• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Fünf Tipps für eine erfolgreiche Geschäftsauswirkungsanalyse


    Sie haben sich sicherlich gefragt, warum Sie eine Geschäftsauswirkungsanalyse (GAA) durchführen müssen, nachdem Sie die Risikoeinschätzung durchgeführt haben. Sie haben alle Risiken erkannt, nicht wahr? Sie haben viel Zeit für die Analyse Ihres Unternehmens aufgewendet – warum dann noch eine weitere Analyse?

    Nun, ist der Zweck einer GAA ist etwas anderes. Im betrieblichen Kontinuitätsmanagement dreht sich alles um Zeit – es ist egal, ob Sie Ihre geschäftlichen Aktivitäten wiederherstellen, wenn dies nicht in angemessener Zeit geschieht. „Angemessen“ ist das, was die GAA festlegt. Ihr Hauptzweck ist es herauszufinden, welches Recovery Time Objective für jede kritische Aktivität innerhalb eines Unternehmens gilt.

    Diese Art der Analyse wird oft auf die leichte Schulter genommen – erstens ist sichert Unternehmen normalerweise nicht bewusst, dass falsche Ergebnisse unnötige Kosten verursachen oder zu einer unpassenden Strategie des betrieblichen Kontinuitätsmanagements führen können. Ebenso wird der benötigte Aufwand für die Durchführung einer GAA unterschätzt.

    Deshalb gebe ich hier einige Tipps, wie Ihre Geschäftsauswirkungsanalyse effizienter wird:

    Behandeln Sie es als (Mini-)Projekt. Definieren Sie die für die Umsetzung verantwortliche Person sowie seine oder ihre Position. Definieren Sie Anwendungsbereich, Ziele und Zeitrahmen.

    Machen Sie Ihre Hausaufgaben, bereiten Sie einen guten Fragebogen vor. Mit einem gut strukturierten Fragebogen sparen Sie eine Menge Zeit und erzielen Sie genauere Ergebnisse. Die Normen BS 25999-1 und BS 25999-2 geben Ihnen eine recht gute Vorstellung dessen, was enthalten sein muss – unter anderem müssen Sie Auswirkungen von Vorfällen erkennen und bestimmen, wie sich diese im Zeitablauf verändern. Sie müssen die benötigten Ressourcen für die Wiederherstellung erkennen usw. Es ist empfehlenswert, sowohl qualitative als auch quantitative Fragen einzusetzen, um Auswirkungen zu ermitteln.

    Definieren Sie klare Kriterien. Wenn Ihr Gesprächspartner Werte zum Beispiel von 1 bis 5 zuweisen muss, so erklären Sie genau, wofür diese fünf Noten stehen. Es ist nicht ungewöhnlich, dass dasselbe Ereignis von Mitarbeitern in niedrigeren Positionen als Katastrophe bewertet wird, während leitende Angestellte dessen Auswirkungen als mäßig beurteilen.

    Datenerfassung durch menschliche Interaktion. Die besten Ergebnisse werden erzielt, wenn ein Fachmann im betrieblichen Kontinuitätsmanagement ein Interview mit dem Verantwortlichen für eine kritische Aktivität führt. Auf diese Weise werden viele offene Fragen geklärt und ausgewogene Antworten gegeben. Sollten die Gespräche nicht durchführbar sein, führen Sie mit allen Beteiligten mindestens einen Workshop durch, so dass sie alles fragen können, was auf sie beunruhigend wirkt. Anders ausgedrückt: Sie sollten nicht nur die Fragebögen zusenden und auch noch schimpfen, wenn sie nicht rechtzeitig zurückgeschickt wurden.

    Legen Sie die Recovery Time Objectives erst fest, nachdem Sie alle Abhängigkeiten erkannt haben. Zum Beispiel könnten Sie durch den Fragebogen feststellen, dass der maximal tolerierbare Störungszeitraum für die kritische Aktivität „A“ 2 Tage beträgt. Der maximal tolerierbare Störungszeitraum für die kritische Aktivität „B“ beträgt jedoch nur 1 Tag und kann ohne die Hilfe der kritischen Aktivität A nicht wiederhergestellt werden. Dies bedeutet, dass das Recovery Time Objective für „A“ 1 Tag anstelle von 2 Tagen ist.

    Nach meiner Erfahrung sind die Ergebnisse der GAA oft anders als erwartet – in der Regel ist das Recovery Time Objective länger als ursprünglich gedacht, und die BIA deckt Abhängigkeiten einiger Ressourcen auf, die eigentlich ein Single Point of Failure sind. Aber das Beste daran ist, dass die Geschäftsauswirkungsanalyse die effizienteste Möglichkeit ist, damit die Mitarbeiter über das Unerwartete nachdenken – wenn sie ein solches Bewusstsein schaffen, erhöhen Sie die Überlebenschancen Ihres Unternehmens.

    Dieses kostenlose Webinar hilft Ihnen auch bei der: Implementing Business Impact Analysis according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Unter Dejans Preisen und Zertifikaten findet man unter anderem: leitender Auditor für ISO 9001, zertifizierter Berater für das Management, Fachkraft für betriebliches Kontinuitätsmanagement und leitender ISO/IEC-Auditor für Managementsysteme für Informationssicherheit. Dejan führt unser Team in der Betreuung verschiedener Webseiten, die ISO- und IT-Fachkräfte beim Kennenlernen der wichtigen internationalen Normen und deren erfolgreicher Umsetzung unterstützen. Dejan besitzt einen MBA-Titel des Henley Management College und verfügt über langjährige Erfahrung in den Bereichen Bankwesen, Versicherungswirtschaft und Investment-Funds. Dejan ist bekannt für sein Expertenwissen in den Bereichen Informationssicherheit und Kontinuitätsmanagement (ISO 27001 und ISO 22301) – und hat zahlreiche Toolkits zur Dokumentation, Online-Tutorials und Bücher verfasst.