ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Kann eine Strategie für betriebliches Kontinuitätsmanagement Ihr Geld sparen?

    Sie denken darüber nach, die Norm BS 25999-2 / Betriebliches Kontinuitätsmanagement einzuführen? Aber dann hören Sie, dass es Sie viel kosten wird? Es wird wahrscheinlich kosten, aber nicht unbedingt so viel, wie Sie dachten – denn das können Sie mit einer guten Strategie für betriebliches Kontinuitätsmanagement lösen.

    Die Strategie für betriebliches Kontinuitätsmanagement, wie sie in der Norm BS 25999-2 definiert wird, ist eine „Herangehensweise an eine Organisation, mit der deren Wiederherstellung und Kontinuität angesichts einer Katastrophe oder eines anderen wichtigen Ereignisses oder Störung des Geschäftsbetriebs gewährleistet wird.“ Der springende Punkt ist also, sich in optimaler Art und Weise auf eine Katastrophe vorzubereiten, falls diese eintreten sollte. Diese Vorbereitung kann organisatorische Maßnahmen (Erstellung von Plänen, Verträge mit Lieferanten/Partnern, Übungen, Prüfungen, Sensibilisierung usw.) sowie weitere Schritte wie Investitionen in Ausrüstung, Infrastruktur usw. umfassen



    Zeit ist ein sehr wichtiger Faktor bei der Wiederherstellung – sollten Sie Ihr Geschäft nicht rechtzeitig wiederherstellen, werden Sie wahrscheinlich Ihre Kunden und somit ebenso Ihr Geschäft verlieren. Daher muss die Strategie für betriebliches Kontinuitätsmanagement das Recovery Time Objective (RTO oder Wiederanlaufdauer) für jede Ihrer kritischen Aktivitäten festlegen, denn die RTO kann für jede von ihnen unterschiedlich sein.

    Eine wichtige Überlegung lautet: Je kürzer die RTO, desto größer die von Ihnen benötigte Investition – wenn Sie beispielsweise Ihr Rechenzentrum in weniger als einer Stunde wiederherstellen möchten, müssen Sie in einen alternativen Standort mit fast der gleichen Ausstattung wie der primäre Standort investieren. Wollen Sie dagegen Ihr Rechenzentrum innerhalb von zwei Wochen wiederherstellen, sind die Investitionen wesentlich geringer, denn es würde ausreichen, die Back-up-Bänder am alternativen Standort aufzubewahren. So hätten Sie zwei Wochen Zeit, um die notwendige Ausrüstung zu beschaffen. Dies alles bedeutet, dass Ihre RTO weder zu lang noch zu kurz sein darf.

    Sobald die RTO festgelegt ist, müssen Sie noch einige Investitionen tätigen. Mit einer guten Strategie für betriebliches Kontinuitätsmanagement werden Sie allerdings in der Lage sein, diese Investition zu senken, während Sie trotzdem in der Lage sind, Ihre kritischen Aktivitäten innerhalb des Recovery Time Objective wiederherzustellen. Hier sind einige Beispiele:

    • Sie benötigen vermutlich kein eigenes Rechenzentrum an einem alternativen Standort – in den meisten Ländern können Sie diesen Ort von einer spezialisierten Firma mieten. Das bedeutet, dass sie nicht in die Infrastruktur zu investieren brauchen, vielleicht nicht einmal in Ausrüstung oder Software,
    • Sie benötigen vermutlich keine Büros an einem alternativen Standort – Mitarbeiter, die keine Kunden persönlich treffen müssen, können von zuhause arbeiten,
    • Sie benötigen vermutlich gar keinen alternativen Standort, falls Sie weitere Unternehmensabteilungen an verschiedenen Standorten haben, welche die kritischen Aktivitäten übernehmen könnten, soweit diese von der Katastrophe betroffen sind,
    • Sie brauchen vermutlich keine Ausrüstung im Voraus zu kaufen, falls Sie auf einen Lieferanten zurückgreifen, der die Lieferung der Ausrüstung innerhalb Ihres RTO garantieren könnte
    • usw.

    In sämtlichen dieser Beispiele müssen Sie Ihre organisatorischen Fähigkeiten ausbauen. Wenn Sie doch etwas Geld sparen möchten, so wäre es der Gedanke daran sicher wert.

    Dieses kostenlose Webinar hilft Ihnen auch bei der: Developing the business continuity strategy according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Unter Dejans Preisen und Zertifikaten findet man unter anderem: leitender Auditor für ISO 9001, zertifizierter Berater für das Management, Fachkraft für betriebliches Kontinuitätsmanagement und leitender ISO/IEC-Auditor für Managementsysteme für Informationssicherheit. Dejan führt unser Team in der Betreuung verschiedener Webseiten, die ISO- und IT-Fachkräfte beim Kennenlernen der wichtigen internationalen Normen und deren erfolgreicher Umsetzung unterstützen. Dejan besitzt einen MBA-Titel des Henley Management College und verfügt über langjährige Erfahrung in den Bereichen Bankwesen, Versicherungswirtschaft und Investment-Funds. Dejan ist bekannt für sein Expertenwissen in den Bereichen Informationssicherheit und Kontinuitätsmanagement (ISO 27001 und ISO 22301) – und hat zahlreiche Toolkits zur Dokumentation, Online-Tutorials und Bücher verfasst.