Berücksichtigung der Versorgungen mit Gas und Strom im BCM

Abgelegt in: 1 Antwort

Viele Unternehmen beschäftigen sich derzeit intensiv mit den Situationen einer Unterbrechung der Gas- und Stromversorgung angesichts der aktuell kritischen Versorgungslage insbesondere bei Gas.

Grundlage jeder Vorsorgemaßnahme für einen Versorgungsausfall ist die Kenntniss wo, wofür und welche Menge an Gas, Fernwärme, Strom, Internet und Telekommunikation und andere Versorgungsleistungen benötigt wird. In der Industrie kommen noch zusätzlich technische Versorgungen mit Druckluft, Vakuum, Prozessrohstoffen etc. hinzu.

Die Business Impact Analyse ist ein hervorragendes Instrument, um die Anforderungen an diese Versorgungen zu identifizieren. In meinen BIA-Fragebogen berücksichtige ich diese Versorgungen schon immer. Zentrale Versorgungen für die Gebäude werden in der Regel über den Prozess des Facility Managements abgebildet.

Neben den Anforderungen an die Ressourcen Personal, IT, Gebäude, Technik und Dienstleister werden in der BIA auch die Anforderungen an die Versorgungen für den betrachteten Geschäftsprozess strukturiert erhoben:

Grafik: Beipiel für die Erhebung der Anforderungen an die Versorgungen in der BIA

In den Notfallkonzepten wird nachfolgend je Geschäftsprozess für alle identifizierten kritischen Versorgungen die jeweilige Notfallstrategie festgelegt und strukturiert beschrieben:

Grafik: Beispiele Notfallkonzepte Versorgungen

Die Analyse der Anforderungen an die unterschiedlichen Versorgungen zusammen mit den Notfallkonzepten für die kritischen Geschäftsprozesse des BCM bilden eine sehr gute Grundlage für die Vorbereitung auf Mangellagen und Ausfälle und sorgen für Transparenz im Management über das aktuelle Risiko.

Die Herausforderungen des Wiederanlauf aus dem Notbetrieb

Abgelegt in: Notfallplanung 1 Antwort

Der Schwerpunkt in der Notfallplanung liegt häufig in den Verfahren für den Notbetrieb, dabei wird die Komplexität des Wiederanlaufs unterschätzt

In Schweden musste die große Supermarktkette hunderte von Läden nach einem erfolgreichen Ransomware-Angriff schließen. In einer Supply-Chain-Attacke wurde die Fernwartungssoftware VSA von Kaseya mit eine Ransomware kompromittiert. Über die Lücke in der Fernwartungssoftware konnten die Angreifer auf die Kassensysteme zugreifen und mit Hilfe des Verschlüsselungstrojaners REvil die Daten in den Kassensystemen verschlüsseln. Die Angreifer fordern 70 Millionen Dollar Lösegeld für die Herausgabe des Softwareschlüssels zum Entsperren der Daten. Über 1.000 Unternehmen sind von der Ransomware betroffen, darunter auch einige Unternehmen in Deutschland.

Weiterlesen…

Die neuen ISO Guidelines ISO / TS 22332 für Business Continuity Pläne

Abgelegt in: 2 Antworten

Für Sie gelesen: die neuen ISO-Guidelines für Business Continuity Pläne

Das Technical Committee ISO/TC 292 Security and resilience hat uns mit einer neuen Guideline für das BCM beglückt. Die ISO / TS 22332 trägt den Titel “Guidelines for developing business continuity plans and procedures” und beschreibt auf übersichtlichen 19 Seiten Empfehlungen für die Erstellung von Business Continuity Planungen (BC-Pläne). Der ISO-Standard verwendet daher auch durchgehend den Begriff “should” – und nicht “shall” wie die Norm ISO 22301 – was den Charakter einer Guideline der Norm deutlich macht.

Die Lektüre eines neuen ISO-Standards ist immer spannend, oftmals anstrengend und enttäuschend, manchmal leichtgängig und erfreulich. Diese Guideline gehört glücklicherwiese zur positiven Gattung der ISO-Neuerscheinungen. Nicht nur die Länge ist angemessen, auch sind die Inhalte pragmatisch und ergebnisorientiert dargestellt. Dies kann man leider nicht von jedem Standard behaupten. Die Entwicklung scheint mir aber in letzter Zeit in die richtige Richtung zu gehen – pragmatisch und ergebnisorientiert statt theoretisch, abstrakt und abkürzungsfanatisch.

