November 2007 Empfehlungen für das Business Continuity ...shop.sba.ch/11107_d.pdf · Empfehlungen...

Empfehlungen für dasBusiness Continuity Management (BCM)

November 2007

Empfehlungen für das Business Continuity Management (BCM) der SBVg 1

Empfehlungen für das Business Continuity Management (BCM)

Inhaltsverzeichnis

1. Ausgangslage und Zielsetzung ................................................................................................. 2

2. Relation zur Arbeitsgruppe „BCP Finanzplatz Schweiz“............................................................ 2 2.1 Grundsätzliches............................................................................................................................................. 2 2.2 Rahmenbedingungen .................................................................................................................................. 3

3. Grundlagen ............................................................................................................................... 3

4. Anwendungsbereich bzw. Szenarien......................................................................................... 4

5. Empfehlungen ........................................................................................................................... 4 5.1 Definition und Umfang................................................................................................................................ 4 5.2 Komponenten................................................................................................................................................ 5 5.3 Verantwortlichkeiten.................................................................................................................................... 6 5.4 Business Recovery Planung und ihre Überprüfung................................................................................ 6

5.4.1 Business Impact Analyse (verbindlicher Mindeststandard) .......................................................... 6 5.4.2 Business Continuity Strategie (verbindlicher Mindeststandard).................................................. 7 5.4.3 Business Continuity Pläne ................................................................................................................... 7 5.4.4 Business Continuity Reviews............................................................................................................... 7 5.4.5 Business Continuity Tests..................................................................................................................... 7

5.5 Krisenmanagement ...................................................................................................................................... 7 5.6 Berichterstattung, Kommunikation und Schulung................................................................................. 8

5.6.1 Berichterstattung .................................................................................................................................. 8 5.6.2 Kommunikation..................................................................................................................................... 8 5.6.3 Schulung und Sensibilisierung........................................................................................................... 8

6. Inkrafttreten und Übergangsregelung ..................................................................................... 8

Anhang A - Glossar........................................................................................................................ 9

Anhang B - Schweregrade von Ereignissen ................................................................................. 11

Anhang C - Verlauf einer Krise..................................................................................................... 12

Anhang D - Weiterführende Quellen ........................................................................................... 13


1. Ausgangslage und Zielsetzung

Verschiedene Entwicklungen der letzten Jahre, insbesondere im Bereich Terrorismus und Pande-mien, haben auf die Verletzlichkeit von Finanzmarktteilnehmern und -systemen hingewiesen. Die Sensibilisierung für derartige Ereignisse und ihre möglichen Auswirkungen hat stark zugenom-men. Dementsprechend bestehen auf der Ebene internationaler Organisationen sowie in verschiedenen Ländern Vorgaben und Empfehlungen im Bereich des Business Continuity Management (BCM) mit Anforderungen an die Finanzmarktteilnehmer wie auch an die Aufsichtsbehörden. Die Eidgenössische Bankenkommission (EBK) erachtet ein adäquates Business Continuity Mana-gement als Bewilligungsvoraussetzung zum Geschäftsbetrieb gemäss Art. 3 Bankengesetz. Sie un-terstützt eine entsprechende Selbstregulierung der Schweizerischen Bankiervereinigung (SBVg). Die vorliegende Selbstregulierung der Schweizerischen Bankiervereinigung richtet sich an deren Mitglieder und enthält Empfehlungen („Best Practice“) zur Ausgestaltung eines institutsspezifi-schen BCM. Dabei ist den Besonderheiten der jeweiligen Ausgangslage, insbesondere der Risiko-situation und systemischen Relevanz der einzelnen Institute, Rechnung zu tragen. Beim vorliegenden Text handelt es sich grundsätzlich um Empfehlungen, deren Einhaltung nicht verbindlichen Charakter im Sinne von EBK-Rundschreiben 04/2 „Selbstregulierung als Mindest-standard“ hat. Ausnahmen bilden die Durchführung einer Business Impact Analyse (Abschnitt 5.4.1) sowie die Definition einer Business Continuity Strategie (Abschnitt 5.4.2). Diese beiden Kernelemente werden von der EBK als verbindlicher aufsichtsrechtlicher Mindeststandard be-trachtet. In den Geltungsbereich der vorliegenden Empfehlungen fallen Banken und Effektenhändler (im folgenden: Institute). Eine Auswirkung der Empfehlungen auf das zivilrechtliche Verhältnis zwi-schen dem Institut und seinen Kunden ist nicht beabsichtigt.

