Business Continuity Policy

Transkript

1 Business Continuity Policy Document Name EMIR* Article RTS** Article Document Class Business Continuity Policy Art 34, Art Approved by Management *EMIR = Regulation (EU) 648/2012, ** RTS = *Regulation (EU) 153/2013 Public Version / Subset of Original CCP.A Internal Version CCP.A Business Continuity Policy Version 3.0 / Seite 1/8

2 Document Information Document Owner CTO Clemens Klein Document Approver 1 CRO Kalina Jarova-Müller Document Approver 2 GM Ludwig Nießen Document Approver 3 GM Wolfgang Aubrunner Document Review Cycle: jährlich Date executed By Results Change Log 1 Version Date Change Description V Ersterstellung im Zuge der Beantragung der Zulassung als zentrale Gegenpartei V Überarbeitung im Zuge des Verbesserungsauftrag V Komplettüberarbeitung: Geschäftskritische Situationen, Organisation, NF-Handbücher, Krisenhandbücher, kritische Systeme und Prozesse, Infrastruktur und Notfallarbeitsplätze, Datensicherheit, BIA, BCP für ausgelagerte Systeme, Tests und Übungen V Umfassende Überarbeitung aller Bereiche, Konkretisierung der Strategie, Vorgaben zu vertraglichen Vereinbarungen zur Risikovermeidung/-minderung, Schärfung Definitionen Störung, Notfall, Krise, Verweise auf Risk Management Framework, IKS und Schadensfalldatenbank, Ausarbeiten der Rollen, Verantwortlichkeiten und Berichterstattung, kontinuierlicher Verbesserungsprozess, Auslagern der Notfallplanung für kritische Situationen in das Operations-Handbuch und das CCP.A NF-HB, Detaillierungen zu vorbeugenden Maßnahmen, Aufnehmen von Begriffsdefinition und Dokumentverweis 1 Der Change Log wird nur für final gültige Versionen geführt; CCP.A-interne Abstimmungen im Erstellungs- bzw. Änderungsprozess werden nicht geführt CCP.A Business Continuity Policy Version 3.0 / Seite 2/8

3 Inhalt 1. Einleitung Strategie und Grundsätze Definitionen Kontinuierlicher Verbesserungsprozess Rollen, Verantwortlichkeiten und Berichterstattung Identifikation kritischer Prozesse, benötigter Systeme und Auswirkungen von Ausfällen Risk Assessment Business Impact Analyse (BIA) Vorbeugende Maßnahmen zur Sicherung der Fortführung des Geschäftsbetriebs Vorgaben an den Betrieb des Kassamarkt Clearingsystems Anforderungen an die Applikations-Software Weiterentwicklung der Applikationssoftware Incident-Management Hochverfügbarer Rechenzentrumsbetrieb Zertifikate Audits Vorgaben an das Operations-Team Vorgaben an Data Warehouse EXODAT Vorgaben an die Arbeitsplatz-Infrastruktur Information Security Policy Interne Kontrollen und Business Continuity Tests Akzeptierte Risiken Planung der Bewältigung geschäftskritischer Situationen (Business Contingency) Geschäftskritische Situationen Auflösung der CCP.A Notfallhandbücher Details Notfallhandbuch CCP.A Details Notfallhandbuch Serviceprovider Krisenhandbuch Nachbereitende Maßnahmen, Risikoüberwachung SLA Reviews Incident Dokumentation Schadensfall Datenbank... CCP.A Business Continuity Policy Version 3.0 / Seite 3/8

