Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Positive Nebeneffekte einer Business Impact Analyse: Transparenz über die Organisation und die Geschäftsprozesse

Die Business Impact Analyse basiert auf den Geschäftsprozessen des Unternehmens. Ziel der BIA ist es, die zeitkritischen Geschäftsprozesse zu identifizieren, deren Unterbrechung oder Ausfall zu großen oder gar existentiellen Schäden für das Unternehmen führen können.

“A thorough understanding of the organization”, also ein tiefgreifendes Verständnis der Organisation, ist das Ziel der Analyse-Phase gemäß der Good Practice Guidelines des Business Continuity Institute BCI. Die Märkte, Kunden, Produkte und Services, Geschäftsprozesse sowie Dienstleister- und Lieferantenbeziehungen gehören zu einem erfolgreichen Funktionieren eines Unternehmens.

Gut modellierte Geschäftsprozesse und Ressourcenzusammenhänge sind daher eigentlich die Voraussetzung für das gute Gelingen einer Business Impact Analyse. Produkt- und Servicekataloge, Prozesslandkarten, IT-Anwendungslisten und dokumentierte Informationsverbünde, Dienstleister- und Vertragsverzeichnisse sowie betriebswirtschaftliche Kennzahlen wie Umsätze und Deckungsbeiträge gehören zum Basis-Werkzeugkasten einer BIA.

Doch auch im Business Continuity Management ist die Welt nicht optimal. In der Regel fehlen beim Projektstart eines oder gleich mehrere dieser Werkzeuge. Manche Werkzeuge sind vorhanden, aber stumpf wie zum Beispiel eine nicht gepflegtes IT-Anwendungsverzeichnis oder schlecht strukturierte Prozesslandkarten.

Jetzt die Hände in den Schoß zu legen und zu warten bis die Werkzeugkiste vom Himmel fällt ist jedoch der falsche Ansatz. Sehr oft habe ich in meiner Beratungspraxis erlebt, dass aus dem BCM-Projekt gestoppte oder eingeschlafene Ansätze mittels einer Initialzündung wieder zum Leben erweckt werden konnten. Oftmals sind Geschäftsprozessmodellierungsprojekte mehrfach euphorisch gestartet worden, um dann später frustriert wieder eingestellt zu werden oder schlicht einzuschlafen. Das BCM und insbesondere die Business Impact Analyse gibt vielen Werkzeugen einen Sinn und fügt sie zusammen. Was nutzt der schönste Drehmomentschlüssel im Werkzeugkasten, wenn es keine sinnvolle Anwendung dafür gibt oder er den völlig falschen Drehmomentbereich für die kleinen feinen Schrauben hat. Das BCM wird diese Werkzeuge nicht herstellen können, sondern den vielen schönen Tools einen Einsatzzweck geben, in dem sie alle für ein gemeinsames Ziel zusammenwirken können: “das Geschäft verstehen und modellieren”. Was gibt es nichts Schöneres, als sich mit einem gut ausgestatteten Werkzeugkoffer an die Arbeit zu machen und das Werk erfolgreich zu beenden mit einem gemeinsamen Verständnis, wie die Bausteine zusammenwirken.

Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen

Im Krisenmanagement gibt es den Leitspruch “In der Krise Köpfe kennen”. Dies bedeutet, die richtigen Ansprechpartner für die Lösung der Herausforderungen zu kennen, aber auch Verhaltensweisen von Menschen in Stress-Situationen einschätzen zu können. Ein wichtiger Weg, Köpfe kennenzulernen ist die Business Impact Analyse.

Die Business Impact Analyse stellt eine Tournee durch die ganze Organisation auf der Suche nach kritischen Geschäftsprozessen dar. Auf dieser Tournee bekommt man Kontakt zu ganz vielen Menschen im Unternehmen aus den unterschiedlichsten Bereichen. Morgens ein Interview mit dem Prozessverantwortlichen aus dem Wertpapierbereich, der mit einem Mausklick Millionenbeträge bewegt, Nachmittags im Keller beim Facility Management umgeben vom Dieselgeruch des Notstromaggregats. In kaum einer Disziplin wie dem BCM, und hier insbesondere der Business Impact Analyse, gibt es die Möglichkeit, alle Bereiche und Nischen des Unternehmens zu erkunden und kennenzulernen. Auf diesem Weg lernt man viele Menschen kennen, lernt viel über deren Aufgabenbereiche und kann persönliche Kontakte über das BCM hinaus knüpfen. Der Kontakt reicht von der analytischen Betrachtung von Geschäftsprozessen, Dienstleistern, Technik und IT bis zu Präsentationen der Ergebnisse bei der Geschäftsführung.