2. Relation zur Arbeitsgruppe „BCP Finanzplatz Schweiz“

2.1 Grundsätzliches

Für die Bewältigung von unvorhergesehenen Störfällen im vernetzten Finanzsystem ist es entschei-dend, dass alle wichtigen Akteure koordiniert vorgehen und die nötigen Vorkehrungen vorgängig festgelegt, abgestimmt und umgesetzt haben. In der Schweiz ist seit Dezember 2003 die Arbeitsgruppe „BCP Finanzplatz Schweiz“ mit Interes-senvertretern des Finanzmarktes unter dem Vorsitz der Schweizerischen Nationalbank (SNB) tätig. Sie verfolgt das Ziel, die vorhandenen Business Continuity Pläne einzelner Institute und Infrastrukturanbieter des Finanzplatzes Schweiz zu überprüfen und zu beurteilen. Die Untersu-chung konzentrierte sich dabei auf die für die Stabilität des Finanzplatzes kritischen Prozesse. Ausgehend von einer initialen Risikoanalyse hat die Arbeitsgruppe mit Blick auf die Stabilität des Finanzplatzes die beiden Prozesse „Grossbetragszahlungen in SIC“ und „Liquiditätsversorgung via Repos“ als kritisch identifiziert. Weitere Bereiche wie der Retailzahlungsverkehr, die Bargeld-versorgung der Bevölkerung oder der Börsenhandel wurden unter diesem Fokus nicht als prioritär eingestuft. Im Anschluss an die Untersuchung wurden die zentralen Infrastrukturen Telekurs / SIC und SIS von der SNB beauftragt, Anforderungen betreffend BCM in ihre Vertragswerke mit den Teilnehmern einfliessen zu lassen.


2.2 Rahmenbedingungen

In Anlehnung an die entsprechenden Vorgaben des Federal Reserve System (Fed, vgl. Anhang D) wurden in der Arbeitsgruppe folgende Anforderungen für die beiden Kernprozesse „Grossbetrags-zahlungen in SIC“ und „Liquiditätsversorgung via Repos“ festgelegt (Definitionen im Anhang A):

Teilnehmer im Finanzsystem Recovery Ziele

RTO=Recovery Time Objective RPO=Recovery Point Objective

Zentrale Infrastrukturen (SNB, SIC und SIS) RTO <= 2h RPO = 0

Kritische Systemteilnehmer RTO <= 4h RPO = 0

Übrige Systemteilnehmer RTO <= 24h Als „kritisch“ werden dabei Systemteilnehmer betrachtet, welche einen Marktanteil in SIC von 20% und mehr halten. Alle anderen Systemteilnehmer gelten gemäss dieser Terminologie als „übrige Systemteilnehmer“. Die zeitlichen Vorgaben für die (kritischen und übrigen) Systemteil-nehmer gelten explizit für die Kernprozesse der Grossbetragszahlungen und der Liquiditätsversor-gung; sie können auch mittels Alternativprozessen erreicht werden. Zu beachten gilt es, dass Krisen und ihre Bewältigung mehrere Tage oder Wochen andauern können und deshalb entspre-chende Kapazitäten vorhanden sein müssen. Die Vorgabe von 24 Stunden für übrige Systemteil-nehmer entspricht einem Standard, welcher vom einzelnen Institut mit Blick auf dessen spezifische BCM Strategie angepasst werden kann (dokumentierte Risikobeurteilung). Massgebend sind in diesem Zusammenhang auch die EBK-Rundschreiben „Überwachung und Interne Kontrolle“ (EBK-RS 06/6) sowie „Eigenmittelanforderungen für Operationelle Risiken“ (EBK-RS 06/3). Die konkrete Ausgestaltung der Recovery-Ziele wird in den technischen Weisungen der Verträge zwischen den Anbietern zentraler Infrastrukturen und den Systemteilnehmern geregelt.

3. Grundlagen

Die vorliegenden Empfehlungen lehnen sich an verschiedene vergleichbare Standards an (vgl. die Übersicht in Anhang D). Insbesondere orientieren sie sich an den „High-Level Principles for Busi-ness Continuity“ des Joint Forum bzw. des Basler Ausschusses für Bankenaufsicht (Basel Commit-tee on Banking Supervision, Bank for International Settlements, August 2006, www.bis.org). Die zentralen Grundsätze dieser „High-Level Principles“ lassen sich wie folgt zusammenfassen: 1. Finanzmarktteilnehmer und Aufsichtsbehörden sollten über ein effektives und umfassendes

Business Continuity Management verfügen. Die Verantwortung für die Sicherstellung der Business Continuity liegt bei Verwaltungsrat (Board of Directors) und Geschäftsleitung (Senior Management).

