Vorbereitung auf den Ernstfall aktuelle Herausforderungen ... · PDF fileISO 22320...

Vorbereitung auf den Ernstfall –aktuelle Herausforderungen für das BCM in Theorie und Praxis Business Continuity Management bei EY

18 Juli 2017

Warum wird Business Continuity Management benötigt …

Stellen Sie sich folgende Fragen:

► Was würden Sie tun, wenn Ihr

Firmengebäude morgen brennt?

► Was würden Ihre Kunden tun?

► Was würden Ihre Mitbewerber tun?

► Was würden Ihre Finanzgeber und Investoren tun?

► Sind Ihre Zulieferer und Dienstleister betroffen?

Was würden diese tun?

Business Continuity Management bei EY

Wenn es passiert,

… haben Sie keine Zeit darüber nachzudenken!

Was sind die Ziele des Business Continuity Managements…

► Schutz von Mitarbeitern, Partnern, Besuchern und der Öffentlichkeit

► Schutz von organisatorischen Vermögenswerten (inkl. Daten)

► Minimierung von Schaden und Business Impact im Schadensfall

► Schnellstmögliche Wiederaufnahme des normalen Betriebs

► Schutz von Reputation und Wahrnehmung

► Wettbewerbsvorteil

► Sicherstellung der Einhaltung gesetzlicher Vorgaben

► Gute Unternehmensführung


Die Lösung: Ein holistischer Ansatz –Business Continuity Management (BCM)

Ein ganzheitlicher Managementprozess, der potenzielle Bedrohungen für eine

Organisation und deren Auswirkungen auf den Geschäftsbetrieb identifiziert.

BCM bietet ein Framework für die Realisierung organisatorischer Resilienz und

effektiver Reaktion, die die Interessen von Stakeholdern, Reputation, Marke und

wertschöpfender Aktivitäten sichert.


Exercise/ Maintenance

Strategy Development

Disaster Recovery

Crisis Management

Risk Assessment

(RA)

Governance

Business Impact Analysis (BIA)

Strategische Gründe und normative Empfehlungen für ein BCM

Business Continuity Management steigt in der Unternehmensagenda weiter auf

Strategische Gründe:

Wettbewerbsvorteil

Im Falle einer Katastrophe kann ein gut

vorbereitetes Unternehmen den Kunden und

der Öffentlichkeit zeigen, dass es adäquat

vorbereitet ist und damit seine Marken- und

Markt-Glaubwürdigkeit stärken.

Systemisches Risiko

Der Schwerpunkt bei der Wahl von

Zulieferern und Dienstleistern liegt nicht mehr

auf niedrigen Kosten sondern Resilienz,

Vorsorge und Redundanz.

Anspruchsvolle Wirtschaftslage

Durch schmale Margen und zittrige Märkte

können Katastrophen entscheidend über das

Fortbestehen einer Unternehmung sein.

Aktuelle Geschäftslandschaft:

Erhöhte Komplexität

Die zunehmende Verwendung neuer

Technologien wie Mobile und Cloud

Computing schaffen neue Risiken für den

Geschäftsbetrieb.

Kürzere Erholungsphasen:

Die steigenden Erwartungen an Leistung und

Verfügbarkeit einer Dienstleistung zwingen

Unternehmen Erholungsphasen für kritische

Prozesse, Menschen, Technologie und Daten

zu verkürzen.

Globale Auswirkungen von Katastrophen

Die zunehmende Globalisierung bewirkt,

dass eine Katastrophe, die in einem Teil der

Welt auftritt, oft weitere Regionen beeinflusst.

Regulatorische und normative

Gründe:

Gesetzgeber und Regulierungsbehörden

verfolgen das Ziel schärfere Regelungen und

Verordnungen zu erlassen um das Risiko für

benachbarte Industrien zu begrenzen, sollte ein

Unternehmen eine schwere Störung erleiden.

Handlungsdruck zur Verbesserung

der Performanz und Erhöhung der

Robustheit und Nachhaltigkeit im

Zuge einer Katastrophe.