Ein wesentlicher Grund, warum ich beim Business Continuity Management seit vielen Jahren hängen geblieben bin, ist diese Vielseitigkeit der Themenbereiche mit einer hohen Anforderung an die Kommunikationsfähigkeit mit verschiedensten Ansprechpartnern. Die Business Impact Analyse ist eine große Chance für die BCM-Verantwortlichen ihr Gesicht zu zeigen, Köpfe zu kennen und Awarenessbildung für das BCM zu machen. Eine BIA mag durch einen Fragebogen erhebbar sein, das persönliche Kennenlernen ist durch Nichts zu ersetzen und jede Zeit und Mühe wert in meinen Augen.

Positive Nebeneffekte einer Business Impact Analyse: Licht in die Schatten-IT

Die Business Impact Analyse dient im Business Continuity Management zur Identifikation der zeitkritischen Geschäftsprozesse und deren Ressourcen wie Personal, IT, Gebäude / Arbeitsplätze, Technik / Anlagen und Dienstleister. Neben diesen originären Zielen kann durch eine Business Impact Analyse auch ein deutlicher Mehrwert für andere Themenbereiche gewonnen werden. Hierzu gehört die zunehmende Schatten-IT, die zu Steuerungsverlusten in der IT führen kann.

Weiterlesen…

Körperliche Dokumente im Notfallkonzept

In sehr vielen Unternehmen sind heute elektronische Archivsysteme im Einsatz und die überwiegende Anzahl der Daten liegen ohnehin in elektronischer Form vor. Man sollte also davon ausgehen können, dass Papierarchive und Aktentransporte von und zu den Mitarbeitern wie Schreibmaschinen und Faxgeräte eher zu den historischen Unternehmenseinrichtungen der Vergangenheit zählen. Bei genauerer Betrachtung, zum Beispiel im Rahmen einer Business Impact Analyse, stellt man dann jedoch  häufig erstaunt fest, dass der Postdienst für das Funktionieren der Geschäftsprozesse weiter unerlässlich ist, wie auch die Archive im Keller. Woran liegt dies und was bedeutet dies für das Business Continuity Management? Auch wenn die Daten elektronisch vorliegen, arbeiten viele Mitarbeiter dennoch nach wie vor mit Papier und Akten. Es können handschriftliche Notizen oder Schriftverkehr bei der Bearbeitung zur Akte ergänzt werden und mancher Mitarbeiter bevorzugt einfach die Arbeit mit dem Papier zusätzlich zum Bildschirm. Neben diesen, im Notfall verzichtbaren Dokumenten, gibt es jedoch auch unverzichtbare körperliche Dokumente. Hierzu zählen zum Beispiel Urkunden wie Fahrzeugscheine oder Grundschuldbriefe wie auch Altakten, die nicht elektronisch archiviert wurden. Diese Dokumente sind in einem Notbetrieb häufig unverzichtbar und bei Verlust durch Brand, Diebstahl oder Wasserschaden nur sehr aufwändig wiederherstellbar. Für das Business Continuity Management bedeutet dies, in der Business Impact Analyse ein wachsames Auge auch auf notwendige körperliche Dokumente zu haben und diese mit aufzunehmen. Ein Blick in die Archive und Poststellen schärft den Blick und hilft kritische Dokumente zu identifizieren. Im Rahmen des Risk Assessment sollte dann analysiert werden, ob diese Dokumente ausreichend gegen Verlust und Zerstörung abgesichert sind. Hierzu zählt der vorbeugende Brandschutz in den Archiven wie auch Risiken beim Transport und der dezentralen Lagerung der Dokumente ausserhalb gesicherter Archive. Bei der Erstellung der Notfallkonzepte spielen diese Dokumente wiederum eine zentrale Rolle. Bei dokumentenbasierten Prozessen muss die Postverteilung mit in das Notfallkonzept einbezogen werden. Eine Verlagerung dieser Prozesse in das Home Office ist aus Gründen der Logistik, des Datenschutzes und der Informationssicherheit nicht möglich. Auch müssen für Verlust oder fehlender Zugriff auf die Dokumente, zum Beispiel bei Gebäudeevakuierungen, entsprechende Notbetriebs- und Wiederherstellungskonzepte für diese Dokumente erstellt werden.