2. Finanzmarktteilnehmer und Aufsichtsbehörden müssen das Risiko bedeutender operationeller Störungen in ihr Business Continuity Management integrieren.

3. Finanzmarktteilnehmer müssen Recovery-Ziele entwickeln, welche ihre Systemrelevanz bzw. das von ihnen ausgehende Risiko für das Finanzsystem berücksichtigen.

4. Die Business Continuity Pläne sowohl der Teilnehmer des Finanzmarkts als auch von Auf-sichtsbehörden müssen Massnahmen der internen und externen Kommunikation für den Fall grösserer Betriebsunterbrüche definieren.

5. Für den Fall internationaler Implikationen von Betriebsunterbrüchen sollen die entsprechen-den Kommunikationskonzepte insbesondere auch die Kommunikation mit ausländischen Auf-sichtsbehörden umfassen.

http://www.bis.org


6. Finanzmarktteilnehmer und Aufsichtsbehörden müssen ihre Business Continuity Pläne austes-ten, deren Wirksamkeit evaluieren und ihr Business Continuity Management gegebenenfalls anpassen.

7. Den Aufsichtsbehörden wird empfohlen, das Business Continuity Management der beaufsich-tigten Institute im Rahmen der laufenden Überwachung zu beurteilen.

4. Anwendungsbereich bzw. Szenarien

Die Institute haben alle potentiell relevanten Szenarien zu berücksichtigen, welche für das Unter-nehmen zu einer Krise führen können. Dabei wird unter einer „Krise“ eine Bedrohungssituation verstanden, welche kritische Entscheidungen erfordert und mit den ordentlichen Führungsmitteln und Entscheidungskompetenzen nicht bewältigt werden kann. Damit bildet die Bewältigung von „Störungen“ ausdrücklich nicht Gegenstand dieser Empfehlungen („Availability Management“, vgl. Definitionen in Anhang A und Anhang B). Beispiele für Krisensituationen sind:

• „unfallartige” Ereignisse wie z.B. Brand oder Explosion • Terrorangriffe, Sabotage • Naturkatastrophen wie z.B. Flut oder Erdbeben • Ausfall von Personal, z.B. aufgrund Pandemie • Ausfall der Gebäudetechnik und/oder der Energieversorgung (z.B. Elektrizität) • Ausfall von IT Systemen oder Infrastrukturen (Hardware- oder Software-Fehler) • Ausfall von Kommunikationssystemen oder Telecom-Providern • Ausfall von externen Lieferanten (vgl. Outsourcing) wie z.B. Informationsprovider.

Im Rahmen des BCM sind die relevanten Bedrohungen bzw. Krisentypen durch die Institute jeweils gemäss Impact (Schweregrad) und Wahrscheinlichkeit des Eintretens zu identifizieren bzw. definieren und zu beurteilen.

Konsequenz solcher Ereignisse kann insbesondere sein, dass Mitarbeitende und/oder Infrastruktur (v.a. Führungsinfrastruktur, Telekommunikation, Gebäude bzw. Arbeitsplätze) für unternehmens-kritische Funktionen nicht mehr einsatzfähig sind. Ebenso können Probleme bei den IT-Dienstleistungen oder Infrastruktur-Anbietern dazu führen, dass kritische Services zu nicht tole-rierbaren Ausfällen der Verfügbarkeit führen. Im Bereich von Pandemien werden Schadenszenarien und Empfehlungen u.a. im „Influenza-Pandemieplan Schweiz 2006“ (Kap. 8, „Betriebe“) des Bundesamts für Gesundheit (BAG) aufge-führt (www.bag.admin.ch/influenza). Das BCM muss die Einhaltung gesetzlicher, regulatorischer, vertraglicher und interner Vorschrif-ten auch im Krisenfall bestmöglich sicherstellen.

5. Empfehlungen

5.1 Definition und Umfang

Unter Business Continuity Management (BCM) ist ein unternehmsweiter Ansatz zu verstehen, mit dem sichergestellt werden soll, dass die kritischen Geschäftsfunktionen im Fall interner oder ex-terner Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. BCM zielt damit u.a. auf eine Minimierung der finanziellen, rechtlichen und reputationsmässigen Auswir-kungen solcher Ereignisse.

