• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Wie schreibe ich Pläne für betriebliches Kontinuitätsmanagement?


    Wenn Sie mit der Umsetzung des betrieblichen Kontinuitätsmanagements begonnen haben, so besteht die größte Herausforderung darin, die Pläne für das betriebliche Kontinuitätsmanagement zu verfassen.

    Warum ist es so schwierig? Sie müssen sich verschiedene Szenarien vorstellen, unter denen eine Katastrophe (oder eine andere Störung der Geschäftstätigkeit) auftreten kann. Sie müssen über eine Möglichkeit nachdenken, wie diese außerordentlich seltenen, aber möglicherweise katastrophalen Vorfälle bewältigt werden können.

    Ein häufiges Problem beim Verfassen dieser Pläne ist die Frage, was der Plan enthalten sollte (was sind die wichtigsten Elemente), wie lange (wie detailliert) er sein sollte, welche Schritte dazugehören usw.

    Eine der besten Lösungen dieser schwierigen Probleme ist die Verwendung der Norm BS 25999-2, die zusammen mit BS 25999-1 einen Rahmen für das Schreiben dieser Pläne vorgibt.

    Gemäß diesen Normen sollten die Pläne für betriebliches Kontinuitätsmanagement aus einem (1) Störfallreaktionsplan sowie (2) Wiederherstellungsplänen bestehen. Ein Störfallreaktionsplan ist in der Regel ein einzelner Plan für das gesamte Unternehmen, in dem beschrieben wird, was unmittelbar nach einer Katastrophe getan werden muss – um die Auswirkungen des Vorfalls einzudämmen, mit den Notdiensten zu kommunizieren, das Gebäude zu evakuieren, an Sammelstellen zusammenzukommen, den Transport zu alternativen Standorten zu organisieren usw.

    Notfallpläne werden in der Regel separat für jede kritische Tätigkeit geschrieben. Die Schritte eines Notfallplans sehen in der Regel wie folgt aus: wann und wie mit verschiedenen Beteiligten kommuniziert wird (Mitarbeiter und deren Familien, Aktionäre, Kunden, Partner, Behörden, öffentliche Medien usw.), wie ein Team zusammengestellt wird, wie die Infrastruktur wiederhergestellt wird, wie geprüft wird, ob die Anwendungen funktionieren und ob die Zugriffsrechte angemessen sind, wie überprüft wird, welche Daten fehlen oder durch die Katastrophe beschädigt wurden, wie die Daten wiederhergestellt werden und wie entschieden wird, wann die Wiederherstellung abgeschlossen ist, damit der normale Betrieb wieder einsetzen kann.

    IT-Notfallpläne (Notfallpläne der IKT-Infrastruktur) müssen mit großer Sorgfalt verfasst werden, weil sie beschreiben sollten, wie jedes System innerhalb des Recovery Time Objective einer bestimmten kritischen Tätigkeit eingestellt werden sollte. Dies geschieht normalerweise durch Verfassen eines detaillierten Wiederherstellungsplans für jedes System, das wiederhergestellt werden soll.

    Die Faustregel besagt, dass sämtliche dieser Pläne so detailliert sein sollten, dass andere Mitarbeiter (oder externes Personal) in der Lage sind, den Plan auszuführen, falls die Mitarbeiter dieser kritischen Aktivität nicht verfügbar sind. Schreiben Sie diese Pläne also mit Vernunft – sie sollten für jeden verständlich sein, nicht nur für Sie.

    Nach meiner Erfahrung besteht die größte Herausforderung beim Verfassen dieser Pläne darin, dass Mitarbeiter mit etwas ganz anderem konfrontiert werden, über das sie vorher nicht nachzudenken brauchten. Zur Überwindung solcher Probleme ist es am besten, einen Workshop mit oder ohne Moderator zu organisieren, in dem sich die Mitarbeiter austauschen können, was passieren würde, wenn … wie man reagiert, wenn … usw.

    Tatsächlich ist mit dem Umstand, dass Ihre Mitarbeiter damit begonnen haben, über betriebliches Kontinuitätsmanagement nachzudenken, bereits die halbe Arbeit geleistet – mit einem solchen Ansatz wird ein viel besserer Plan für betriebliches Kontinuitätsmanagement ermöglicht.

    Dieses kostenlose Webinar hilft Ihnen auch beim: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Unter Dejans Preisen und Zertifikaten findet man unter anderem: leitender Auditor für ISO 9001, zertifizierter Berater für das Management, Fachkraft für betriebliches Kontinuitätsmanagement und leitender ISO/IEC-Auditor für Managementsysteme für Informationssicherheit. Dejan führt unser Team in der Betreuung verschiedener Webseiten, die ISO- und IT-Fachkräfte beim Kennenlernen der wichtigen internationalen Normen und deren erfolgreicher Umsetzung unterstützen. Dejan besitzt einen MBA-Titel des Henley Management College und verfügt über langjährige Erfahrung in den Bereichen Bankwesen, Versicherungswirtschaft und Investment-Funds. Dejan ist bekannt für sein Expertenwissen in den Bereichen Informationssicherheit und Kontinuitätsmanagement (ISO 27001 und ISO 22301) – und hat zahlreiche Toolkits zur Dokumentation, Online-Tutorials und Bücher verfasst.