BS 25999

Business Continuity

Management

2006

2014

ISO/TC 292 Security

Technisches Komitee u.a. mit

Fokus auf Sicherheitsmanage-

ment, betriebliches Kontinuitäts-

management, Belastbarkeits- und

Notfallmanagement

2007

ISO/PAS 22399Societal security – Guideline

for incident preparedness and

operational continuity

management

ISO 22301:2012

Sicherheit und Schutz des

Gemeinwesens - Business

Continuity Management-

System - Anforderungen

2012

Welche regulatorische Anforderung besteht für das Business Continuity Management …


► Mitte Mai 2012 wurde der bis dato

einzige zertifizierbare Standard (für

Großbritannien) durch die ISO-Norm

22301 ersetzt

► Auf alle Organisationen jeder Größe

anwendbar

► Gilt sowohl für den öffentlichen, als

auch für den privaten Sektor

► Am 1. November 2012 wurde der BS

25999-2 zurückgezogen

► Alle auf den BS 25999-2 ausgestellten

Zertifikate behielten bis Mitte 2014 ihre

Gültigkeit

► Um das Zertifikat aufrecht zu erhalten

ist eine Re-Zertifizierung nach ISO

22301 erforderlich

1999/2000

Jahr 2000

ProblemGeburtsstunde

des BCM

… und aus welchen Bausteinen setzt sich diese zusammen?


Vo

ka

bu

lar

An

ford

er-

ung

en

Allg

em

ein

e

Ric

htlin

ien

No

tfa

ll

Ma

na

ge

me

nt

ISO 22301

Gesellschaftliche

Sicherheit - BCMSZertifizierungsvoraussetzung

ISO 22320

Vorfallsreaktion

(Incident Response)

ISO 22322

Öffentliche

Warnung

ISO 22324

Farbkodierter

Alarm

ISO 22300

Vokabular

Die ISO/IEC 22301-Familie wird seit 2012 schrittweise veröffentlicht. ISO/IEC 22301 ist der einzige zertifizierbare Standard der ISO/IEC für Business Continuity:

ISO 22315

Massen-

evakuierung

ISO 22313

Richtlinien

ISO 22312

Technologische

Fähigkeiten

ISO 22300

Terminologie

ISO 22311

Videoüberwachung

CH

EC

K

AC

T

Struktur der ISO 22301 - Sicherheit und Schutz des Gemeinwesens - Business Continuity Management-System


4 Organization

4.1 Context

4.2 Expectations

4.3 Scope for BCMS

4.4 BCMS

5 Leadership

5.1 Leadership & Commitment

5.2 Management Commitment

5.3 Policy

5.4 Roles & Responsibilities

6 Planning

6.1 Actions

6.2 BC Objectives

7 Support

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication

7.5 Documentation

8 Operation

8.1 Operational Plan

8.2 Business Impact Analysis

8.3 BC Strategy

8.4 BC Procedures

8.5 Exercising & Testing

9 Performance Evaluation

9.1 Analysis & Evaluation

9.2 Internal Audit

9.3 Management Review

PL

AN

10 Improvement

10.1 Corrective Action

10.2 Continual Improvement

DO

Um ein effektives Business Continuity Management zu gewährleisten ist eine ständige Verbesserung notwendig


Interessierte

Parteien

(Stakeholder)

Managed

Business

Continuity

Etablierung

eines BCMS

PlanInteressierte

Parteien

(Stakeholder)

Anforderungen

an die Business

Continuity

Kontinuierliche Verbesserung des

Business Continuity Management System (BCMS)

Implementierung

des BCMS

Do

Überwachung und

Überprüfung des

BCMS

Check

Pflege und

Optimierung

des BCMS

Act

Zwischenfazit


Fortführung

Die Fortführung

der

Geschäftstätigkei

ten auch unter

Widerständen

liegt im

Selbstinteresse

von

Unternehmen.

1Struktur

Die Strukturen

zur

Implementierung

eines BCM sind

durch den ISO

22301 Standard

klar definiert.

2Grundlage

Grundlage für ein BCM ist der Wille und Bereitschaft des Managements.

3Ansatz

BCM ist keine „stand alone“ Lösung sondern ein Bereichs- und Ressortübergreifender Ansatz.

4

Vielen Dank für Ihre Aufmerksamkeit

Robert WelterSenior Manager

Cybersecurity Strategy & TransformationMobile +49 160 939 23155

[email protected]

Vorbereitung auf den Ernstfall aktuelle Herausforderungen ... · PDF fileISO 22320...

Documents

Transcript of Vorbereitung auf den Ernstfall aktuelle Herausforderungen ... · PDF fileISO 22320...