http://www.bag.admin.ch/influenza


Insgesamt soll BCM die Fortführung bzw. zeitgerechte Wiederaufnahme der Geschäftstätigkeit in Krisensituationen sicherstellen. BCM bezieht sich deshalb grundsätzlich auf alle Geschäfts- und Organisationsbereiche eines Unternehmens. Zu unterscheiden sind die Business Recovery Planung im Vorfeld und das Krisenmanagement im Anwendungsfall. In der Business Continuity Strategie definiert ein Institut seine grundsätzliche Vorgehensweise im Falle eines Ausfalls kritischer Ressourcen. Dabei werden im Rahmen einer Business Impact Analy-se geschäftskritische Ressourcen und Prozesse identifiziert, inkl. einer Festlegung adäquater Wie-deranlaufzeiten und Verfügbarkeiten. Die Business Continuity Strategie bildet die Basis für die Business Continuity Pläne. Diese definieren (im Sinne von vorbereiteten Massnahmenplänen, Checklisten und Arbeits-hilfen) das Vorgehen für eine zeitgerechte und geordnete Wiederaufnah-me der Geschäftstätigkeit. Die Business Continuity Strategie kann integraler Bestandteil der Unternehmensstrategie des Instituts sein. Falls einzelne Restrisiken bewusst in Kauf genommen werden, so muss die Strategie explizit darüber Auskunft geben. Aufbau und Betrieb eines BCM umfassen insbesondere die folgenden Bereiche: • Definition und Festlegung des Umfangs des BCM • Verankerung des BCM in der Unternehmensorganisation • Schaffung einer der Unternehmensorganisation angepassten Governance-Struktur • Definition der BCM Rollen und Verantwortlichkeiten • Definition von Krisenszenarien (vgl. Kapitel 4) und deren Auswirkungen auf die Ressourcen

des Unternehmens (Planungsgrundlage) • Identifikation der geschäftskritischen Ressourcen und Prozesse sowie Analyse der Auswirkung

von Ausfällen im Rahmen der Business Impact Analyse (BIA) • Definition der Business Continuity Strategie zum grundsätzlichen Umgang mit dem Ausfall der

einzelnen Ressourcen der Geschäftsarchitektur • Erstellung der Business Continuity Pläne, die eine Wiederherstellung der geschäftskritischen

Prozesse und Ressourcen in einer Krisensituation ermöglichen sollen • Durchführung von Business Continuity Reviews und Business Continuity Tests der Business

Continuity Pläne und der Krisenmanagementorganisation • Berichterstattung, Kommunikation und Schulung. 5.2 Komponenten

Eine Krisensituation ist gekennzeichnet durch den vollständigen oder teilweisen Ausfall von Res-sourcen bzw. durch die Unterbrechung einzelner oder mehrerer Prozesse. Dabei ist grundsätzlich das Vorhandensein folgender Ressourcen Voraussetzung zur Durchführung von Prozessen: • Mitarbeitende • Gebäude • IT/Daten • externe Zulieferer. Dementsprechend wird empfohlen, im Rahmen der Business Recovery Planung in erster Linie Ausfälle dieser Ressourcen zu berücksichtigen. BCM sollte insbesondere folgende Komponenten beinhalten:

Business Impact Analyse Identifikation der geschäftskritischen Prozesse sowie der zugrundeliegenden kritischen Ressourcen, Identi-fikation und Beschreibung der Auswirkungen eines Aus-falls einer oder mehrerer kritischer Ressourcen.


Business Continuity Strategie

Definition der grundsätzlichen Vorgehensweise bei einem Ausfall von kritischen Ressourcen, Grundsatzentscheide über die Bereitstellung von Ersatzressourcen.

Business Continuity Pläne

Umfassender Massnahmenplan zur Sicherstellung einer kontinuierlichen Geschäftstätigkeit bzw. zur zeitgerechten Wiederaufnahme kritischer Prozesse. Detaillierte Planung der Vorgehensweise und Verantwortlichkeiten bei Ausfall kritischer Ressourcen.

Business Continuity Testing Überprüfung der Business Continuity Pläne auf Aktualität, Umsetzung und Wirksamkeit in regelmässigen Intervallen.

Krisenmanagement-organisation

Die Organisation des Krisenmanagements hat zum Ziel, ein Krisenmanagement bereitzustellen, mit dem das Unter-nehmen Krisensituationen wirksam bewältigen kann.

BCM Reporting Berichterstattung über BCM Aktivitäten und den Stand der Vorbereitungen zur Krisenbewältigung des Unternehmens (inkl. an Verwaltungsrat und Geschäftsleitung).

BCM Training Fachliche BCM Ausbildung der Mitarbeitenden, die Auf-gaben im Bereich BCM übernommen haben.

BCM Kommunikation Massnahmen der internen und externen Kommunikation im Krisenfall.