Häufig werden diese Aspekte mit Blick auf bestehende elektronische Archivierungslösungen und Bereitstellung der Daten über IT-Anwendungen schnell unterschätzt. Es lohnt sich daher, im Rahmen der Business Impact Analyse auch einen analytischen Blick auf kritische körperliche Dokumente zu werfen, um im Notfall dann nicht böse überrascht zu werden.

Bildquelle: fotolia #118549806 | Urheber: rdnzl

Ermittlung der finanziellen Folgeschäden in der BIA – Herausforderungen und Lösungsansätze

Ermittlung von Folgeschäden in der Business Impact Analyse
Die Ermittlung der finanziellen Folgewirkungen des Ausfalls von Geschäftsprozessen ist ein elementarer Bestandteil der Business Impact Analyse (BIA) im Business Continuity Management (BCM).
Die Impact-Analyse – Folgeschadenabschätzung – dient dazu, Geschäftsprozesse abhängig von den jeweiligen Schadensfolgen bei einem Ausfall für die Wiederherstellung zu priorisieren. Hierdurch sollen monetäre und nicht-monetäre Schäden durch Geschäftsprozessunterbrechungen minmiert werden. Neben den finanziellen Folgeschäden zählen zu den betrachteten Schadenskategorien beispielhaft

• Verstöße gegen rechtliche und regulatorische Anforderungen

• Bruch vertraglicher Vereinbarungen

• Image- und Reputationsschäden

• Verlust der Steuerungsfähigkeit

• Beeinträchtigung von Safety und Security.

Die Ermittlung der finanziellen Folgeschäden durch die Unterbrechung von Geschäftsprozessen zählt regelmäßig zu einer der größten Herausforderungen bei der Durchführung der BIA. Die Fachbereiche tun sich schwer in der Ermittlung dieser monetären Größe. Dies liegt zum Einen daran, daß sich der finanzielle Impact über den Zeitablauf einer Prozessunterbrechung gar nicht so einfach ermitteln lässt. Die Betrachtung eines Notfall-Szenarios ist sehr abstrakt und gehört nicht zum normalen Denkmuster. Welche Annahmen sollen getroffen werden hinsichtlich, Zeitpunkt, Umfang und Rahmenbedingungen des Notfalls? Die Schadensfolgen des Ausfalls eines Wertpapierhandelsprozesses in einem stabilen Marktumfeld sehen beispielsweise völlig anders aus, als in einem volatilen oder gar chaotischen Markt. Weiterhin gibt es viele produktspezifische Fragestellungen wie zum Beispiel der Umgang mit Verträgen, die im ersten Jahr zu Anfangsverlusten führen – zum Beispiel durch Vertriebsaufwände – und erst in den Folgejahren Erträge für das Unternehmen erzielen. Wie soll der finanzielle Impact für diese Deckungsbeitragsverläufe kalkuliert werden – zum Teil über Laufzeiten von mehreren Jahrzehnten? Eine Prozessunterbrechung würde in diesem Falle bei einer Betrachtungperiode von 12 Monaten gar zu Gewinnen führen und der Geschäftsprozess nicht wiederhergestellt werden.
Zum Anderen erweckt die Festlegung monetärer Folgeschäden, vielleicht noch mit Nachkommastellen versehen, eine Genauigkeit, die in dieser Form gar nicht erreicht werden kann – und auch nicht benötigt wird. Dieser vermeintliche Anspruch an Genauigkeit in der Darstellung verunsichert die Fachbereiche zusätzlich. Dies gilt insbesondere für die Fachbereiche, die es gewohnt sind zahlenbasiert mit einer hohen Genauigkeit zu arbeiten (Bsp. Controlling und Rechnungswesen).

