Post on 06-Feb-2018
Vorbereitung auf den Ernstfall –aktuelle Herausforderungen für das BCM in Theorie und Praxis Business Continuity Management bei EY
18 Juli 2017
Page 2
Warum wird Business Continuity Management benötigt …
Stellen Sie sich folgende Fragen:
► Was würden Sie tun, wenn Ihr
Firmengebäude morgen brennt?
► Was würden Ihre Kunden tun?
► Was würden Ihre Mitbewerber tun?
► Was würden Ihre Finanzgeber und Investoren tun?
► Sind Ihre Zulieferer und Dienstleister betroffen?
Was würden diese tun?
Business Continuity Management bei EY
Wenn es passiert,
… haben Sie keine Zeit darüber nachzudenken!
Page 3
Was sind die Ziele des Business Continuity Managements…
► Schutz von Mitarbeitern, Partnern, Besuchern und der Öffentlichkeit
► Schutz von organisatorischen Vermögenswerten (inkl. Daten)
► Minimierung von Schaden und Business Impact im Schadensfall
► Schnellstmögliche Wiederaufnahme des normalen Betriebs
► Schutz von Reputation und Wahrnehmung
► Wettbewerbsvorteil
► Sicherstellung der Einhaltung gesetzlicher Vorgaben
► Gute Unternehmensführung
Business Continuity Management bei EY
Page 4
Die Lösung: Ein holistischer Ansatz –Business Continuity Management (BCM)
Ein ganzheitlicher Managementprozess, der potenzielle Bedrohungen für eine
Organisation und deren Auswirkungen auf den Geschäftsbetrieb identifiziert.
BCM bietet ein Framework für die Realisierung organisatorischer Resilienz und
effektiver Reaktion, die die Interessen von Stakeholdern, Reputation, Marke und
wertschöpfender Aktivitäten sichert.
Business Continuity Management bei EY
Exercise/ Maintenance
Strategy Development
Disaster Recovery
Crisis Management
Risk Assessment
(RA)
Governance
Business Impact Analysis (BIA)
Page 5
Strategische Gründe und normative Empfehlungen für ein BCM
Business Continuity Management steigt in der Unternehmensagenda weiter auf
Strategische Gründe:
Wettbewerbsvorteil
Im Falle einer Katastrophe kann ein gut
vorbereitetes Unternehmen den Kunden und
der Öffentlichkeit zeigen, dass es adäquat
vorbereitet ist und damit seine Marken- und
Markt-Glaubwürdigkeit stärken.
Systemisches Risiko
Der Schwerpunkt bei der Wahl von
Zulieferern und Dienstleistern liegt nicht mehr
auf niedrigen Kosten sondern Resilienz,
Vorsorge und Redundanz.
Anspruchsvolle Wirtschaftslage
Durch schmale Margen und zittrige Märkte
können Katastrophen entscheidend über das
Fortbestehen einer Unternehmung sein.
Aktuelle Geschäftslandschaft:
Erhöhte Komplexität
Die zunehmende Verwendung neuer
Technologien wie Mobile und Cloud
Computing schaffen neue Risiken für den
Geschäftsbetrieb.
Kürzere Erholungsphasen:
Die steigenden Erwartungen an Leistung und
Verfügbarkeit einer Dienstleistung zwingen
Unternehmen Erholungsphasen für kritische
Prozesse, Menschen, Technologie und Daten
zu verkürzen.
Globale Auswirkungen von Katastrophen
Die zunehmende Globalisierung bewirkt,
dass eine Katastrophe, die in einem Teil der
Welt auftritt, oft weitere Regionen beeinflusst.
Regulatorische und normative
Gründe:
Gesetzgeber und Regulierungsbehörden
verfolgen das Ziel schärfere Regelungen und
Verordnungen zu erlassen um das Risiko für
benachbarte Industrien zu begrenzen, sollte ein
Unternehmen eine schwere Störung erleiden.
Handlungsdruck zur Verbesserung
der Performanz und Erhöhung der
Robustheit und Nachhaltigkeit im
Zuge einer Katastrophe.