Nun aber zu den Inhalten unseres Neuankömmlings. Die Guideline ist gegliedert in die Abschnitte Begriffsdefinitionen, Voraussetzungen, Notfallbewältigung (“Response”), Arten von BC-Plänen, Inhalte von BC-Plänen, szenariobasierte BC-Pläne, Hinweise zum Schreiben von BC-Plänen, Qualitätssicherung, Aufbewahrung und Verfügbarkeit von BC-Plänen, Folgeschritte nach der Erstellung von BC-Plänen, sowie Überwachung und Aktualisierung der BC-Pläne.

Im BCM-Lifecycle folgt die Planungs-Phase auf die Phase zur Festlegung der Business Continuity Strategien und – Lösungen. Die BC-Strategien bilden daher die Voraussetzungen, um auf diesen aufbauend konkrete BC-Pläne entwickeln zu können. An die Planungs-Phase schließt die Phase zur Durchführung der Übungen und Tests an, die den Kreis des BCM-Lebenszyklus zur Business Impact Analyse schließt..

Neben den BC Strategien bilden die Identifikation der “interested parties”, die Festlegung von Rollen und Verantwortlichkeiten für die BC-Planung sowie die Bereitstellung der Ressourcen zentrale Voraussetzungen um in die BC-Planungsphase starten zu können. Die Guidance sieht hierbei ein Team zur Erstellung der BC-Pläne vor, das von einer kompetenten und mit entsprechenden Autorität ausgestatteten Person geführt wird. Der BCM Beauftragte ist also explizit nicht der Autor der BC-Pläne, sondern koordiniert und steuert die Erstellung der BC-Pläne, macht Vorgaben und sichert die Qualität und Vollständigkeit.

BC-Pläne und Notfallprozeduren sollen eine schnelle Reaktion ermöglichen und ausreichend flexibel sein, um auf unerwartete Situationen reagieren zu können. Diese Empfehlung könnte zur Schlußfolgerung führen, dass die Guideline dem All-Hazard-Ansatz folgt. Die BC-Pläne sollen hierbei für möglichst viele BCM-Szenarien einsetzbar sein und orientieren sich daher an den Schadenswirkungen und nicht an den Ursachen. Doch wird dies relativiert, indem in einem eigenen Abschnitt “Plans for response to specific disruptions” szenariobasierte BC-Pläne für die beiden Szenarien Pandemie / Epidemie und Cyber-Attacken empfohlen werden. Die Guideline verbindet daher wirkungsbasierte mit szenariobasierten BC-Plänen. Dies ist ein praxisorientierter Ansatz, den ich aus meiner eigenen Erfahrung nur bestätigen kann. Siehe hierzu auch meinen Beitrag in den BCM-News.

Bei der Notfallorganisation folgt die Struktur dem dreigliedrigen Prinzip “strategische Team-Ebene”, “taktische Team-Ebene”, “operative Team-Ebene”, im amerikanischen auch oftmals als “Gold”, Silver”, “Bronze” bezeichnet. Die strategische Ebene besteht aus dem Top Management, das die Strategie vorgibt. Das taktische Team steuert und koordiniert die Notfallbewältigung und das operative Team setzt die Maßnahmen um. In kleineren Organisationen dürfen Ebenen auch zusammengefasst werden. Die Struktur der BC-Pläne folgt dieser dreistufigen Logik indem es strategische, taktische und operative Team-Pläne gibt. Die Inhalte korrespondieren mit der Notfall-Organisation. Strategische Pläne konzentrieren sich auf die Ziele der Wiederherstellung und Monitoring der Schadensfolgen sowie Schutz der Reputation der Organisation. Taktische Team-Pläne sollen übergreifende koordinative Pläne zum Beispiel für den Transport der Mitarbeiter und Bereitstellung von Ressourcen beinhalten währen die operativen Team-Pläne die Geschäftsfortführungs- und Wiederherstellungsprozeduren beinhalten.

Für die Planinhalte sieht die Guideline allgemeine Inhalte und planspezifische Inhalte vor. Zu den allgemeinen Inhalten zählen die Ziele, Voraussetzungen, Notfallteams, Aufgaben, Kommunikation, Kontaktdaten, Ressourcen sowie Kriterien für die Auflösung der Teams. Spezifische Planinhalte beinhalten die Notfallprozeduren für Kommunikation und Geschäftsfortführung sowie Wiederanlauf für die klassischen BCM-Ausfallszenarien.

Organisationen sollen darüber hinaus BC-Pläne für spezifische Szenarien erstellen. Explizit sind die beiden Szenarien “Pandemie / Epidemie” und “Cyber-Attacken” im ISO 22332 beschrieben.