4 Begriffserklärungen Begriff Business Continuity Business Contingency Incident (Störung) Notfall Krise Katastrophe Risk Assessment Business Impact Analyse (BIA) Geschäftskritische Prozessschritte Wesentliche IT-Systeme Kritikalitätsstufe Internes Kontrollsystem (IKS) IT-Controls Policy mitarbeiterkonzentriert Beschreibung Geschäftsfortführung allgemein, umfasst die Risikoidentifikation, vorbeugende Risikominderungsmaßnahmen, die Planung von interventionistischen Maßnahmen bei schlagend werden eines Risikos und nachbereitende Maßnahmen Maßnahmen zur Geschäftsfortführung, wenn bereits ein Notfall, eine Krise oder Katastrophe eingetreten ist kurzzeitiger Ausfall oder Beeinträchtigung von Prozessen oder Ressourcen mit keinem oder geringem Schaden drohender oder eingetretener, länger als die maximale Wiederherstellungszeit laut BIA andauernder Ausfall von Prozessen mit drohendem oder eingetretenem relevanter finanziellen Schaden (> 500 ) einmaliges Ereignis von begrenzter Beeinflussbarkeit mit ambivalentem Ausgang das von einer Öffentlichkeit wahrgenommen wird mit drohendem oder eingetretenem existenzbedrohenden Schaden Sonderfall der Krise. Eine Katastrophe ist ein räumlich und zeitlich nicht begrenztes Großschadensereignis das nicht nur die CCP.A betrifft (beispielsweise eine Naturkatastrophe) Analyse zur Feststellung der wesentlichen Risiken, denen die CCP.A ausgesetzt ist. Dies umfasst neben dem Marktrisiko, Liquiditätsrisiko und dergleichen auch das operationale Risiko. Analyse zur Feststellung der Auswirkungen eines Ausfalls eines Prozessschrittes im Tagesablauf des Kassamarkt Clearings auf die Abwicklung in der Verpflichtung gegenüber den Teilnehmern und auf das finanzielle Risiko der CCP.A. Festgestellt werden weiters die benötigten IT-Systeme, die maximalen Wiederherstellungszeiten, die Serviceprovider und mögliche Workarounds bei Ausfall der IT-Systeme. Alle in der BIA mit Level 3 bewerteten Prozessschritte sind als geschäftsund zeitkritisch zu betrachten. Die in der BIA definierten IT-Systeme, die für die geschäftskritischen Prozessschritte benötigt werden Angabe der Auswirkung eines Incidents auf die Geschäftsabwicklung auf einer ordinalen Skala die Gesamtheit aller Maßnahmen (Risikoerhebungen, Kontrollen in Geschäftsprozessen und IT, Dokumentationen, Tests und Berichte), die dazu beitragen, dass die Ordnungsmäßigkeit der Finanzberichterstattung abgesichert wird und Fehler verhindert werden präventive, interne, auf IT-Prozesse und IT-Infrastruktur bezogene Kontrollen um potentielle Fehler zu entdecken und zu korrigieren. Diese umfassen Business Continuity Tests ebenso wie weitere IT-bezogene Kontrollen wie beispielsweise die Überprüfung der Benutzerzugriffsberechtigungen oder der Aktualität von Informationssicherheitsvorgaben. Vorgaben, welche sich die CCP.A selbst auferlegt und von dieser selbst einzuhalten sowie umzusetzen sind. Die Dokumentation der Umsetzung findet sich nicht in der Policy. Eine für den Mitarbeiter einfach verständliche und umsetzbare Beschreibung. CCP.A Business Continuity Policy Version 3.0 / Seite 4/8

5 Dokumentverweis Dokument Risk Management Framework IS-Policy (IT-Sicherheitspolitik) Schadensfall Datenbank Policy (SFDB Policy) IKS-Policy CCP.A Notfall Handbuch CCP.A Krisenhandbuch OeKB KMS Notfall Handbuch OeKB INF Notfallhandbuch OeKB Krisenhandbuch (Kassa- Operations-Handbuch markt) Beschreibung Vorgaben zur Identifikation, Management, Überwachung und Berichterstattung der Risiken welchen die CCP.A ausgesetzt ist. Die Verantwortung für alle Arten von Risiken trägt die Geschäftsführung. Vorgaben zur Informationssicherheit zur Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und informationsverarbeitenden Systemen Vorgaben zu Dokumentation und Berichterstattung von Schäden, u.a. zur Ableitung eines genaueren Bilds des Risikoprofils und zur Erkennung von Möglichkeiten zur Schadensprävention Vorgaben zu Methoden und Aufbau- und Ablauforganisation des internen Kontrollsystems Handlungsanleitungen zum Management von Notfällen für CCP.A Handlungsanleitungen zum Management von Krisen und Katastrophen für CCP.A Handlungsanleitung zum Management von Notfällen für OeKB-KMS Handlungsanleitung zum Management von Notfällen für OeKB-INF Handlungsanleitungen zum Management von Krisen und Katastrophen für OeKB Handlungsanleitung zur Durchführung aller manuellen Prozessschritte im Rahmen der täglichen Abwicklung des Kassamarkt Clearings mit Unterstützung des Kassamarkt Clearingsystem für das Operations-Team CCP.A Business Continuity Policy Version 3.0 / Seite 5/8

