Der News Blog zu Business Continuity Management und IT Service Continuity Management
Recovery point objective.
Wiederherstellungsanforderungen für Daten nach Eintritt eines Notfalls. Der RPO für Daten wird im Rahmen der Business Impact Analyse (BIA) erhoben und ist Grundlage für die Absicherung der Daten durch die IT im ITSCM (IT Service Continuity Management).
Recovery time objective.
Zeitliche Wiederanlaufanforderung für Prozesse und Ressourcen. Der RTO wird im Rahmen der Business Impact Analyse (BIA) erhoben und ist Grundlage für die BCM-Strategien und Notfallplanung.
Ermittlung des Schutzbedarfs von Informationswerten für die Sicherheitsziele
Geltungsbereich des Business Continuity Management Systems. Der Geltungsbereich kann definiert werden durch
Der Scope erlaubt eine begrenzte Implementierung des BCM. Für alle Produkte und Services im Scope müssen jedoch auch alle notwendigen Ressourcen wie Vorgänger-, und Unterstützungsprozesse, IT, Personal, Dienstleister etc. betrachtet werden, damit die Notfallvorsorge für die Produkte und Services auch funktionsfähig ist.
Standards sind im Gegensatz zu Normen nicht an ein Regelwerk oder den Konsens aller interessierten Kreise gebunden. Standards sind oftmals die Grundlage für die Entwicklung von Normen.
Immer wieder begegnet mir in Unternehmen die Bezeichnung “Störfall” für Störungen oder Notfälle. In nahezu allen Fällen bin ich nicht glücklich über diese Begriffswahl. Denn der Begriff “Störfall” ist eigentlich durch die Störfallverordnung (Zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (StörfallVerordnung – 12. BImSchV) geregelt. Betroffen von der Störfallverordnung sind Unternehmen, die gefährliche Stoffe im Betriebsbereich in definierten Mengen lagern. Die Mengen sind in Anhang I der Störfallverordnung definiert. Unternehmen, die dieser Verordnung unterliegen, haben besondere Pflichten hinsichtlich Sicherheitsmaßnahmen, Alarm- und Gefahrenabwehrplänen sowie Informations- und Mitteilungspflichten. Im Kontakt mit Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kann dies zu Mißverständissen führen. Daher sollte der Begriff “Störfall” nur bei entsprechenden Unternehmen Anwendung finden. In den anderen Unternehmen und Organisationen sollte von “Störung” oder “Notfall” gesprochen werden.
Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).
Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.
Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.
Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:
Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).
Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.
Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.
Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:
Projekt, das sich von 01.06.2009 bis 31.07.2012 mit der Versorgung von Kraftstoff bei einem großflächigen langandauernden Stromausfall (Blackout) beschäftigt hat.
Hintergrund: nur sehr wenige Tankstellen in Deutschland sind mit Notstromaggregaten oder Anschlüssen für die Stromeinspeisung ausgestattet. Netzersatzanlagen und Fahrzeuge der BOS sind jedoch auf die Versorgung mit Treibstoff angewiesen.
Link zu den Projektergebnissen
Modell der drei Verteidigungslinien für die Governance der Informationssicherheit.
Dieser Artikel beschreibt das Modell sowie die Nutzung dieses Modells für das Business Continuity Management.
[slideshare id=15658015&doc=testsundbungen-121216075246-phpapp01]
UN Office for Disaster Risk reduction
The UN General Assembly adopted the International Strategy for Disaster Reduction in December 1999 and established UNISDR, the secretariat to ensure its implementation. UNISDR, the UN office for disaster risk reduction, is also the focal point in the UN system for the coordination of disaster risk reduction and the implementation of the international blueprint for disaster risk reduction – the “Hyogo Framework for Action 2005-2015: Building the resilience of nations and communities to disasters”.
Verweise: