RiLi-Notfallmanagement (BCM): Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 7: | Zeile 7: | ||
== Einleitung == | == Einleitung == | ||
Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf | Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf die Fähigkeit von Unternehmen und Organisationen, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Im IT-Bereich bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten. | ||
Dies | Dies enhält, ist aber nicht beschränkt auf die: | ||
* | * Erstellung von Notfallplänen und -verfahren für IT-Systeme | ||
* | * Durchführung von Übungen und Tests zur Überprüfung der Wirksamkeit der Notfallpläne | ||
* | * Dokumentation von IT-Systemen und Prozessen, um eine schnelle Wiederherstellung zu ermöglichen | ||
* | * Überwachung und Überprüfung der IT-Infrastruktur, um potenzielle Ausfälle zu erkennen und zu verhindern | ||
* | * Sicherung wichtiger Daten und Anwendungen, um Verluste im Falle eines Ausfalls zu vermeiden. | ||
Das Notfallmanagement ist ein wichtiger Bestandteil des | Das Notfallmanagement ist ein wichtiger Bestandteil des gesamten BCM der Organisation, das über die IT hinausgeht und daher in enger Zusammenarbeit mit anderen Bereichen wie Finanzen, Personal und Produktion durchgeführt werden muss, um eine integrierte und umfassende Notfallvorsorge zu gewährleisten. | ||
=== Begriffsdefinitionen === | === Begriffsdefinitionen === | ||
Schadensereignisse können den Betrieb der Organisation und damit die Erfüllung der Geschäftsprozesse negativ beeinflussen. | Schadensereignisse können den Betrieb der Organisation und damit die Erfüllung der Geschäftsprozesse negativ beeinflussen. Es werden drei Kategorien von Schadensereignissen unterschieden: | ||
==== Störung ==== | ==== Störung ==== | ||
Eine Störung ist ein Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. Störungen werden im Rahmen des Incident-Managements im Regelbetrieb behoben und sind nicht Bestandteil | Eine Störung ist ein Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. Störungen werden im Rahmen des Incident-Managements im Regelbetrieb behoben und sind nicht Bestandteil des Notfallmanagements. Dennoch kann es sinnvoll sein, auch Störungen im Rahmen des Notfallmanagements im Blick zu behalten, da ein gehäuftes Auftreten von Störungen auf ein strukturelles Problem hinweisen und damit das Risiko für einen Notfall erhöhen kann. | ||
==== Notfall ==== | ==== Notfall ==== | ||
Ein Notfall liegt vor, wenn die Auswirkungen einer Störung zu einem längerfristigen Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann. | |||
==== Krise ==== | ==== Krise ==== | ||
Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von | Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Menschen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und schwerwiegendes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen. | ||
=== Rechtliche Rahmenbedingungen === | === Rechtliche Rahmenbedingungen === | ||
| Zeile 38: | Zeile 38: | ||
== Zielsetzung == | == Zielsetzung == | ||
Ziel des Notfallmanagements ist es, sicherzustellen, dass die Organisation in der Lage ist, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Die Organisation muss in der Lage sein, ihre IT-Systeme und -Prozesse schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten. Die Richtlinie Notfallmanagement legt den organisatorischen Rahmen und den Geltungsbereich fest und beschreibt Notfallprozesse und -verfahren, Verantwortlichkeiten, Kommunikationspläne, Business Impact Analyse (BIA), Wiederherstellungspläne, Übungen und Tests sowie Dokumentation und Revision. | |||
== Geschäftsprozesse == | == Geschäftsprozesse == | ||
=== IT-Systeme und Infrastruktur === | === IT-Systeme und Infrastruktur === | ||
''In diesem Abschnitt sollte | ''In diesem Abschnitt sollte ein Überblick über die wichtigsten IT-Systeme und die zugehörige Infrastruktur gegeben werden, die für die Durchführung der Geschäftsprozesse erforderlich sind.'' | ||
== Notfallprozesse und -verfahren == | == Notfallprozesse und -verfahren == | ||
''Hier sollten die Schritte beschrieben werden, die im | ''Hier sollten die Schritte beschrieben werden, die im Notfall zu ergreifen sind, einschließlich der Verfahren zur Wiederherstellung der IT-Systeme.'' | ||
=== Verantwortlichkeiten === | === Verantwortlichkeiten === | ||
==== Organisationsleitung ==== | ==== Organisationsleitung ==== | ||
Die Organisationsleitung | Die Organisationsleitung ist für das Notfallmanagement der gesamten Organisation verantwortlich. Sie hat die Richtlinienkompetenz für den Gesamtprozess und stellt die notwendigen personellen und finanziellen Ressourcen zur Verfügung. | ||
==== | ==== Notfallbeauftragter ==== | ||
Der | Der Notfallbeauftragte organisiert alle Aktivitäten des Notfallmanagements. Er etabliert die Prozesse der Notfallvorsorge, des Notfallmanagements, der Notfallkommunikation, der Notfallübungen sowie der Nachbereitung von Störfällen und der Auswertung von Übungen. Der Notfallbeauftragte stimmt sich eng mit dem Betrieb, dem ISB und der Organisationsleitung ab. | ||
==== Mitarbeitende ==== | ==== Mitarbeitende ==== | ||
Ein wichtiger Bestandteil des Notfallmanagements sind auch alle Mitarbeitenden. Alle Mitarbeitenden sind aufgefordert, in ihrem jeweiligen Aufgabenbereich das Notfallmanagement zu unterstützen und an dessen kontinuierlicher Weiterentwicklung mitzuwirken, um die Organisation gegenüber Schadensereignissen und deren Auswirkungen widerstandsfähiger zu machen. | |||
=== Kommunikationspläne === | === Kommunikationspläne === | ||
''In diesem Abschnitt sollten die Kommunikationswege und -verfahren beschrieben werden, die im Notfall genutzt werden, um sicherzustellen, dass alle relevanten Personen informiert werden.'' | |||
=== Business Impact Analyse (BIA) === | === Business Impact Analyse (BIA) === | ||
Aufgabe der Business Impact Analyse ist es, | Aufgabe der Business Impact Analyse ist es, die Auswirkungen von Ressourcenausfällen auf kritische Geschäftsprozesse zu analysieren. Das Ergebnis gibt Aufschluss darüber, welche Prozesse und Ressourcen besonders abgesichert werden müssen, damit die Organisation auch in Notfällen und Krisen ihre Kernaufgaben erfüllen kann. Aus diesem Grund werden Business Impact Analysen für alle kritischen Geschäftsprozesse der Organisation durchgeführt. | ||
=== Wiederherstellungspläne === | === Wiederherstellungspläne === | ||
Für jeden kritischen Geschäftsprozess der Organisation werden Wiederherstellungspläne erstellt, die konkrete Maßnahmen und Handlungsanweisungen für | Für jeden kritischen Geschäftsprozess der Organisation werden Wiederherstellungspläne erstellt, die konkrete Maßnahmen und Handlungsanweisungen für den Notbetrieb (Geschäftsfortführungsplan) und die vollständige Wiederherstellung (Wiederanlaufplan) enthalten: | ||
==== Geschäftsfortführungsplan (GFP) ==== | ==== Geschäftsfortführungsplan (GFP) ==== | ||
| Zeile 80: | Zeile 80: | ||
* Rückführung in den Normalbetrieb (Wiederanlauf) | * Rückführung in den Normalbetrieb (Wiederanlauf) | ||
sowie die | sowie die Notfallszenarien | ||
* Ausfall von Gebäuden/Arbeitsplätzen | * Ausfall von Gebäuden/Arbeitsplätzen | ||
* Ausfall von Personal | * Ausfall von Personal | ||
* Ausfall von IT-Systemen | * Ausfall von IT-Systemen | ||
* Ausfall | * Ausfall technischer Anlagen (Fertigung/Betrieb) | ||
* Ausfall von Dienstleistern | * Ausfall von Dienstleistern | ||
* Ausfall von Informationen (Daten oder Dokumente) | * Ausfall von Informationen (Daten oder Dokumente) | ||
==== Wiederanlaufplan ==== | ==== Wiederanlaufplan ==== | ||
Der Wiederanlaufplan ergänzt den Geschäftsfortführungsplan im operativen Bereich. Der Wiederanlaufplan beschreibt konkret für einzelne Ressourcen, was in welcher Reihenfolge zu tun ist, um nach einem Ausfall die Wiederaufnahme und Fortführung der betrieblichen Funktion zu ermöglichen. Wiederanlaufpläne sind für jede einzelne kritische Ressource zu erstellen. | |||
=== Übungen und Tests === | === Übungen und Tests === | ||
Es werden regelmäßig Übungen und Tests durchgeführt, um sicherzustellen, dass das Notfallkonzept funktioniert und alle | Es werden regelmäßig Übungen und Tests durchgeführt, um sicherzustellen, dass das Notfallkonzept funktioniert und alle Beteiligten wissen, was im Notfall zu tun ist. | ||
* Für alle | * Für alle kritischen Geschäftsprozesse werden jährlich theoretische Tests durchgeführt (Überprüfung der Notfallpläne auf Aktualität und Plausibilität). | ||
* Alle zwei Jahre und nach wesentlichen Änderungen finden praktische Tests statt | * Alle zwei Jahre und nach wesentlichen Änderungen finden praktische Tests statt, bei denen alle wesentlichen Funktionalitäten praktisch durchgespielt werden. | ||
=== Dokumentation und Revision === | === Dokumentation und Revision === | ||
Die Vorgaben dieser Richtlinie und | Die Vorgaben dieser Richtlinie und der nachgeordneten Dokumente (Notfallpläne) werden vom Notfallbeauftragten jährlich sowie bei wesentlichen Änderungen der Geschäftsprozesse auf Einhaltung und Aktualität überprüft. | ||
=== Kontinuierliche Verbesserung === | === Kontinuierliche Verbesserung === | ||
Der | Der Notfallbeauftragte überprüft kontinuierlich die Angemessenheit und Wirksamkeit des Notfallmanagements. Er identifiziert Korrektur- und Verbesserungsmaßnahmen und passt das Notfallmanagement an. | ||
== Schlussbemerkung == | == Schlussbemerkung == | ||
Version vom 1. August 2023, 14:03 Uhr
Mustervorlage: "Richtlinie Notfallmanagement (BCM)"
Einleitung
Notfallmanagement oder "Business Continuity Management" (BCM) bezieht sich auf die Fähigkeit von Unternehmen und Organisationen, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Im IT-Bereich bezieht sich BCM auf die Fähigkeit eines Unternehmens, seine IT-Systeme und -Prozesse nach einem Ausfall schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten.
Dies enhält, ist aber nicht beschränkt auf die:
- Erstellung von Notfallplänen und -verfahren für IT-Systeme
- Durchführung von Übungen und Tests zur Überprüfung der Wirksamkeit der Notfallpläne
- Dokumentation von IT-Systemen und Prozessen, um eine schnelle Wiederherstellung zu ermöglichen
- Überwachung und Überprüfung der IT-Infrastruktur, um potenzielle Ausfälle zu erkennen und zu verhindern
- Sicherung wichtiger Daten und Anwendungen, um Verluste im Falle eines Ausfalls zu vermeiden.
Das Notfallmanagement ist ein wichtiger Bestandteil des gesamten BCM der Organisation, das über die IT hinausgeht und daher in enger Zusammenarbeit mit anderen Bereichen wie Finanzen, Personal und Produktion durchgeführt werden muss, um eine integrierte und umfassende Notfallvorsorge zu gewährleisten.
Begriffsdefinitionen
Schadensereignisse können den Betrieb der Organisation und damit die Erfüllung der Geschäftsprozesse negativ beeinflussen. Es werden drei Kategorien von Schadensereignissen unterschieden:
Störung
Eine Störung ist ein Schadensereignis, das im Normalbetrieb, d.h. innerhalb der maximal tolerierbaren Ausfallzeit behoben werden kann. Störungen werden im Rahmen des Incident-Managements im Regelbetrieb behoben und sind nicht Bestandteil des Notfallmanagements. Dennoch kann es sinnvoll sein, auch Störungen im Rahmen des Notfallmanagements im Blick zu behalten, da ein gehäuftes Auftreten von Störungen auf ein strukturelles Problem hinweisen und damit das Risiko für einen Notfall erhöhen kann.
Notfall
Ein Notfall liegt vor, wenn die Auswirkungen einer Störung zu einem längerfristigen Ausfall wichtiger Ressourcen führen und der reguläre Geschäftsbetrieb nicht innerhalb eines vereinbarten Zeitraums wiederhergestellt werden kann.
Krise
Ein Notfall, bei dem die Existenz der Organisation oder das Leben und die Gesundheit von Menschen gefährdet sind, wird als Krise bezeichnet. Eine Krise ist ein langfristiges und schwerwiegendes Ereignis. Eine IT-Krise erfordert eine umfassende und strategische Reaktion, um die Auswirkungen auf die Organisation zu minimieren und den Betrieb wiederherzustellen.
Rechtliche Rahmenbedingungen
Auflistung der rechtlichen und vertraglichen Rahmenbedingungen der Organisation.
Geltungsbereich
Die Richtlinie Notfallmanagement gilt für alle Geschäftsprozesse, Organisationseinheiten und Standorte der Organisation.
Zielsetzung
Ziel des Notfallmanagements ist es, sicherzustellen, dass die Organisation in der Lage ist, ihre Geschäftstätigkeit vor, während und nach einem Notfall aufrechtzuerhalten. Die Organisation muss in der Lage sein, ihre IT-Systeme und -Prozesse schnell und effektiv wiederherzustellen, um die Geschäftskontinuität zu gewährleisten. Die Richtlinie Notfallmanagement legt den organisatorischen Rahmen und den Geltungsbereich fest und beschreibt Notfallprozesse und -verfahren, Verantwortlichkeiten, Kommunikationspläne, Business Impact Analyse (BIA), Wiederherstellungspläne, Übungen und Tests sowie Dokumentation und Revision.
Geschäftsprozesse
IT-Systeme und Infrastruktur
In diesem Abschnitt sollte ein Überblick über die wichtigsten IT-Systeme und die zugehörige Infrastruktur gegeben werden, die für die Durchführung der Geschäftsprozesse erforderlich sind.
Notfallprozesse und -verfahren
Hier sollten die Schritte beschrieben werden, die im Notfall zu ergreifen sind, einschließlich der Verfahren zur Wiederherstellung der IT-Systeme.
Verantwortlichkeiten
Organisationsleitung
Die Organisationsleitung ist für das Notfallmanagement der gesamten Organisation verantwortlich. Sie hat die Richtlinienkompetenz für den Gesamtprozess und stellt die notwendigen personellen und finanziellen Ressourcen zur Verfügung.
Notfallbeauftragter
Der Notfallbeauftragte organisiert alle Aktivitäten des Notfallmanagements. Er etabliert die Prozesse der Notfallvorsorge, des Notfallmanagements, der Notfallkommunikation, der Notfallübungen sowie der Nachbereitung von Störfällen und der Auswertung von Übungen. Der Notfallbeauftragte stimmt sich eng mit dem Betrieb, dem ISB und der Organisationsleitung ab.
Mitarbeitende
Ein wichtiger Bestandteil des Notfallmanagements sind auch alle Mitarbeitenden. Alle Mitarbeitenden sind aufgefordert, in ihrem jeweiligen Aufgabenbereich das Notfallmanagement zu unterstützen und an dessen kontinuierlicher Weiterentwicklung mitzuwirken, um die Organisation gegenüber Schadensereignissen und deren Auswirkungen widerstandsfähiger zu machen.
Kommunikationspläne
In diesem Abschnitt sollten die Kommunikationswege und -verfahren beschrieben werden, die im Notfall genutzt werden, um sicherzustellen, dass alle relevanten Personen informiert werden.
Business Impact Analyse (BIA)
Aufgabe der Business Impact Analyse ist es, die Auswirkungen von Ressourcenausfällen auf kritische Geschäftsprozesse zu analysieren. Das Ergebnis gibt Aufschluss darüber, welche Prozesse und Ressourcen besonders abgesichert werden müssen, damit die Organisation auch in Notfällen und Krisen ihre Kernaufgaben erfüllen kann. Aus diesem Grund werden Business Impact Analysen für alle kritischen Geschäftsprozesse der Organisation durchgeführt.
Wiederherstellungspläne
Für jeden kritischen Geschäftsprozess der Organisation werden Wiederherstellungspläne erstellt, die konkrete Maßnahmen und Handlungsanweisungen für den Notbetrieb (Geschäftsfortführungsplan) und die vollständige Wiederherstellung (Wiederanlaufplan) enthalten:
Geschäftsfortführungsplan (GFP)
Ein Geschäftsfortführungsplan (GFP) ist ein Handlungsleitfaden zum Aufbau eines Notbetriebs in Notfällen oder Krisen. Der GFP regelt wie, wo und ggf. mit wem (z.B. externe Dienstleister) ein Notbetrieb der Geschäftsprozesse gewährleistet werden kann.
Ein GFP muss mindestens folgende Inhalte berücksichtigen:
Phasen eines Notfalls
- Alarmierung, Eskalation, Kommunikation
- Einleitung des Notbetriebs
- Durchführung des Notbetriebs
- Rückführung in den Normalbetrieb (Wiederanlauf)
sowie die Notfallszenarien
- Ausfall von Gebäuden/Arbeitsplätzen
- Ausfall von Personal
- Ausfall von IT-Systemen
- Ausfall technischer Anlagen (Fertigung/Betrieb)
- Ausfall von Dienstleistern
- Ausfall von Informationen (Daten oder Dokumente)
Wiederanlaufplan
Der Wiederanlaufplan ergänzt den Geschäftsfortführungsplan im operativen Bereich. Der Wiederanlaufplan beschreibt konkret für einzelne Ressourcen, was in welcher Reihenfolge zu tun ist, um nach einem Ausfall die Wiederaufnahme und Fortführung der betrieblichen Funktion zu ermöglichen. Wiederanlaufpläne sind für jede einzelne kritische Ressource zu erstellen.
Übungen und Tests
Es werden regelmäßig Übungen und Tests durchgeführt, um sicherzustellen, dass das Notfallkonzept funktioniert und alle Beteiligten wissen, was im Notfall zu tun ist.
- Für alle kritischen Geschäftsprozesse werden jährlich theoretische Tests durchgeführt (Überprüfung der Notfallpläne auf Aktualität und Plausibilität).
- Alle zwei Jahre und nach wesentlichen Änderungen finden praktische Tests statt, bei denen alle wesentlichen Funktionalitäten praktisch durchgespielt werden.
Dokumentation und Revision
Die Vorgaben dieser Richtlinie und der nachgeordneten Dokumente (Notfallpläne) werden vom Notfallbeauftragten jährlich sowie bei wesentlichen Änderungen der Geschäftsprozesse auf Einhaltung und Aktualität überprüft.
Kontinuierliche Verbesserung
Der Notfallbeauftragte überprüft kontinuierlich die Angemessenheit und Wirksamkeit des Notfallmanagements. Er identifiziert Korrektur- und Verbesserungsmaßnahmen und passt das Notfallmanagement an.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