Welchen Anforderungen muss die Ermittlung des finanzieller Impacts genügen?

• um die Vergleichbarkeit von Impact-Bewertungen über die Prozesse sicherzustellen, muss der Impact für alle Prozesse nach identischen Prämissen und Verfahren bewertet werden (zum Beispiel die Berücksichtigung und finanzielle Bewertung von Personalausfallkosten bei einer Prozessunterbrechung)

• Die Prämissen müssen im Vorfeld der BIA möglichst exakt definiert werden (worst case- Betrachtung, Kunden- und Marktumfeld, zu berücksichtigende Kosten und Erträge, Umgang mit Opportunitätskosten)

• Fachbereiche müssen auf Basis dieser Prämissen die finanziellen Folgeschäden möglichst einfach ermitteln können

• Das Ergebnis der Schadensermittlung muss plausibel und nachvollziehbar (auch für Dritte) sein

• Für Geschäftsprozesse, die unterstützend wirken, muss ein Verfahren zur Vererbung der Schadenswirkungen festgelegt werden.

Wie sind diese Anforderungen zu erreichen?
Der größte Erfolgsfaktor für qualitativ hochwertige BIA-Ergebnisse liegt in einer guten Vorbereitung und Konfiguration der BIA. Die Prämissen für Bewertungen müssen eindeutig festgelegt und für die Durchführung der BIA dokumentiert werden. Für die Ermittlung des finanziellen Impacts ist eine Auseinandersetzung mit den betriebswirtschaftlichen Eckdaten des Unternehmens zwingend notwendig. Mengengerüste zu den Produkten und Services, Kosten- und Ertragsstrukturen sowie Deckungsbeitragsverläufe einzelner Produktkategorien und Services sind die Grundlage zur Ermittlung finanzieller Impacts. Ideal wäre natürlich eine Prozesskostenrechnung – leider immer noch häufiger Vision als Realität. Jetzt ist der Wirtschaftswissenschaftler im Business Continuity Manager gefordert! Aber wir sind ja vielseitig aufgestellt.
Der Geschäftsbericht ist ein zunächst ein guter Ausgangspunkt für diese betriebswirtschaftliche Analyse. Wichtige Eckdaten finden sich in Bilanz und Gewinn- und Verlustrechnung sowie Anhang. Der Schlüssel zu einer guten BIA ist jedoch die interdisziplinäre Zusammenarbeit mit dem Risikomanagement und Controlling, geht es doch um nichts Anderes als die Durchführung von Stresstests für den Ausfall von Produkten und Services. Beiden genannten Disziplinen ist die Durchführung von Stresstests nicht fremd. Wahrscheinlich liegen bereits viele Zahlen für die BIA-spezifischen Stresstests vor und können wiederverwendet werden.
Mit den Spezialisten kann die Frage beantwortet werden, welche finanzielle Schäden dem Unternehmen beim Ausfall eines Produkts oder Services drohen und welche Prämissen für die Ermittlung definiert werden müssen.
Diese vorgefertigten Kalkulationsmodelle sind dann Grundlage für die konkrete Ermittlung der finanziellen Folgeschäden durch die Prozessverantwortlichen. Im Idealfall kann die Ermittlung des finanziellen Impacts so weit vorkonfiguriert werden, dass die Zuordnung der Produkte und Services zum Geschäftsprozess für die Kalkulation der finanziellen Schäden ausreichend ist. Auch die konsistente Bewertung über alle Prozesse ist so gewährleistet und das zentrale Kalkulationsmodell kann bei Bedarf aktualisiert und erweitert werden, ohne erneut eine komplette BIA mit den Fachbereichen durchführen zu müssen. Für unterstützende Geschäftsprozesse erfolgt die Ermittlung der Schadensgrößen dann mittels Vererbung über die identifizierten Prozessabhängigkeiten.
Dieses Vorgehen führt zu einem erhöhten Aufwand in der Vorbereitungsphase und Konfiguration der BIA. Lohn der Mühe ist jedoch eine einfachere und konsistente Ermittlung in der BIA-Erhebung mit den Fachbereichen und die Option einer ständigen Optimierung und Verbesserung der Kalkulationsgrundlage.

