ISO 27001/ISO 22301 Wissensdatenbank

Was ist der Unterschied zwischen Recovery Time Objective (RTO) und Recovery Point Objective (RPO)?

Sowohl RTO als auch RPO sind wesentliche Elemente der Geschäftskontinuität und klingen ziemlich ähnlich. Ihr Zweck ist jedoch verschieden.

Was ist RTO?

Was bedeutet RTO? BS 25999-2, eine führende Norm für Betriebskontinuität definiert RTO als “…festgesetzte Sollzeit für die Wiederaufnahme eines Produkts, Services oder Leistungserbringung nach einem Vorfall“.

Das bedeutet faktisch, dass das RTO bei der Implementierung der Betriebskontinuität in einem Unternehmen äußerst wichtig ist – die Kalkulation, wie schnell man eine Wiederherstellung benötigt, wird festlegen, welche Art von Vorbereitungen man benötigt. Wenn zum Beispiel das RTO 2 Stunden beträgt, dann müssen Sie eine ganze Menge Geld in ein Ausfallsrechenzentrum, in die Telekommunikation, in automatisierte Systeme etc. investieren – weil Sie in der Lage sein möchten, eine komplette Wiederherstellung in nur 2 Stunden zu erreichen. Wenn hingegen Ihre RTO 2 Wochen beträgt, werden die erforderlichen Investitionen viel geringer sein, da Sie genug Zeit haben werden, Ressourcen zu beschaffen, nachdem ein Vorfall eingetreten ist.

Das RTO wird während der Geschäftsauswirkungsanalyse (Business Impact Analysis – BIA) festgesetzt und die Vorbereitungen werden in der Betriebskontinuitäts-Strategie festgelegt. Siehe auch Artikel Fünf Tipps für eine erfolgreiche Geschäftsauswirkungsanalyse, um mehr über RTO und BIA zu erfahren.

Was ist RPO?

RPO – Recovery Point Objective ist eine komplett andere Sache – laut Wikipedia ist RPO “…der maximal tolerierbare Zeitraum, in dem Daten verloren gehen können”. Da es ziemlich schwierig ist, das gleich zu begreifen, möchte ich stattdessen dieses Beispiel gebrauchen – fragen Sie sich, wie viele Daten Sie sich erlauben können zu verlieren? Wenn Sie eine Datenbank mit den verschiedensten Arten von Informationen befüllen, ist es tolerierbar, 1 Stunde, 2 Stunden oder gar 2 Tage Arbeit zu verlieren? Wenn Sie ein sehr langes Dokument erstellen, können Sie es sich leisten, 4 Stunden Ihrer Arbeiter oder den ganzen Tag zu verlieren oder könnten Sie es vielleicht ertragen, den Job einer ganzen Woche zu verlieren?

Diese Anzahl von Stunden oder Tagen ist das RPO. Das Recovery Point Objective ist für die Festlegung eines Elements der Betriebskontinuitätsstrategie äußerst wichtig – die Häufigkeit von Backups. Beträgt Ihr RPO 4 Stunden, dann müssen Sie zumindest alle 4 Stunden eine Datensicherung vornehmen; alle 24 Stunden würde Sie in große Gefahr bringen, wenn Sie es aber jede Stunde durchführen, könnte es Sie zu viel kosten.

Was ist also der Unterschied zwischen RTO und RPO?

Der Unterschied liegt im Zweck – das RTO hat einen umfassenderen Zweck, da es die Grenzen für Ihr gesamtes Betriebskontinuität-Management festsetzt, während das RPO ausschließlich auf die Frage der Backup-Häufigkeit fokussiert ist. Sie stehen in keiner direkten Verbindung zueinander – Sie könnten ein RTO von 24 Stunden und ein RPO von 1 Stunde oder ein RTO von 2 Stunden und ein RPO von 12 Stunden haben.

Lassen Sie mich jedoch etwas hervorheben, was sogar noch wichtiger ist: was haben RTO und RPO gemeinsam? Sie sind beide äußerst wichtig für die Geschäftsauswirkungsanalyse und für das Betriebskontinuität-Management. Ohne diese korrekt festzulegen, könnten Sie nur raten – und Raten ist der beste Weg dafür zu sorgen, dass eine Wiederherstellung nach einem Desaster nicht gelingt.

Sie können auch unseren Fragebogen zur Geschäftsauswirkungsanalyse lesen, in dem beschrieben ist, wie man alle notwendigen Informationen für RTO und RPO sammelt.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

Sie können sich jederzeit abmelden.

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

KOSTENLOSE ISO 27001/22301-BERATUNG
Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301, Advisera

ERHALTEN SIE KOSTENLOSE BERATUNG

Upcoming free webinar
How to integrate GDPR with ISO 27001
Wednesday – April 8, 2020

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.