5.3 Verantwortlichkeiten

Die Verantwortung für das BCM liegt bei Verwaltungsrat und Geschäftsleitung jedes einzelnen Instituts (vgl. dazu auch das EBK-Rundschreiben „Überwachung und interne Kontrolle“, EBK-RS 06/6). Der Verwaltungsrat ist verantwortlich für die Überwachung der Einhaltung einer schriftlich dokumentierten BCM Strategie. Die Geschäftsleitung konkretisiert diese und regelt weitere Zu-ständigkeiten, Kompetenzen und Informationsflüsse in internen Reglementen und Weisungen. Insbesondere regelt die Geschäftsleitung (mit Genehmigung durch den Verwaltungsrat) das Ver-hältnis zwischen Geschäftsleitung und der Krisenorganisation (Krisenstab).

5.4 Business Recovery Planung und ihre Überprüfung

5.4.1 Business Impact Analyse (verbindlicher Mindeststandard)

Jeder Geschäftsbereich sollte seine kritischen Ressourcen und Prozesse bestimmen. Im Rahmen einer Auswirkungsanalyse werden für die geschäftskritischen Prozesse die jeweiligen Auswirkun-gen eines kompletten oder teilweisen Ausfalls der entsprechenden Ressourcen beurteilt. Diese Beurteilung schliesst auch gegenseitige Abhängigkeiten zwischen den Geschäftsbereichen (vor-/nachgelagerte Prozesse) und Abhängigkeiten von externen Anbietern (Outsourcing) mit ein.


Diese Analyse soll zum Ergebnis haben: • den gewünschten Wiederherstellungsgrad der geschäftskritischen Prozesse • eine maximale Zeitspanne bis zur Wiederherstellung der geschäftskritischen Prozesse • den Mindestumfang der (Ersatz-)Ressourcen (Gebäude, Mitarbeitende, IT/Daten, externe

Anbieter), die im Krisenfall verfügbar sein müssen, um den gewünschten Wiederherstellungs-grad zu erreichen.

Die Häufigkeit der Aktualisierung der Business Impact Analyse richtet sich insbesondere nach der Risikosituation des jeweiligen Instituts. 5.4.2 Business Continuity Strategie (verbindlicher Mindeststandard)

Die Business Continuity Strategie legt das grundlegende Vorgehen fest, mit dem das Unternehmen seine in der Business Impact Analyse festgelegten Recovery-Ziele für die zugrunde gelegten Szena-rien und deren Auswirkungen auf die Ressourcen erreichen will. Diese Strategie soll in schriftli-cher Form vorliegen. 5.4.3 Business Continuity Pläne

Business Continuity Pläne beschreiben die für die Wiederherstellung bzw. die Fortsetzung der geschäftskritischen Prozesse (inkl. Einhaltung gesetzlicher, regulatorischer, vertraglicher und in-terner Vorschriften) notwendigen Vorgehensweisen, Ersatzlösungen und die dafür mindestens benötigten Ersatzressourcen. Entsprechende Pläne sollten mindestens enthalten: Beschreibung des Anwendungsfalls (auslösendes Szenario), Vorgehensweise bzw. Massnahmenkatalog mit Prioritä-ten, notwendige Ersatzressourcen sowie Krisenorganisation mit Zuständigkeiten und Kompeten-zen. Es sollten regelmässige Zeiträume vorgegeben werden, innerhalb derer die Business Continuity Pläne zu aktualisieren sind. Wesentliche Änderungen im Geschäftsbetrieb können ebenfalls eine Überarbeitung der Pläne erforderlich machen. 5.4.4 Business Continuity Reviews

Business Continuity Reviews beinhalten eine Bestandsaufnahme der von den einzelnen Geschäfts-bereichen erstellten BCM Dokumentation und eine Bewertung, ob die Dokumente den definierten Prüfkriterien entsprechen. Es wird empfohlen, konsistente Prüfkriterien sowie einen klaren Prozess zur Überwachung und Behebung offener Punkte zu definieren. 5.4.5 Business Continuity Tests

Mit Business Continuity Tests wird die Umsetzung von Business Continuity Plänen und die Fähigkeit der Krisenmanagement-Organisation ausgetestet bzw. überprüft. Schwerpunkte sowie Kadenz der einzelnen Tests sind in Abhängigkeit der Risikobeurteilung (vgl. Business Impact Ana-lyse) vorzunehmen. Durch Aggregation der Testergebnisse einzelner Organisationseinheiten kann die Fähigkeit des Instituts zur Bewältigung von Krisensituationen beurteilt werden. Es wird empfohlen, die einzelnen Testaktivitäten in Form einer systematischen Testplanung zu koordinieren, die Berichterstattung einheitlich zu regeln sowie einen Prozess für die Überwachung und Behebung von Schwachstellen festzulegen.

5.5 Krisenmanagement

Ziel ist es, ein Krisenmanagement bereitzustellen, mit dem das Unternehmen Krisensituationen wirksam und zeitgerecht bewältigen kann. In Krisensituationen, die kritische Entscheidungen verlangen und welche mit ordentlichen Massnahmen und Entscheidungskompetenzen nicht be-


wältigt werden können, wird der Krisenstab (bzw. werden die Krisenstäbe) einberufen. Dieser übernimmt das Management der Krisenbewältigung bis zur Wiederherstellung eines ordnungsge-mässen Zustands. Es wird empfohlen, Auslösung, Zuständigkeiten und Kompetenzen des Krisenstabs vorgängig klar zu regeln und die Krisenorganisation auf Geschäftstätigkeit und geographische Struktur des Insti-tuts auszurichten. Besonderer Wert ist auf die bestmögliche Sicherstellung der Erreichbarkeit der Verantwortungsträger auch in Krisensituationen zu legen.

5.6 Berichterstattung, Kommunikation und Schulung

5.6.1 Berichterstattung

Über die BCM Aktivitäten sowie allgemein den Stand der Vorbereitung der Krisenbewältigung sollen in einem definierten Rhythmus stufengerechte Berichte zu Handen von Verwaltungsrat und Geschäftsleitung erstellt werden. Darin sind insbesondere die Ergebnisse von Business Continuity Reviews und Business Continuity Tests darzustellen. 5.6.2 Kommunikation

Kommunikation spielt in der Krisenbewältigung eine bedeutende Rolle. Der systematischen und sorgfältigen Vorbereitung von Kommunikationskonzepten und -plänen (interne und externe Kommunikation) im Krisenfall ist deshalb besondere Beachtung zu schenken. Dabei geht es im Speziellen um die Wahrung eines hohen Grades an Professionalität und um die Aufrechterhaltung von Glaubwürdigkeit und Vertrauen der Dialogpartner. Kommunikationspläne müssen Erreichbarkeiten im Krisenfall beinhalten (Liste mit Namen und Telefonnummern von Aufsichtsbehörden, Mitarbeitenden, Medien, Kunden, Gegenparteien, Dienstleistern etc.). Einer allfälligen internationalen Dimension ist mit speziellen Kommunikati-onsmassnahmen Rechnung zu tragen. Im Falle einer Krise bzw. einer Auslösung der Krisenorganisation soll der Aufsichtsbehörde ent-sprechende Meldung erstattet werden. 5.6.3 Schulung und Sensibilisierung

Es muss sichergestellt werden, dass die Mitarbeitenden hinsichtlich ihrer Aufgaben, Verantwort-lichkeiten und Kompetenzen, die sich aus den jeweiligen BCM Aktivitäten ergeben, ausreichend geschult werden. Dabei ist sowohl der Ausbildung von neuen Mitarbeitenden als auch einem regelmässigen Update des Ausbildungsstands bestehender Mitarbeitender Rechnung zu tragen. Besondere Aufmerksamkeit verdient die Schulung der Mitglieder der Krisenorganisation. Zusätzlich soll mit Hilfe eines laufenden Informationsprogramms sichergestellt werden, dass bei neuen und bestehenden Mitarbeitenden eine Sensibilisierung für die Bedeutung des BCM geschaf-fen und aufrechterhalten wird.

6. Inkrafttreten und Übergangsregelung

Die vorliegenden Empfehlungen sind vom Verwaltungsrat der SBVg mit Beschluss vom 18. Juni 2007 verabschiedet und von der EBK am 19. Oktober 2007 genehmigt worden. Sie treten per 1. Januar 2008 in Kraft. Den Instituten wird empfohlen, die Inhalte der vorliegenden Empfehlun-gen bis spätestens zum 31. Dezember 2009 umzusetzen.


Anhang A - Glossar

Availability Management: Verfahren, das die Definition, Analyse, Planung, Messung und Opti-mierung aller Aspekte, welche die Verfügbarkeit der IT-Services beeinflussen, umfasst. Das Avai-lability Management stellt sicher, dass die gesamte IT-Infrastruktur, alle IT-Prozesse, -Tools, -Aufgaben etc. den in den Service-Level-Agreements definierten Vorgaben für die Verfügbarkeit entsprechen. Ereignisse, welche die Verfügbarkeit beeinträchtigen, können mit den üblichen Ma-nagementverfahren und Entscheidungskompetenzen kontrolliert werden. Backlog Processing: Nachträgliche Abarbeitung von nicht erledigten bzw. aufgestauten Arbeiten aufgrund einer Unterbrechung von Geschäftsprozessen oder der Durchführung von Alternativpro-zessen. Business Continuity Management (BCM): Unternehmensweiter Management-Ansatz (Policies und Standards), mit dem sichergestellt werden soll, dass die kritischen Geschäftsfunktionen im Fall (interner oder externer) Ereignisse aufrechterhalten oder zeitgerecht wiederhergestellt werden können. BCM umfasst damit die Phasen der Planung und Umsetzung sowie des Controllings und deckt das gesamte entsprechende Umfeld (Bereiche, Prozesse, Techniken) ab, welches erforderlich ist, um die Verfügbarkeit (unternehmens-)kritischer Prozesse nach einem Ereignis unterbruchsfrei betreiben oder innerhalb definierter Zeitspannen wiederaufnehmen zu können. Business Continuity Pläne: Umfassender vorbereiteter Massnahmenplan (inkl. Checklisten und Arbeitshilfen), um eine kontinuierliche Geschäftstätigkeit zu ermöglichen bzw. eine geordnete und zeitgerechte Wiederaufnahme der (unternehmens-) kritischen Prozesse im Krisenfall zu ermögli-chen. Business Continuity Reporting: Berichterstattung (inkl. an Verwaltungsrat und Geschäftsleitung) über Aktivitäten im Bereich des Business Continuity Management, insbesondere über den Stand der Vorbereitungen zur Krisenbewältigung. Das Business Continuity Reporting hat im Speziellen die Ergebnisse von Business Continuity Reviews und Business Continuity Tests darzustellen. Business Continuity Strategie: Definition der grundsätzlichen Vorgehensweise zur Aufrechterhal-tung einer kontinuierlichen Geschäftstätigkeit bzw. im Falle eines Ausfalls kritischer Ressourcen (inkl. Festlegung der Risiko-Akzeptanz, Analyse von Handlungsoptionen und Grundsatzentschei-den über die Bereitstellung von Ersatzressourcen). Die Business Continuity Strategie basiert auf der Business Impact Analyse und bildet die Basis für die Business Continuity Pläne. Business Continuity Testing: Systematische Überprüfung in regelmässigen Intervallen der Business Continuity Pläne, insbesondere hinsichtlich Umsetzung, Wirksamkeit und Aktualität. Business Impact Analyse (BIA): Prozess der Identifikation und (quantitativen und qualitativen) Messung der Auswirkungen von Unterbrüchen der Geschäftstätigkeit oder einzelner Ressourcen und Prozesse. BIA umfasst insbesondere die Identifikation (geschäfts-)kritischer Ressourcen und Prozesse, basierend auf einer Analyse von Abhängigkeiten und Auswirkungen sowie einer Bewer-tung und Klassifikation potentieller Schäden. Business Recovery: Wiederherstellung spezifischer Prozesse bzw. Geschäftstätigkeiten nach einem Unterbruch bzw. nach einem Schadenereignis zu treffende Massnahmen (vgl. Business Continuity Pläne). Business Resumption: Übergangslösungen für Geschäftsprozesse, die der Wiederaufnahme der Geschäftstätigkeit dienen. Dies kann in verschiedenen Schritten erfolgen, bis die ordentliche Geschäftstätigkeit bzw. volle Kapazität wiederhergestellt ist. Krise: Bedrohungssituation, welche kritische Entscheidungen erfordert und im Rahmen der ordentlichen Führungsmittel und Entscheidungskompetenzen nicht bewältigt werden kann.


Krisenstab: Team, welches im Krisenfall für die Krisenbewältigung bis zur Wiederaufnahme eines ordnungsgemässen Zustands verantwortlich ist (Minimierung des wirtschaftlichen Schadens sowie von Reputationsrisiken). Kritische Ressourcen: Ressourcen einer Unternehmung (Personal, Gebäude, IT/Daten, externe Zulieferer etc.), welche bei Ausfall zum Unterbruch oder Ausfall von (kritischen) Geschäftspro-zessen führen. Kritische Ressourcen werden im Rahmen der Business Impact Analyse identifiziert. Recovery Point Objective (RPO): Definierter, maximal akzeptabler Datenverlust im Falle einer Krise. Recovery Time Objective (RTO): Definierter Zeitraum, innerhalb welchem (geschäfts-)kritische Prozesse wiederhergestellt werden müssen. Störung: Ereignis, das zu einem Unterbruch von Geschäftstätigkeiten, einem Verlust und/oder einer Einschränkung der Servicequalität führt, jedoch (im Unterschied zu einer Krise) im Rahmen des Availability Management bewältigt werden kann. (Unternehmens-)kritische Prozesse: Prozesse eines Unternehmens, deren Ausfall die Aufrechterhal-tung der Kundendienstleistungen, die Einhaltung der rechtlichen Verpflichtungen des Unterneh-mens und/oder die Bewirtschaftung von Risikopositionen verunmöglichen oder erheblich erschweren und dadurch zu einem kritischen (direkten oder indirekten) Schaden führen kann.


