- Good Practice Guidelines - Leitfaden für den Aufbau eines Business Continuity Managements

© Controll-IT GmbH, Juni 2009

- Good Practice Guidelines -Leitfaden für den Aufbau eines Business Continuity Managements

Herzlich Willkommen

© Controll-IT GmbH, Juni 2009 2 Good Practice Guidelines

Agenda

Controll-IT - Firmenprofil

Einführung Good Practice Guidelines und BCM Standards

Die Phasen des Lebenszyklus des GPG

Strukturierung der Inhalte und Auszüge am Beispiel

Fazit






Fazit


Controll-IT GmbH

Gegründet im Jahr 2000

Derzeit zwölf Mitarbeiter, 2 Auszubildende und ein Netzwerk von freien Mitarbeitern und Partnern. Sitz in Hamburg.

Beratung derzeit in Deutschland, Ungarn, Belgien, Österreich, Schweiz

BCM-Tool- und Schulungsanbieter

Branchen:

• Banken und Versicherungen

• IT-Unternehmen

• Industrie

• Handel

Historie


Unser Vorgehensmodell

Beratung

Unser Vorgehensmodell basiert auf unseren Projekterfahrungen und den Best-Practice-Modellen der Branche, namentlich ITIL und BCI.


Controll-IT – Firmenprofil

• Einführung Good Practice Guidelines und BCM Standards



Fazit


Historie der BCM StandardsEinordnung des GPG

2002 (akt. 2008) 2003 2006 2007

PAS 56

Good Practice Guidelines BS 25999-1 BS 25999-2

Erstveröffentlichung des GPG : 2002.

Der GPG 2008 ist 122 Seiten stark. Zum Vergleich: BS 25999-1 „Code of practice“ hat 50 Seiten

GPG referenziert auf BS 25999-1/-2 wo anwendbar


Good Practice Guidelines (GPG)

Der GPG wurde vom Business Continuity Institute (UK) entwickelt

Das Business Continuity Institute (BCI) wurde im Jahr 1994 gegründet.

Das BCI

hat mehr als 4.000 Mitglieder in über 85 Ländern, ca. 90 Mitglieder in Deutschland,

fördert und entwickelt die höchsten Standards der Berufsqualifikation und Ethik für die Arbeit im Bereich des BCM,

bietet BCM-Praktikern ein international anerkanntes Zertifizierungsschema für den Nachweis der eigenen Qualifikation an.

Hintergrund Business Continuity Institute






Fazit


Lebenszyklus des GPGPhasen des GPG

Quelle: Good Practice Leitfaden Business Continuity Institute


BCM-Programm Steuerung (1)Erstellen der BCM Richtlinie

Scope Definition

Ermittlung der Inhalte

Abstimmung mit den Anforderungen des Unternehmens, Berücksichtigung von Outsourcing

Management Commitment / Freigabe


BCM-Programm Steuerung (2)Programm Management als zentrale BCM Aktivität

Zuweisung von BCM-Verantwortlichkeiten

BCM im Unternehmen implementieren

Projekt Management

Permanente Aufrechterhaltung des BCM

BCM-Dokumentation

Incident Readiness und Response definieren


Das Unternehmen verstehen (1)Business Impact Analyse (BIA)

Definition der MTPD, RTO, RPO** für Unternehmensaktivitäten und deren unterstützende Ressourcen (Personal, Standorte, Systeme, Daten, etc) sowie saisonale Abweichungen

Ermitteln der Abhängigkeiten der Aktivitäten untereinander

Ermitteln der für die Notfallbewältigung relevanten Ressourcen

**MTPD = Maximum Tolerable Period of Disruption (maximal tolerierbare Ausfallzeit)

RTO = Recovery Time Objective (Wiederanlaufziel)

RPO = Recovery Point Objective

(max. Datenverlust)


