz in Organisationen stärken

Abgelegt in: Methoden Antworten

Der Begriff “Resilienz” hat in den vergangenen Jahren im Business Continuity Management einen richtigen Hype erlebt. Kaum eine Veranstaltung oder Artikel, die nicht ohne diesen Begriff auskommen konnten. Fast schien es, als hätte die doch noch sehr junge Disziplin Business Continuity Management schon ihren Zenit überschritten und würde durch “Resilience” abgelöst. Der Hype hat sich gelegt, BCM gibt es noch und es ist an der Zeit, mit der nötigen Ruhe, Gelassenheit und Systematik an das Thema heranzugehen.
Genau dies wird in dem aktuellen Sammelband “Resilienz in Organisationen stärken” der Heraugeber Uwe Bargstedt, Günter Horn und Amanda van Vegten gewagt. Anstoß für das Buch war ein Workshop der Plattform Menschen in komplexen Arbeitswelten im Jahr 2013. Herausgekommen ist ein umfassendes Werk, das auf fast 500 Seiten “Resilienz” aus ganz unterschiedlichen Perspektiven durch verschiedene Autoren beleuchtet. Gegliedert ist das Buch in die drei Teile

  • Resilienz, ein Paradigmenwechsel für die Sicherheitswissenschaften
  • Begriffe und Konzepte zur Resilienz
  • Umsetzen von Resilienzkonzepten.

Natürlich kommt auch das Business Continuity Management nicht zu kurz. Die Stärke des Werks liegt jedoch in der interdisziplinären Betrachtungsweise des Themas. Deutlich wird, dass es das Konzept für Resilienz nicht gibt – und wohl auch nie geben wird, das Paradigma aber sehr wohl hilft die Disziplinen Sicherheitsmanagement, Risikomanagement,BCM und Krisenmanagement weiterzuentwickeln und auf ein neues Niveau zu heben. Das Buch kann BCM-Praktikern daher uneingeschränkt zur Lektüre empfohlen werden. Die anstehenden Osterfeiertage bringen hoffentlich die Stunden der Muße für die 500 Seiten Denkanstöße.

Das WhatsApp-Prinzip im BCM

Abgelegt in: Antworten

Facebook hat gerade den Instant-Messenger-Anbieter WhatsApp für 19 Mrd. Dollar übernommen. Ein Unternehmen mit nur 50 Mitarbeitern hat innerhalb weniger Jahre diesen Unternehmenswert geschaffen. Mit geringen Mitteln Großes erreichen, das ist auch die Herausforderung im BCM. Ein wesentlicher Schlüssel hierzu ist die Organisation des BCM und hier insbesondere die dezentrale BCM-Organisation. Die dezentrale BCM-Organisation mit den BCM-Verantwortlichen in den Fachbereichen schafft die erforderliche Hebelwirkung bei der BCM-Umsetzung.
Voraussetzungen hierfùr sind

  • die frühzeitige Benennung der dezentralen Verantwortlichen in den Fachbereichen
  • die richtige Qualifikation der dezentralen Verantwortlichen (Prozesskenntnisse, gute Vernetzung, Kommunikationsfähigkeiten, methodisches Vorgehen und Projektmanagement …)
  • eine klare Regelung der Aufgaben, Kompetenzen und Verantwortlichkeiten
  • Bereitstellung der erforderlichen Kapazitäten für das BCM
  • Motivation und Engagement.

Das zentrale BCM hat die Verantwortung die Mitarbeiter in der dezentralen BCM-Organisation im Thema zu schulen und die Awareness – im Idealfall Freude und Begeisterung – am Thema BCM zu wecken und aufrechtzuerhalten. Regelmäßige Informationen, Trainings und Schulungen sowie Treffen zum gegenseitigen Erfahrungsaustausch schaffen den Rahmen hierfür. Das Management muß für die Bereitstellung der erforderlichen Kapazitäten für die Aufgaben sorgen. Auch hier ist das zentrale BCM gefordert. Doch am Ende des Tages lohnt sich dieser Aufwand. Die Fachbereiche übernehmen die inhaltliche Verantwortung für die BIA und Notfallplanung, das zentrale BCM die Methodenverantwortung sowie Steuerung und Koordination. Keiner wird behaupten, dass dies ein schneller und leichter Weg ist. WhatsApp hat in den ersten Jahren kaum ein Mensch gekannt …