BC-Pläne sollen für Situationen mit hohem Stress-Level und Zeitdruck erstellt werden. Pläne sind keine Handbücher oder Berichte und sollten keine unnötigen Informationen enthalten. Dies ist aus meiner Sicht ein wichtiger Hinweis auf völlig ungeeignete Notfall-Handbücher, die sich in Textwüsten über mehrere hundert Seiten erstrecken und sich im Notfall eigentlich nur zum Unterlegen verwenden lassen.

Die Guidelines schließen mit den Anforderungen an die Qualitätssicherung und laufende Aktualisierung.

Ein BC-Plan ist solange geduldiges gedrucktes Papier bis er im Rahmen von Übungen und Tests auf seine Praxistauglichkeit überprüft ist. Folgerichtig schließen die Guiodelines mit den Anforderungen an Übungen und Tests.

In der Anlage sind ergänzende Hinweise für die BC-Planung enthalten. Hier werden zum Beispiel die Themen Outsourcing, manuelle Workarounds, ICT Change Management, Ausweicharbeitsplätze und Supplier Management mit konkreten Hinweisen und Empfehlungen adressiert.

Aus meiner Sicht ist dies eine gelungene Empfehlung für die Erstellung von BC-Plänen. Die angelsächsische Gliederung in strategische, taktische und operative Ebene mag ungewohnt sein, doch lässt sich diese Struktur sehr gut in gewohntere Begrifflichkeiten und Strukturen transformieren.

Ressourcenbasierte versus szenariobasierte Notfallplanung

Abgelegt in: Notfallplanung 1 Antwort

Nutzung von Szenarioanalysen zur Erhöhung der Resilienz

Die Geschäftsfortführungs- und Wiederherstellungsplanung hat zum Ziel, die zeitkritischen Geschäftsprozesse nach einer Unterbechung durch ein Schadensereignis zunächst in einen geordneten Notbetrieb und anschließend in den Normalbetrieb zu überführen. Bei der Erstellung dieser Notfallplanung stellt sich immer die Frage, wie die Notfallplanung inhaltlich strukturiert und aufgebaut werden soll.

Die Notfallpläne sollen beim Eintritt eines Schadensereignisses eine strukturierte Anleitung mit Prozeduren und Verfahren (“Standard Operating Procedures”) zur Bewältigung des Notfalls geben. Die Herausforderung bei der Notfallplanung besteht allerdings darin, dass es eine nicht überschaubare Menge an Schadensereignissen (Ursachen) geben kann, die zu einem Notfall führen können. Es gibt zum Beispiel viele Ursachen, die zum Ausfall eines Gebäudes führen können, die zusätzlich voneinander abhängig sind. So kann zum Beispiel erst der Löscheinsatz der Feuerwehr nach einem Brand zum Ausfall des Gebäudes auf Grund des Wasserschadens führen. Für jedes mögliche Schadensereignis einen Notfallplan zu erstellen, würde bedeuten, eine sehr große Anzahl an Notfallplänen erstellen und pflegen zu müssen, mit dem Risiko, dass genau für das eingetretene Ereignis dann leider kein Notfallplan vorliegt, da niemals alle Szenarien abgedeckt werden können.

Eine Lösung für diese Herausforderung stellen generische Notfallpläne dar, die auf die Bewältigung der Schadenswirkungen abzielen und nicht auf die vielfältigen Ursachen. Die Notfallplanung beinhaltet zum Beispiel die Verfahren bei Ausfall eines Gebäudes, ungeachtet der Ursache für den Gebäudeausfall. Diese Denkweise folgt dem All-Hazard-Ansatz, der zum Ziel hat, durch generische Notfallplanungen viele Schadensszenarien abzudecken.

Im Rahmen der Notfallplanung werden daher konsequenterweise Notfallplanungen für den Ausfall kritischer Prozessressourcen entwickelt: Notfallpläne für “Ausfall Personal”, “Ausfall Gebäude”, “Ausfall IT”, “Ausfall Dienstleister”. Die Ursachen für die Ausfälle werden in der notfallplanung ausgeblendet. Dieses Vorgehen reduziert die Anzahl der Notfallpläne auf ein überschaubares Maß und erleichtert damit die Erstellung, Pflege und Validierung der Notfallpläne.

Dieser ressourcenorientierte Planungsansatz hat neben den eindeutigen Vorteilen in der Erstellung und Pflege der Plandokumente jedoch auch seine Grenzen. Nicht jedes Szenario lässt sich eindeutig einem Notfallplan zuordnen. Ein gutes Beispiel ist die Covid-19-Pandemie. Die Pandemie hat bei den meisten Unternehmen nicht zu kritischen Personalausfällen geführt, sondern ganz andere und komplexere Schadenswirkungen erzielt. Diese beginnen bei der eingeschränkten Nutzbarkeit von Arbeitsplätzen und Gebäuden durch die Hygienekonzepte, über tiefgreifende und anhaltende Unterbrechungen von Lieferketten, Wegfall von Absatzmärkten bis hin zu Liquiditätsnotfällen.

Die Konsequenz hieraus sollte jetzt allerdings nicht sein, die ressourcenbasierte Notfallplanung zu Gunsten einer szanariobasierten Vorgehensweise aufzugeben, sondern vielmehr die Stärken beider Vorgehensweisen zu kombinieren.

Dies bedeutet, die Top-Risikoszenarien mit einem sehr hohen Schadenspotial für die Organisation zu identifizieren und für die Szenarien jeweils eine Risikoanalyse und eine Notfallplanung zu erstellen. Die szenariobasierte Risikoanalyse deckt hierbei Lücken in der bestehenden Notfallplanung auf, die durch eine assetbezogene Sichtweise entstehen können. In meinem aktuellen Beitrag “Bow-Tie: Risikomanagement mit Hilfe der Fliege” auf 3GRC beschreibe ich eine Methode, mit der mit einfachen Mitteln eine anschauliche Szenarioanalyse durchgeführt werden kann. Die auf Basis der Szenarioanalyse erstellte Notfallplanung kann ein eigener Notfallplan (Bsp. Notfallplan “Stromausfall”) oder eine Kombination bestehender Notfallpläne sein.

Die Top-Risikoszenarien, die in dieser Betrachtung analysiert werden sollten, hängen von der spezifischen Risikosituation der Organisation ab und sollten (nur) die bestandsgefährdenden Risiken beinhalten. Zu diesen zählen zum Beispiel Cyber-Attacken, Unterbrechungen der Lieferketten, Ausfall kritischer Dienstleister, Extremwettereignisse, Produktrückrufe, Liquiditätsengpässe, Tod von Geschäftsführern etc..

Wie stehen Sie zu den unterschoiedlichen Ansätzen in der Notfallplanung? Ich freue mich auf Ihre Kommentare!

Be prepared

Matthias Hämmerle

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Abgelegt in: Antworten

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…

Notfallplanung für die Katz

Abgelegt in: 1 Antwort

Immer wieder erlebe ich in Tests und Übungen, aber auch bei Störungen und Notfällen, dass vorhandene Notfallplanungen nicht genutzt werden, sondern mal gut und leider auch weniger erfolgreich durch die Beteiligten improvisiert wird.

Wenn man die Ursachen hierfür analysiert, kommt man immer wieder auf die gleichen Punkte:

  1. Es ist den Beteiligten / Betroffenen nicht bekannt, dass es eine BCM-Notfallplanung gibt
  2. Die BCM-Notfallplanung ist nicht griffbereit, nicht auffindbar oder nicht zugänglich
  3. Die BCM-Notfallplanung ist nicht aktuell, Kontaktdaten nicht gepflegt
  4. Die BCM-Notfallplanung deckt das aktuelle Szenario gar nicht oder nur sehr unzutreffend ab
  5. Die BCM-Notfallplanung ist in einer kritischen unübersichtlichen Notfallsituation nicht nutzbar, da sie aus mehreren hunderten Seiten Textwüste besteht.

Während die Punkte eins bis drei noch relativ einfach durch Information, Kommunikation, Disziplin sowie Kontrollen zu beheben sind, geht es bei den Ursachen vier und fünf “an das Eingemachte” der BCM-Notfallplanung. Oftmals gilt offensichtlich der Grundsatz “Masse ist gleich Klasse”. Umfangreiche Einleitungen, Darstellungen von Business Impact Analysen und sich wiederholende Standardtexte “schmücken” die eigentliche Notfallplanung. Die Kerninhalte bestehend aus den Notfallprozeduren für Kommunikation, Einleitung und Durchführung des Notbetriebs, Wiederanlauf in den Normalbetrieb sowie Kontaktdaten sind in den Textwüsten nicht auffindbar. Statt mühsam zu suchen, wird dann improvisiert.

Sehr schade für die ganze Mühe, die in die Dokumente gesteckt wurde und es ist dann auch nicht verwunderlich, dass die laufende und anlassbezogene Aktualisierung der Dokumente der Priorisierung anderer Aufgaben zum Opfer fällt.

Sollte Ihnen diese Situation bekannt vorkommen, ist es an der Zeit über Struktur und Aufbau der BCM-Notfallplanung grundsätzlich nachzudenken.