Business Continuity Management bei EY
Page 6
BS 25999
Business Continuity
Management
2006
2014
ISO/TC 292 Security
Technisches Komitee u.a. mit
Fokus auf Sicherheitsmanage-
ment, betriebliches Kontinuitäts-
management, Belastbarkeits- und
Notfallmanagement
2007
ISO/PAS 22399Societal security – Guideline
for incident preparedness and
operational continuity
management
ISO 22301:2012
Sicherheit und Schutz des
Gemeinwesens - Business
Continuity Management-
System - Anforderungen
2012
Welche regulatorische Anforderung besteht für das Business Continuity Management …
Business Continuity Management bei EY
► Mitte Mai 2012 wurde der bis dato
einzige zertifizierbare Standard (für
Großbritannien) durch die ISO-Norm
22301 ersetzt
► Auf alle Organisationen jeder Größe
anwendbar
► Gilt sowohl für den öffentlichen, als
auch für den privaten Sektor
► Am 1. November 2012 wurde der BS
25999-2 zurückgezogen
► Alle auf den BS 25999-2 ausgestellten
Zertifikate behielten bis Mitte 2014 ihre
Gültigkeit
► Um das Zertifikat aufrecht zu erhalten
ist eine Re-Zertifizierung nach ISO
22301 erforderlich
1999/2000
Jahr 2000
ProblemGeburtsstunde
des BCM
Page 7
… und aus welchen Bausteinen setzt sich diese zusammen?
Business Continuity Management bei EY
Vo
ka
bu
lar
An
ford
er-
ung
en
Allg
em
ein
e
Ric
htlin
ien
No
tfa
ll
Ma
na
ge
me
nt
ISO 22301
Gesellschaftliche
Sicherheit - BCMSZertifizierungsvoraussetzung
ISO 22320
Vorfallsreaktion
(Incident Response)
ISO 22322
Öffentliche
Warnung
ISO 22324
Farbkodierter
Alarm
ISO 22300
Vokabular
Die ISO/IEC 22301-Familie wird seit 2012 schrittweise veröffentlicht. ISO/IEC 22301 ist der einzige zertifizierbare Standard der ISO/IEC für Business Continuity:
ISO 22315
Massen-
evakuierung
ISO 22313
Richtlinien
ISO 22312
Technologische
Fähigkeiten
ISO 22300
Terminologie
ISO 22311
Videoüberwachung
Page 8
CH
EC
K
AC
T
Struktur der ISO 22301 - Sicherheit und Schutz des Gemeinwesens - Business Continuity Management-System
Business Continuity Management bei EY
4 Organization
4.1 Context
4.2 Expectations
4.3 Scope for BCMS
4.4 BCMS
5 Leadership
5.1 Leadership & Commitment
5.2 Management Commitment
5.3 Policy
5.4 Roles & Responsibilities
6 Planning
6.1 Actions
6.2 BC Objectives
7 Support
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documentation
8 Operation
8.1 Operational Plan
8.2 Business Impact Analysis
8.3 BC Strategy
8.4 BC Procedures
8.5 Exercising & Testing
9 Performance Evaluation
9.1 Analysis & Evaluation
9.2 Internal Audit
9.3 Management Review
PL
AN
10 Improvement
10.1 Corrective Action
10.2 Continual Improvement
DO
Page 9
Um ein effektives Business Continuity Management zu gewährleisten ist eine ständige Verbesserung notwendig
Business Continuity Management bei EY
Interessierte
Parteien
(Stakeholder)
Managed
Business
Continuity
Etablierung
eines BCMS
PlanInteressierte
Parteien
(Stakeholder)
Anforderungen
an die Business
Continuity
Kontinuierliche Verbesserung des
Business Continuity Management System (BCMS)
Implementierung
des BCMS
Do
Überwachung und
Überprüfung des
BCMS
Check
Pflege und
Optimierung
des BCMS
Act
Page 10
Zwischenfazit
Business Continuity Management bei EY
Fortführung
Die Fortführung
der
Geschäftstätigkei
ten auch unter
Widerständen
liegt im
Selbstinteresse
von
Unternehmen.
1Struktur
Die Strukturen
zur
Implementierung
eines BCM sind
durch den ISO
22301 Standard
klar definiert.
2Grundlage
Grundlage für ein BCM ist der Wille und Bereitschaft des Managements.
3Ansatz
BCM ist keine „stand alone“ Lösung sondern ein Bereichs- und Ressortübergreifender Ansatz.
4
Vielen Dank für Ihre Aufmerksamkeit
Robert WelterSenior Manager
Cybersecurity Strategy & TransformationMobile +49 160 939 23155
Robert.Welter@de.ey.com