BSI veröffentlicht Umsetzungsrahmenwerk zum Notfallmanagement nach BSI-Standard 100-4

Abgelegt in: 1 Antwort

Das Bundesamt für Sicherheit in der Informationstechnik hat gemeinsam mit der HiSolutions AG ein Umsetzungsrahmenwerk für den Standard BSI 100-4 entwickelt und veröffentlicht. Das Rahmenwerk enthält zahlreiche Templates und Hilfsmittel, vor allem für Unternehmen, die gerade beginnen ein BCM neu aufzubauen. Das Rahmenwerk ergänzt so ideal den Standard BSI 100-4.

“Das Umsetzungsrahmenwerk richtet sich an Behörden und Unternehmen, die gerade dabei sind, ein Notfallmanagement aufzubauen und sich dabei am BSI-Standard 100-4 ausrichten. Dieses Umsetzungsrahmenwerk wurde in einem Projekt mit der HiSolutions AG und dem BSI erstellt. Die Dokumente werden als Vorabversion zur Verfügung gestellt. Mit Anregungen und Kritik können Sie sich gerne jederzeit an grundschutz@bsi.bund.de wenden.

Das Umsetzungsrahmenwerk besteht aus:

  • Einem Hauptdokument, welches beschreibt, wozu Notfallmanagement und das Umsetzungsrahmenwerk dienen und worauf beide abzielen. Ferner enthält das Hauptdokument eine Übersicht über alle vorhandenen Dokumente und Hilfsmittel. Dieses Dokument sollte zuerst durchgelesen werden.
  • Neun Modulen zu allen Phasen des Notfallmanagements. Jedes dieser Module enthält dabei Textvorlagen für alle relevanten Dokumente des Notfallmanagements (z. B. zur Leitlinie), Muster für Workshop-Präsentationen (z. B. zur Erstellung einer Business Impact Analyse) und eine Modulbeschreibung, in welcher nötige Vorarbeiten und zu erzielende Ergebnisse beschrieben sind.
    Drei Leitfäden, die beschreiben, wie in einer Institution stufenweise ein Notfallmanagement eingeführt werden kann.
    • Mit der Umsetzung vom Leitfaden Stufe 1 kann eine Institution eine elementare Fähigkeit zur Notfallbewältigung erreichen und die Basis für ein Notfallmanagement legen.
    • Mit der Umsetzung vom Leitfaden der Stufe 2 wird die Notfallbewältigung ausgebaut und durch die Notfallvorsorge ergänzt.
    • Mit der Umsetzung vom Leitfaden der Stufe 3 wird das gesamte Notfallmanagementsystem eingeführt. Dieses Notfallmanagementsystem enthält neben Notfallvorsorge und -bewältigung auch die Aufrechterhaltung und kontinuierliche Verbesserung.”

Quelle: BSI

 

Der BCM Lifecycle

Abgelegt in: Methoden Antworten

Ich bin ein bekennender Anhänger des BCM Lifecycle, auch wenn er über die Standards zunehmend von PDCA “bedroht wird”. Der BCM Lifecycle hat mich vor vielen Jahren als blutiger BCM-Anfänger durch meine erste BCM-Implementierung geführt und dafür bin ich ihm Dank schuldig. Leider erschließt sich die Stringenz des Vorgehens oftmals erst am Ende des Lifecycles nach Monaten oder gar Jahren harter BCM-Arbeit. Das Fehlen dieser Stringenz ist ganz einfach an Geschäftsfortführungsplänen zu erkennen, die mangels aus der BIA und Strategie abgeleiteter Inhalte mit langatmigen Texten und sinnfreien Screenshots “auf Masse” gebracht werden – leider nicht auf Klasse. Ich habe daher versucht in ein paar wenigen Folien die Zusammenhänge des Lifecycles zu beschreiben, insbesondere wie die Ergebnisse der einzelnen Phasen zum Ausgangspunkt der nächsten Phase werden. Für Fragen und Anregungen stehe ich Ihnen gerne zur Verfügung.