Vom Notfall zum Normalbetrieb, rasch & ohne Krise

Größe: px

Ab Seite anzeigen:

Download "Vom Notfall zum Normalbetrieb, rasch & ohne Krise"

Lieselotte Schulz
vor 6 Jahren
Abrufe

1 Vom Notfall zum Normalbetrieb, rasch & ohne Krise Friedrich Koller, Bundesrechenzentrum GmbH Der Weg zum Zertifikat nach ISO die gewonnenen Erfahrungen der Nutzen für das Unternehmen

2 Friedrich Koller Notfall- und Krisenmanagement Stabsabteilung Sicherheit und Qualität Bundesrechenzentrum GmbH Hintere Zollamtsstraße 4, 1030 Wien

des Landes. Nr. 1 Verwaltungs-Rechenzentrum 1.182 Mitarbeiter/innen 60 zertifizierte Projektmanager/innen 242,7 Mio.

3 Das BRZ ist der führende IT Service Provider im Public Sector in Österreich Als marktführender E-Government-Partner der österreichischen Verwaltung entwickeln und betreiben wir mehr als 400 IT-Lösungen und verfügen über eines der größten Rechenzentren des Landes. Nr. 1 Verwaltungs-Rechenzentrum Mitarbeiter/innen 60 zertifizierte Projektmanager/innen 242,7 Mio. Umsatz pro Jahr 400 E-Government- Anwendungen Server in Betrieb Terabyte gespeicherte Daten 80% Virtualisierungsgrad betreute IT-Arbeitsplätze *2016

4 Schritte zum Aufbau eines BCM-Systems 2010: Im Zuge der ersten Aktivitäten zu ITIL wurde Business Continuity Management als Handlungsfeld erkannt Bei BCM kein unmittelbarer Nutzen sichtbar bzw. darstellbar Kaum Akzeptanz des gewählten Top-Down-Ansatzes Mit Aufbau eines strukturierten Service Level Managements wurde BCM als Notwendigkeit zur geordneten Umsetzung neu zugeordnet Anfang 2011 entstanden erste Versionen von Prozess und Vorlagen

6 Trigger zum Aufbau eines NFKM-Systems Oktober 2011: Hackerangriff auf Server eines Kunden Vergleichsweise wenig kritische Daten (z.b. Newsletterabo) Daten der Verwaltungssysteme (z.b. Finanzdaten) zu keinem Zeitpunkt betroffen, aber Bundesrechenzentrum erstmalig mit Hackerangriff in den Medien Bundesrechenzentrum erstmalig negativ in den Medien!

7 Verstärkung der Aktivitäten Einrichtung eines geordneten Krisenmanagements Zusammenführung von einzelnen Aktivitäten in diversen Prozessen zu einem eigenen Prozess Ausarbeitung von Checklisten und Ablaufplänen, Vorlagen und Mustertexten für Krisenszenarien Erarbeitung von ersten Notfallplänen für die wichtigsten Services Vorerst deutlich auf Krisenmanagement orientiert

8 Begriffliche Abgrenzungen Krise: Medienwirksames Ereignis mit potentiell erheblichen Auswirkungen auf die BRZ und deren Kunden Notfall: Kritisches, aber nicht öffentlich bekanntes Ereignis mit potentiell erheblichen Auswirkungen auf die BRZ und deren Kunden Differenzierung der Prozesse und Vorlagen Anfänglich deutlich vorfallorientiert, Erweiterung auf gesamtheitliche Sicht und Vorsorge

9 Eskalationspyramide

10 Prozesse leben Rollen und Aufgaben zugeteilt Notfallpläne wurden erstellt Notfallübungen strukturiert geplant und durchgeführt Notfallräume eingerichtet und im Bedarfsfall verwendet Organisatorische Strukturen im Bedarfsfall errichtet und gelebt Schulungen durchführen (Prioritätenreihung!) Laufend Evaluierung durchgeführt und Verbesserungen umgesetzt

11 Überlegungen zur Zertifizierung Notfallbehandlung ist im Nachhinein oft Gegenstand von Kritik Orientierung an internationalen/bekannten Standards und Vorgaben daher empfehlenswert Im Mai 2012 mit ISO weltweit erster internationaler Standard zu Business Continuity Management Formelle Zertifizierung nach dieser Norm ist möglich Zertifizierung ist von Vorteil in Kommunikation gegenüber Kunden Gute Erweiterung zu den vorhandenen Managementsystemen und Zertifikaten nach ISO 9001, ISO und ISO war zu erwarten

12 Erfahrungen aus der Vorbereitung Deutliche Überschneidungen mit Anforderungen nach ISO und ISO 9001 Zahlreiche Anforderungen waren bereits gut abgedeckt, einige aber noch nicht oder nicht ausreichend berücksichtigt Einige Anforderungen sind in anderen Prozessen bereits enthalten Starke Orientierung auf Anwendungen der Kunden und technische Vorsorge und Notfallbehandlung Erstellung einer Landkarte mit weißen Flecken Gesunder Pragmatismus: Wir können nicht beim ersten Anlauf überall perfekt sein

13 Eckpfeiler (1) Grundsätzliche Vorgaben in einer obersten Leitlinie (Politik) Managementprozesses zum BCM definiert BCM-orientierte Organisation eingerichtet Zur Vorsorge (stehende Organisation) Zur Vorfallbehandlung (dynamisch eingerichtete Organisation) BCM-Anforderungen in andere Prozesse und Rollen integriert Detailbeschreibungen der Vorgaben und Abläufe (Notfallhandbuch) Vorlagen und Muster für alle wesentlichen Dokumente

14 Eckpfeiler (2) Für jedes Service soll ein Notfallplan vorhanden sein Bestandteil im Entwicklungsprozess Konzept für Ausweitung auf bestehende Services Jährliches Review aller Notfallpläne Jährliche Durchführung von Notfallübungen Zentrale Ablage aller Notfalldokumente Zentrale Stelle zur Überprüfung und Sicherstellung der vorgesehenen Aktivitäten

15 Eckpfeiler (3) Laufende Evaluierung und Anpassung (KVP) Nach Notfällen Nach Notfallübungen Vertrauensbildung nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige um sie zu bestrafen!

17 Nutzen des Zertifikates Objektiver Nachweis der Leistungsfähigkeit im Bereich BCM Einhaltung des Standes der Technik Externe, unabhängige, regelmäßige Überprüfung Vorbereitung auf Anforderungen bei Ausschreibungen Vertrauensbildung bei bestehenden Kunden, auch in Not- und Krisenfällen einen kompetenten Partner zu haben Nachweis für Neukunden, BRZ ist auch in Not- und Krisenfällen gut vorbereitet und aufgestellt Awareness im Unternehmen in allen Ebenen zu BCM verbessert Reduktion der Kritik im Nachhinein

18 Fragen

Ähnliche Dokumente

ISO Zertifizierung

ISO Zertifizierung SÜD IT AG Security & Mittelstand ISO 27001 Zertifizierung Motivation Inhalte Ablauf Aufwände Ergebnisse Dr. Stefan Krempl, ISO 27001 Lead-Auditor, Datenschutzbeauftragter krempl@sued-it.de Süd IT AG -