Die (un-)heimliche IT

Es war einmal eine Zeit, da hatte der IT-Bereich die absolute Hoheit über die IT-Landschaft. Es gab einen Mainframe und nur Softwareentwickler waren in der Lage, IT-Anwendungen auf dem Host zu erstellen. Dann kam der Personal Computer und mit dem PC die zunehmend intelligenter werdenden Office-Anwendungen. Anwender konnten jetzt selbst mittels Datenbanken und Tabellenprogrammen Daten verarbeiten. Die individuelle Datenverarbeitung IDV war geboren. Segen und Fluch zugleich. Die Fachbereiche können mit Hilfe der IDV schnell und pragmatisch IT-Anforderungen umsetzen, wenn zum Beispiel der IT-Bereich zu langsam, unflexibel oder zu teuer ist. Mancher Mitarbeiter setzt seine IT-Kenntnisse in komplexen Excel- und Access-Programmen um, die der Komplexität von IT-Anwendungen gleichkommen. Pragmatismus und Schnelligkeit macht bei IDV natürlich auch aus, dass auf Test, Dokumentation, Versionsführung und Benutzerberechtigungen verzichtet wird. Daher ist die IDV sowohl der IT als auch mittlerweile Prüfern und Aufsichtsbehörden ein Dorn im Auge. Zu dieser “Schatten-IT” kam in den vergangenen Jahren das Internet hinzu. Fachbereiche können selbständig, ohne den IT-Bereich einzubinden, IT-Anwendungen als Web-Anwendungen nutzen. Zudem stehen für die Datenspeicherung und den Datenaustausch zahlreiche webbasierte Lösungen wie das beliebte Dropbox zur Verfügung. Das mag im privaten Bereich komfortabel und günstig sein. Doch für Unternehmen entsteht aus dieser “Schatten-IT” ein beträchtliches Risiko. Das Risiko aus dieser “Schatten-IT” kann nicht eingeschätzt und daher auch nicht gegen Datenverlust und Ausfall abgesichert werden. Vertraulichkeit, Integrität und Verfügbarkeit können für IDV, Web-Anwendungen, Cloud-Speicherdienste sowie Kommunikations- und Dateitransferdienste nicht gewährleistet werden.

An dieser Stelle kommt die Business Impact Analyse (BIA) und die Schutzbedarfsanalyse (SBA) ins Spiel. In beiden Analysen werden die IT-Anwendungen für die Geschäftsprozesse in den Fachbereichen erhoben. Eine einmalige Chance, Licht ins Dunkel zu bringen. Ziel muss es sein, zunächst eine Bestandsaufnahme der IDV und Web-Anwendungen zu machen. Business Impact Analyse und Schutzbedarfsanalyse eröffnen einen Zugang zu diesen Themen in die Fachbereiche, ohne gleich die Keule der Revision oder Aufsicht schwingen zu müssen. Denn Ziel der BIA ist die Absicherung der  Geschäftsprozesse. Die BIA und Schutzbedarfsanalyse eröffnen so einen Weg IDV- und Web-Anwendungen aufzunehmen und diese Anwendungen hinsichtlich der Risiken für die Verfügbarkeit, Vertraulichkeit und Integrität zu kategorisieren. Auch bereits bestehende Sicherheitsmaßnahmen wie Zugriffs- und Datensicherungen, Versionierung und Plausibilisierung sollten in der Analyse mit aufgenommen werden. Diese Aufnahme aus der BIA und SBA ist die Grundlage für eine risikoorientierte  Entwicklung von Maßnahmen zur Absicherung oder Ablösung der Schatten-IT. Den Fachbereichen müssen durch die IT Lösungen an die Hand gegeben werden, die Funktionalitäten sicherzustellen aber auch gleichzeitig den umfangreichen Compliance-Anforderungen genügen.

Dies können zum Beispiel sein

  • Integration der Funktionalitäten in bestehende Standard-Anwendungen
  • Ablösung von IDV durch IT-Anwendungen und Schnittstellenprogramme
  • Geschlossene Unternehmens Cloud Lösungen
  • Sichere Dateitransfer- und Kommunikationslösungen
  • Geregelter Einkauf von Web-Anwendungen über Einkauf und IT.

