© Controll-IT GmbH, Juni 2009
- Good Practice Guidelines -Leitfaden für den Aufbau eines Business Continuity Managements
Herzlich Willkommen
© Controll-IT GmbH, Juni 2009 2 Good Practice Guidelines
Agenda
Controll-IT - Firmenprofil
Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 3 Good Practice Guidelines
Controll-IT - Firmenprofil
Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 4 Good Practice Guidelines
Controll-IT GmbH
Gegründet im Jahr 2000
Derzeit zwölf Mitarbeiter, 2 Auszubildende und ein Netzwerk von freien Mitarbeitern und Partnern. Sitz in Hamburg.
Beratung derzeit in Deutschland, Ungarn, Belgien, Österreich, Schweiz
BCM-Tool- und Schulungsanbieter
Branchen:
• Banken und Versicherungen
• IT-Unternehmen
• Industrie
• Handel
Historie
© Controll-IT GmbH, Juni 2009 5 Good Practice Guidelines
Unser Vorgehensmodell
Beratung
Unser Vorgehensmodell basiert auf unseren Projekterfahrungen und den Best-Practice-Modellen der Branche, namentlich ITIL und BCI.
© Controll-IT GmbH, Juni 2009 6 Good Practice Guidelines
Controll-IT – Firmenprofil
• Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 7 Good Practice Guidelines
Historie der BCM StandardsEinordnung des GPG
2002 (akt. 2008) 2003 2006 2007
PAS 56
Good Practice Guidelines BS 25999-1 BS 25999-2
Erstveröffentlichung des GPG : 2002.
Der GPG 2008 ist 122 Seiten stark. Zum Vergleich: BS 25999-1 „Code of practice“ hat 50 Seiten
GPG referenziert auf BS 25999-1/-2 wo anwendbar
© Controll-IT GmbH, Juni 2009 8 Good Practice Guidelines
Good Practice Guidelines (GPG)
Der GPG wurde vom Business Continuity Institute (UK) entwickelt
Das Business Continuity Institute (BCI) wurde im Jahr 1994 gegründet.
Das BCI
hat mehr als 4.000 Mitglieder in über 85 Ländern, ca. 90 Mitglieder in Deutschland,
fördert und entwickelt die höchsten Standards der Berufsqualifikation und Ethik für die Arbeit im Bereich des BCM,
bietet BCM-Praktikern ein international anerkanntes Zertifizierungsschema für den Nachweis der eigenen Qualifikation an.
Hintergrund Business Continuity Institute
© Controll-IT GmbH, Juni 2009 9 Good Practice Guidelines
Controll-IT - Firmenprofil
Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 10 Good Practice Guidelines
Lebenszyklus des GPGPhasen des GPG
Quelle: Good Practice Leitfaden Business Continuity Institute
© Controll-IT GmbH, Juni 2009 11 Good Practice Guidelines
BCM-Programm Steuerung (1)Erstellen der BCM Richtlinie
Scope Definition
Ermittlung der Inhalte
Abstimmung mit den Anforderungen des Unternehmens, Berücksichtigung von Outsourcing
Management Commitment / Freigabe
© Controll-IT GmbH, Juni 2009 12 Good Practice Guidelines
BCM-Programm Steuerung (2)Programm Management als zentrale BCM Aktivität
Zuweisung von BCM-Verantwortlichkeiten
BCM im Unternehmen implementieren
Projekt Management
Permanente Aufrechterhaltung des BCM
BCM-Dokumentation
Incident Readiness und Response definieren
© Controll-IT GmbH, Juni 2009 13 Good Practice Guidelines
Das Unternehmen verstehen (1)Business Impact Analyse (BIA)
Definition der MTPD, RTO, RPO** für Unternehmensaktivitäten und deren unterstützende Ressourcen (Personal, Standorte, Systeme, Daten, etc) sowie saisonale Abweichungen
Ermitteln der Abhängigkeiten der Aktivitäten untereinander
Ermitteln der für die Notfallbewältigung relevanten Ressourcen
**MTPD = Maximum Tolerable Period of Disruption (maximal tolerierbare Ausfallzeit)
RTO = Recovery Time Objective (Wiederanlaufziel)
RPO = Recovery Point Objective
(max. Datenverlust)
© Controll-IT GmbH, Juni 2009 14 Good Practice Guidelines
Das Unternehmen verstehen (2)Risikoanalyse
Identifizieren von internen und externen Risiken sowie Single-Points-of-Failure
Priorisierung der Risiken auf Basis einheitlicher Bewertungsvorgaben
Vorgaben für risikoreduzierende Maßnahmen
© Controll-IT GmbH, Juni 2009 15 Good Practice Guidelines