Sie würden sich auch nicht einem Piloten im Cockpit anvertrauen, der das 1.000-seitige Manual des Herstellers für das Triebwerk unter seinem Pilotensitz für Notfälle bereithält. Und der Co-Pilot die weiteren Handbücher im Cockpit versteckt hat.

Be prepared

Ja mach nur einen (Notfall-)Plan … Nutzen und Grenzen von Notfallplänen

Abgelegt in: Notfallplanung 1 Antwort

Im Rahmen des Business Continuity Management werden Notfallkonzepte und -pläne erstellt, um auf das Unwahrscheinliche vorbereitet zu sein. Der Notfall ist jedoch leider ein tückischer Zeitgenosse. Sind wir gut vorbereitet, lässt er sich nicht blicken und wir stehen als Zeit- und Ressourcenverschwender für unnütze Notfallpläne im schlechten Licht. Tritt der Notfall ein, ist es purer Zufall, dass der vorbereitete Notfallplan genau die passende Lösung für genau dieses Ereignis abbildet.

Lesen Sie hierzu meinen aktuellen Beitrag auf der Plattform 3GRC.

BCI Good Practice Guidelines 2018 Edition erschienen

Abgelegt in: 1 Antwort

Nach einer Runde um den Globus sind die aktualisierten Good Practice Guidelines (GPG) Edition 2018 anlässlich der BCI World Conference in London veröffentlicht worden.

Die BCI GPG waren mir damals als Einsteiger in das Thema Business Continuity Management eine wertvolle Hilfestellung. Im Gegensatz zu den BCM-Standards (die es damals im Gegensatz zum GPG noch nicht gab), erläutern die GPG nicht nur was für ein gutes BCM implementiert werden muss, sondern geben auch Hilfestellung mit welchen Methoden die Ziele erreicht werden. Geschrieben von Praktikern für Praktiker. Die neue Version basiert weiterhin auf dem bewährten BCM-Lifecycle mit den Professional Management Practices (PP) “Policy und Programm Management” und  “Embedding BC” sowie den Technical Practices  “Analysis”, “Design”, “Implementation” und “Validation”.

Jede Phase besteht aus den Beschreibungsteilen

  • generell zu beachtende Prinzipien,
  • Konzepte,
  • Detailprozess mit Prozesschritten,
  • Methoden und Techniken sowie
  • Ergebnisse und Review.

Die Business Impact Analyse (BIA) hat die größte Überarbeitung erfahren und basiert in den neuen GPG konsequent auf dem Vorgehen im ISO-Standard ISO 22317:2015.

Aufbau und Inhalt des GPG 2018 sind sowohl für Einsteiger in das Thema BCM als auch für erfahrene Praktiker sehr hilfreich.

Die GPG tragen den Untertitel “Building organizational resilience”. Um das Gute noch besser zu machen, würde ich mir für eine zukünftige Version eine noch stärkere Berücksichtigung der Schnittstellen zwischen den Disziplinen wünschen, die für die organisatorische Resilienz erforderlich sind. In der Grafik auf dem Deckblatt haben sie zumindest schon ihr Plätzchen gefunden.

Eine Übersicht über den neuen Aufbau stellt das BCI auf den neu gestalteten Webseiten zur Verfügung. Der GPG ist für BCI-Mitglieder kostenfrei online erhältlich. Nicht-Mitglieder bezahlen 30 GBP excl. VAT für dieses hilfreiche Werk. Ein Schnäppchen im Vergleich zu den ISO-Standards!

Wenn Sie eine aktuelle deutsche Literatur zu BCM und IT Service Continuity Management suchen, dann werden Sie hier fündig:
Business Continuity und IT-Notfallmanagement: Grundlagen, Methoden und Konzepte (Edition <kes>)

Körperliche Dokumente im Notfallkonzept

Abgelegt in: 2 Antworten

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Supply Chain Continuity Management – Vorsorge für Notfälle in der Lieferkette

Abgelegt in: Antworten

Wenn die Lieferkette an einer Stelle reißt, kommt häufig die gesamte Wertschöpfungskette für ein Produkt oder einen Service zum Stillstand. Die Vorsorge für Notfälle in der Lieferkette – das Supply Chain Continuity Management – ist daher ein elementarer Baustein für eine widerstandsfähige Lieferkette. Der vorangegangene Beitrag „Supply Chain Resilience“ behandelte die Governance, Risk und Compliance-Aspekte. Dieser Beitrag, den ich auf der Plattform GR3C veröffentlicht habe, geht vertieft auf die Rolle des Business Continuity Management zur Sicherung der Lieferketten bei Unterbrechungen ein:

Zum Beitrag auf 3GRC

Die zehn Schritte zum Business Continuity Management

Abgelegt in: Antworten

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.