Auch wenn Prüfer und Aufsicht die Schatten-IT gerne sofort abgeschafft sehen, ist doch die Umsetzung dieses Ziels oft nur schrittweise möglich. Ein wichtiger Baustein hierbei sollten Business Impact- und Schutzbedarfsanalyse sein. Sie ermöglichen einen risikoorientierten Ansatz zur Beherrschung der “Schatten-IT”. Auch hier zeigt sich wieder ein Mehrwert des Business Continuity Management über die reine Notfallvorsorge hinaus.

Business Impact – und Schutzbedarfsanalyse – Gemeinsamkeiten und Unterschiede

„Gemeinsamkeiten sucht man nicht, Gemeinsamkeiten schafft man sich“
Manfred Hinrich, deutscher Philosoph 1926-2015

1. Einleitung

Business Impact Analyse (BIA) im Business Continuity Management und Schutzbedarfsanalyse (SBA) in der Informationssicherheit weisen große Parallelen auf. Oftmals werden beide Analysen unabhängig voneinander durchgeführt und Chancen für Synergieeffekte vergeben sowie wichtige methodische Abstimmungen nicht durchgeführt. Die Ursache ist häufig die unterschiedliche Verantwortlichkeit der BIA im BCM und der SBA in der Informationssicherheit. In diesem Beitrag sollen Gemeinsamkeiten und Unterschiede der beiden Analysen dargestellt und Chancen durch eine konzeptionelle und zeitliche Abstimmung aufgezeigt werden.

2. Die Business Impact Analyse im Business Continuity Management

Im Rahmen der Business Impact Analyse (BIA) im Lebenszyklus des Business Continuity Management (BCM) werden die (zeit-) kritischen Geschäftsprozesse des Unternehmens identifiziert. Für die kritischen Geschäftsprozesse werden die erforderlichen Ressourcen identifiziert. Zu diesen Ressourcen zählen die Mitarbeiter mit entsprechendem Know How und Kapazitäten, IT-Anwendungen, Gebäude und Arbeitsplätze, Produktionsanlagen sowie Dokumente und Dienstleister. Für die kritischen Prozesse und deren Ressourcen werden die zeitlichen und kapazitativen Anforderungen an die Wiederherstellung im Notfall festgelegt. Die Anforderungen an die Wiederherstellung werden in der Folge von den Geschäftsprozessen auf die Prozess-Ressourcen vererbt. Die Business Impact Analyse wird auf der Basis von Templates oder BCM-Tools durch die Fachbereiche erhoben. Die Business Impact Analyse ist Grundlage für die BCM-Phasen „BCM-Strategien“, „BCM-Planung“ sowie „Tests und Übungen“ im BCM-Lebenszyklus.

Das Vorgehen für die BIA ist in den Standards ISO 22301:2012 oder BSI 100-4 definiert.

Auf Basis der Ergebnisse der BIA werden im IT Service Continuity Management (ITSCM) die Verfügbarkeitsanforderungen für IT-Anwendungen, IT-Systeme, Middleware, Netzwerke und -komponenten sowie IT-Infrastrukturkomponenten abgeleitet und umgesetzt. Hierzu zählen Disaster Recovery Konzepte und -pläne für IT-Services und -systeme.

Das Vorgehen für das ITSCM ist in den Standards ITIL (IT Infrastructure Library) sowie ISO 27031:2011 definiert.

3. Die Schutzbedarfsanalyse im Informationssicherheitsmanagement

Im Rahmen der Schutzbedarfsanalyse (SBA) im Informationssicherheitsmanagement wird der Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf für die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage für die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte.

Die Schutzbedarfsanalyse wird auf der Basis von Templates oder ISMS-Tools durch das Informationssicherheitsmanagement  in den Fachbereichen erhoben.

Auf Grundlage der festgelegten Schutzbedarfe für die Informationswerte werden Maßnahmen zum Schutz der Vertraulichkeit und Integrität festgelegt und umgesetzt. Dies können zum Beispiel Maßnahmen zur Verschlüsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme für den Zugriff auf Anwendungen und Daten sein.