BCM Strategien bestimmenBCM Strategien für die Erreichung der RTOs
Entwickeln einer unternehmensweiten Strategie, inkl. Abgleich mit zu geforderten und mit der Strategie zu erreichenden RTOs
Auflistung möglicher taktischer Continuity Optionen für die unterstützenden Ressourcen (z.B. Mitarbeiter = Cross-Trainings)
Konsolidierung der ausgewählten Optionen
© Controll-IT GmbH, Juni 2009 16 Good Practice Guidelines
BCM ReaktionEntwicklung und Implementierung von reaktiven Maßnahmen
Definition der Aufbauorganisation
Beschreiben der reaktiven Maßnahmenin geeigneter Dokumentationsstruktur
GPG gibt auch hier Mindestinhalte für die einzelne Pläne vor
Strategischer Level Incident Management Plan (IMP)
Taktischer Level Business Continuity Plan (BCP)
Ressourcen Level Activity Resumption Plans
© Controll-IT GmbH, Juni 2009 17 Good Practice Guidelines
Übungen, Pflege, Audit (1)Übungen
Übungen erfolgen zum Nachweis, dass
gewählte Strategien und Maßnahmen funktionsfähig sind
Mitglieder der Notfallteams in den Abläufen geschult sind
Beschreibung der verschiedenen Übungsarten
Sowohl Übungen als auch die gewählten Szenarien sollten möglichst realitätsnah sein
© Controll-IT GmbH, Juni 2009 18 Good Practice Guidelines
Übungen, Pflege, Audit (2)Pflege, Audit
Pflege und Wartung von BCM Dokumentation und BCM Maßnahmen im Rahmen eines Change-Management Prozesses
Audits als Self-Assements oder „Performance Monitoring“ zur Optimierung des BCM
© Controll-IT GmbH, Juni 2009 19 Good Practice Guidelines
BCM in die Unternehmenskultur einbindenNachhaltigkeit durch Awareness- und Schulungsmaßnahmen
Bewertung des vorhandenen Awareness-Levels für BCM
Durch ein Schulungs- und Awarenessprogramm erfolgt die Einbindung des BCMs in ein Unternehmen
Monitoring von „Cultural-Changes“
Auswertung von Schulungs- und Awarenessmaßnahmen
Wo sind weitere Schulungs-/Awarenessmaßnahmen erforderlich?
© Controll-IT GmbH, Juni 2009 20 Good Practice Guidelines
Controll-IT - Firmenprofil
Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 21 Good Practice Guidelines
Strukturierung der Kapitel des GPG
1. IntroductionKurzbeschreibung der durchzuführende Phase und ihrer Aktivitäten.
2. PrecursorsWelche Phasen / Aktivitäten müssen bereits abgeschlossen sein, damit die hier beschriebene Phase durchgeführt werden kann?
3. PurposeZu welchem Zweck werden die Aktivitäten dieser Phase durchgeführt?
4. Concepts and AssumptionsWas ist das Konzept für diese Phase und welche Annahmen wurden getroffen?
5. ProcessWelche Prozessschritte werden in dieser Phase durchlaufen?
© Controll-IT GmbH, Juni 2009 22 Good Practice Guidelines
Strukturierung der Kapitel des GPG
6. Methods and TechniquesMit welchen Hilfsmitteln können die Ergebnisse dieser Phase erzeugt werden?
7. Outcomes and DeliverablesWelche Ergebnisse und Dokumente werden erstellt?
8. ReviewWann sollten die Ergebnisse dieser Phase hinsichtlich Anpassungen überprüft werden?
© Controll-IT GmbH, Juni 2009 23 Good Practice Guidelines
Auszüge aus dem GPGBeispiel: XYZ
© Controll-IT GmbH, Juni 2009 24 Good Practice Guidelines
Controll-IT - Firmenprofil
Einführung Good Practice Guidelines und BCM Standards
Die Phasen des Lebenszyklus des GPG
Strukturierung der Inhalte und Auszüge am Beispiel
Fazit
© Controll-IT GmbH, Juni 2009 25 Good Practice Guidelines
Fazit
Unterstützt als Implementierungshilfe vorhandene Standards
Kontinuierliche Weiterentwicklung durch BCM-Experten seit 2002
Die aktuellen GPG erscheinen Ende 2009 in deutscher Sprache
Kostenloser Download von http://www.thebci.org/gpg.htm (BS 25999-1 „Code of practice“ = 100 GBP)
GPG als umfangreiches Hilfsmittel zur Implementierung eines BCM
© Controll-IT GmbH, Juni 2009
Vielen Dank !Fragen und Diskussion
Matthias Rosenberg, [email protected] GmbH, Stresemannstrasse 342, 22761 Hamburg, Tel: 040 – 890 664 60www.controll-it.de
Top Related