Das Unternehmen verstehen (2)Risikoanalyse

Identifizieren von internen und externen Risiken sowie Single-Points-of-Failure

Priorisierung der Risiken auf Basis einheitlicher Bewertungsvorgaben

Vorgaben für risikoreduzierende Maßnahmen


BCM Strategien bestimmenBCM Strategien für die Erreichung der RTOs

Entwickeln einer unternehmensweiten Strategie, inkl. Abgleich mit zu geforderten und mit der Strategie zu erreichenden RTOs

Auflistung möglicher taktischer Continuity Optionen für die unterstützenden Ressourcen (z.B. Mitarbeiter = Cross-Trainings)

Konsolidierung der ausgewählten Optionen


BCM ReaktionEntwicklung und Implementierung von reaktiven Maßnahmen

Definition der Aufbauorganisation

Beschreiben der reaktiven Maßnahmenin geeigneter Dokumentationsstruktur

GPG gibt auch hier Mindestinhalte für die einzelne Pläne vor

Strategischer Level Incident Management Plan (IMP)

Taktischer Level Business Continuity Plan (BCP)

Ressourcen Level Activity Resumption Plans


Übungen, Pflege, Audit (1)Übungen

Übungen erfolgen zum Nachweis, dass

gewählte Strategien und Maßnahmen funktionsfähig sind

Mitglieder der Notfallteams in den Abläufen geschult sind

Beschreibung der verschiedenen Übungsarten

Sowohl Übungen als auch die gewählten Szenarien sollten möglichst realitätsnah sein


Übungen, Pflege, Audit (2)Pflege, Audit

Pflege und Wartung von BCM Dokumentation und BCM Maßnahmen im Rahmen eines Change-Management Prozesses

Audits als Self-Assements oder „Performance Monitoring“ zur Optimierung des BCM


BCM in die Unternehmenskultur einbindenNachhaltigkeit durch Awareness- und Schulungsmaßnahmen

Bewertung des vorhandenen Awareness-Levels für BCM

Durch ein Schulungs- und Awarenessprogramm erfolgt die Einbindung des BCMs in ein Unternehmen

Monitoring von „Cultural-Changes“

Auswertung von Schulungs- und Awarenessmaßnahmen

Wo sind weitere Schulungs-/Awarenessmaßnahmen erforderlich?






Fazit


Strukturierung der Kapitel des GPG

1. IntroductionKurzbeschreibung der durchzuführende Phase und ihrer Aktivitäten.

2. PrecursorsWelche Phasen / Aktivitäten müssen bereits abgeschlossen sein, damit die hier beschriebene Phase durchgeführt werden kann?

3. PurposeZu welchem Zweck werden die Aktivitäten dieser Phase durchgeführt?

4. Concepts and AssumptionsWas ist das Konzept für diese Phase und welche Annahmen wurden getroffen?

5. ProcessWelche Prozessschritte werden in dieser Phase durchlaufen?


Strukturierung der Kapitel des GPG

6. Methods and TechniquesMit welchen Hilfsmitteln können die Ergebnisse dieser Phase erzeugt werden?

7. Outcomes and DeliverablesWelche Ergebnisse und Dokumente werden erstellt?

8. ReviewWann sollten die Ergebnisse dieser Phase hinsichtlich Anpassungen überprüft werden?


Auszüge aus dem GPGBeispiel: XYZ






Fazit


Fazit

Unterstützt als Implementierungshilfe vorhandene Standards

Kontinuierliche Weiterentwicklung durch BCM-Experten seit 2002

Die aktuellen GPG erscheinen Ende 2009 in deutscher Sprache

Kostenloser Download von http://www.thebci.org/gpg.htm (BS 25999-1 „Code of practice“ = 100 GBP)

GPG als umfangreiches Hilfsmittel zur Implementierung eines BCM

© Controll-IT GmbH, Juni 2009

Vielen Dank !Fragen und Diskussion

Matthias Rosenberg, [email protected] GmbH, Stresemannstrasse 342, 22761 Hamburg, Tel: 040 – 890 664 60www.controll-it.de

- Good Practice Guidelines - Leitfaden für den Aufbau eines Business Continuity Managements

Documents

Transcript of - Good Practice Guidelines - Leitfaden für den Aufbau eines Business Continuity Managements