Das Vorgehen zur Schutzbedarfsanalyse ist im ISO-Standard ISO 27001:2015 sowie den BSI-Standards und Grundschutzkatalogen definiert.

4. Gemeinsamkeiten und Unterschiede von BIA und SBA

Gemeinsamkeiten und Unterschiede gibt es bei BIA und SBA sowohl inhaltlich als auch im Vorgehen. Durch die Gegenüberstellung der beiden Methoden können Synergieeffekte in der Durchführung identifiziert sowie methodische Brüche vermieden werden.

BIA und SBA

Sowohl die BIA als auch die SBA basieren auf den Geschäftsprozessen mit den zugeordneten Prozess-Ressourcen. Eine Prozessdokumentation mit diesen Informationen erleichtert und beschleunigt die Durchführung sowohl der BIA als auch der SBA erheblich und stellt sicher, dass die Ergebnisse nahtlos aneinander passen. Unterschiedliche Betrachtungsebenen der Geschäftsprozesse oder einfach nur unterschiedliche Benennungen der gleichen Informationswerte (Bsp. Verschiedene Namen für die gleiche IT-Anwendung) machen eine Zusammenführung der Ergebnisse von BIA und SBA aufwändig. Denn am Ende müssen alle Schutzziele für die Informationswerte durch Maßnahmen erfüllt werden. Ideal ist ein gemeinsames Repository mit den Informationen zu Geschäftsprozessen und deren Ressourcen – das immer aktuell gepflegt ist. Auf dieses Prozess-Repository können dann Informationssicherheit, Business Continuity Management aber auch die Revision, das Interne Kontrollsystem IKS und andere Nutzer zugreifen. Eigentlich ist dies seit den Veröffentlichungen von Prof. A.W. Scheer zur Architektur Integrierter Informationssysteme ein alter Hut, doch in vielen Unternehmen nach wie vor eher Wunsch als Wirklichkeit. Obwohl diese Grundlagenarbeit ein lohnenswertes Unterfangen ist. Im schlimmsten Fall – und diesen habe ich bereits mehrfach erlebt – definiert jede dieser Disziplinen sein eigenes Prozessmodell für sich. Selbstredend, dass diese nicht zusammenpassen.

Identisch ist neben dieser Informationsbasis auch die Vorgehensweise zur Erhebung der Informationen in den Fachbereichen. Mittels Templates oder einer toolbasierten Erhebung werden die Daten für die BIA und die SBA in den Fachbereichen erhoben. Gerade in dieser Erhebungsphase lassen sich große Synergien heben. Zweifach auf die Fachbereiche zuzugehen bedeutet doppelter Aufwand auf Fachbereichseite – der Engpass schlechthin für BIA und SBA. Also, warum nicht BIA und SBA in der Erhebung zusammenlegen und nur einmal auf die Fachbereiche zugehen? Zumal für die Fachbereiche die Unterschiede zwischen BIA und SBA nicht erheblich sind. Sie verstehen nur nicht, warum man mit so ähnlichen Fragestellungen zwei Mal auf sie zukommt und Mitarbeiter mit wertvoller Zeit in Anspruch nimmt. Eine Zusammenlegung der Erhebung von BIA und SBA hat zudem den Vorteil, dass die Informationen für die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zur gleichen Zeit vorliegen. Maßnahmen können so aufeinander abgestimmt auf- und umgesetzt werden. Die Ergebnisse können nahtlos zusammengeführt werden.

Es gibt zahlreiche Gemeinsamkeiten zwischen Business Impact Analyse und Schutzbedarfsanalyse.

Aus meiner Sicht sprechen die Argumente daher für eine methodische und zeitliche Zusammenführung von Business Impact Analyse und Schutzbedarfsanalyse. Voraussetzung ist eine Verabschiedung vom Silo-Denken und die enge Abstimmung der Methoden und Verfahren zwischen BCM, Informationssicherheitsmanagement und ITSCM.

Ich freue mich auf Ihre Erfahrungen und Kommentare

Be prepared

Matthias Hämmerle

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag für die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte führen dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope für das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchführen:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte für die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten für Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Übung auf Basis der erstellten Dokumentationen durchführen:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchführen, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.