Desaster: Ein weitreichendes Schadensereignis, welches für das Unternehmen kritische Auswirkungen hat und das geschäftliche Werte- und Bezugssystem ausser Kraft setzt, wird vom zuständigen Krisenstab zum Desaster deklariert. Ein Desaster wird primär durch Aktivierung der Business Recovery Pläne bewältigt.

Bedeutende Störung: Die Folge eines oder mehrerer Schadensereignisse, für welche die Ursache unbekannt sein kann, aber deren Auswirkungen auf den Geschäftsbetrieb signifikant sind.

Störung: Ein Ereignis, welches zu einer Betriebsstörung, einem Unterbruch, einem Verlust oder einer Einschränkung der Servicequalität führt, jedoch kurz nach der Kenntnisnahme des Schadens noch nicht genauer spezifiziert werden kann.

Krise: Eine Bedrohungssituation, welche kritische Entscheidungen erfordert, die mit den ordentlichen Führungsmitteln und Entscheidungskompetenzen nicht bewältigt werden können.

Störung

Bedeutende Störung

Desaster

KriseK

risen

man

agem

ent

Nor

mal

er G

esch

äfts

betri

eb(z

.B. A

vaila

bilit

y M

anag

emen

t)

Anhang B - Schweregrade von Ereignissen

Je nach Schweregrad der Folgen, die aus einem oder mehrerer Ereignisse entstehen, handelt es sich um eine Störung, eine bedeutende Störung, eine Krise oder ein Desaster. Business Continuity Management bezieht sich nur auf die Krisen- und Desastervorsorge und das Krisenmanagement.


Zeit

Desaster

Letzter konsistenter

Backup

Zeitspanne mit einem Datenverlust

RTORecovery Time

Objective(in Stunden)

RPORecovery Point


Business Resumption

Schritt 1

Schritt 2

Schritt n

100%

Zeitspanne in welcher Applikationen nicht zur Verfügung stehen

Zeit

Desaster

Letzter konsistenter

Backup

Zeitspanne mit einem Datenverlust

RTORecovery Time


RPORecovery Point


Business Resumption

Schritt 1

Schritt 2

Schritt n

100%

Zeitspanne in welcher Applikationen nicht zur Verfügung stehen

Anhang C - Verlauf einer Krise

Verlauf einer Krise am Beispiel des Impact Types "Verlust von IT/Daten"


Anhang D - Weiterführende Quellen

Bei der Implementierung von Business Continuity Strategien und Plänen können u.a. die folgen-den Standards herangezogen werden. Die Auswahl ist nicht abschliessend. Basel Committee on Banking Supervision: High-Level Principles for Business Continuity, Bank for International Settlements, August 2006, www.bis.org Financial Services Authority (FSA): Business Continuity Management - Practice Guide, 2006, www.fsa.gov.uk Australian Prudential Regulatory Authority (APRA): Prudential Standard APS 232 „Business Continuity Management” und Guidance Note 232.1, April 2005, www.apra.gov.au British Standards Organisation: The Guide to Business Continuity Management, Publicly Avail-able Specification PAS 56:2003, 2003, www.automataservices.com Federal Reserve System (Fed): Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, 2003, www.federalreserve.gov Information Security Forum: Aligning Business Continuity and Information Security, März 2006, www.securityforum.org Staatsekretariat für Wirtschaft (seco): Pandemie-Handbuch, www.seco.admin.ch (erscheint dem-nächst) Bundesamt für Gesundheit (BAG): Influenza-Pandemieplan Schweiz, 2006, www.bag.admin.ch/influenza (wird voraussichtlich laufend aktualisiert)

http://www.bis.org

http://www.fsa.gov.uk

http://www.apra.gov.au

http://www.automataservices.com

http://www.federalreserve.gov

http://www.securityforum.org

http://www.seco.admin.ch

http://www.bag.admin.ch/influenza

Schweizerische BankiervereinigungAeschenplatz 7Postfach 4182CH-4002 Basel

[email protected]

T +41 61 295 93 93F +41 61 272 53 82

November 2007 Empfehlungen für das Business Continuity ...shop.sba.ch/11107_d.pdf · Empfehlungen...

Documents

Transcript of November 2007 Empfehlungen für das Business Continuity ...shop.sba.ch/11107_d.pdf · Empfehlungen...