6 1. Einleitung Als zentrale Gegenpartei tritt die CCP.A in alle an der Wiener Börse geschlossenen CCPfähigen Börsegeschäfte ein und übernimmt die zeitgerechte Auf- und Verrechnung von Forderungen und Verbindlichkeiten im Zahlungsverkehr sowie aus Wertpapierlieferungen und -übernahmen (Clearing). Das damit verbunde Erfüllungs- und Ausfallsrisiko wird von der CCP.A getragen und damit trägt diese zur Sicherung der Stabilität des Finanzmarktes bei. Eine nicht ordnungsgemäße Erbringung der Dienstleistungen durch CCP.A ist als kritisch für den Finanzmarkt einzustufen. 2. Strategie und Grundsätze Sie legt die Vorgaben und Richtlinien fest, die Beschreibung der konkreten Umsetzung erfolgt in eigenen Dokumenten, wie beispielsweise in den Notfall-Handbüchern, Krisenhandbüchern, Operations-Handbuch, Verträgen und Service Levels mit Serviceprovidern, Business Impact Analyse usw. Im Bewusstsein ihrer Verantwortung als Infrastruktur für den Finanzmarkt legt die CCP.A zur möglichst unterbrechungsfreien Fortführung ihres Geschäftsbetriebs in geschäftskritischen Situationen, sowie zur Gewährleistung der kontinuierlichen EMIR-Compliance 2 eine Business Continuity Policy (BCP) fest. Ziel ist es, organisatorische, prozessuale, technische und personelle Maßnahmen vorzusehen, sodass einerseits ein ordnungsgemäßes Erbringen von Clearing- als auch Risiko Management-Dienstleistungen bestmöglich unterstützt werden und andererseits bei schlagend werden von Risiken die Fortführung des Kerngeschäfts, die rechtzeitige Wiederherstellung der benötigten IT-Systeme und die Erfüllung der Pflichten der CCP.A gewährleistet werden. Diese Maßnahmen umfassen: Vorbeugende Maßnahmen (Vorgaben an Serviceprovider und IT-Systeme, IS-Policy, internes Kontrollsystem inkl. Business Continuity Tests in den IT-Controls) Planung der Bewältigung (Handlungsanleitungen im Not-, Krisen oder Katastrophenfall (Contingency Planung)) Nachbereitende Maßnahmen und Risikoüberwachung (SLA Reviews, Incident Dokumentation, Schadensfall-Datenbank, Integration der Erkenntnisse aus Vorkommnissen in die vorbeugenden Maßnahmen und Bewältigungsmaßnahmen) Berücksichtigt werden alle wesentlichen Geschäftsbereiche 3 und Stakeholder. Dies umfasst die Clearingteilnehmer ebenso wie die Serviceprovider der CCP.A (OeKB, LSEG, WBAG) sowie abhängige Infrastrukturen des Kapitalmarktes (WBAG, CSD.A, ). Da der Betrieb und das Operating des Kassamarkt Clearings und weiterer unterstützende Geschäftstätigkeiten (u.a. Rechnungswesen/Zahlungsverkehr, Bonitätsprüfung, IT-Arbeitsplätze) durch Serviceprovider erbracht werden, sind klare Vorgaben an diese zur ausfallsicheren Ausgestaltung der 2 Alle Vorgaben werden in Übereinstimmung mit Artikel 34 EMIR - Fortführung des Geschäftsbetriebs - in Verbindung mit den Artikel RTS definiert. 3 Identifikation und Definition der wesentlichen Geschäftsbereiche siehe Kapitel Fehler! Verweisquelle konnte icht gefunden werden. Fehler! Verweisquelle konnte nicht gefunden werden. CCP.A Business Continuity Policy Version 3.0 / Seite 6/8

7 Systeme und Prozesse, zum Test der Ausfallssicherheit und des Wiederanlaufs, zur Planung der Aufgaben bei Störungen und zur Störungs-Dokumentation von besonderer Relevanz. Um die Einhaltung aller Vorgaben zu gewährleisten ist die BCP integraler Bestandteil im Vertrag zum Betrieb, Wartung und Operations des Kassamarkt Clearings. Für alle wesentlichen Funktionen werden maximale Wiederherstellungszeiten, Workarounds und klare Vorgaben zur Wiederherstellung definiert, um auch in außergewöhnlichen Situationen eine zeitnahe Betriebswiederaufnahme und Erfüllung der Pflichten der CCP.A zu gewährleisten. Bei der Festlegung der Wiederherstellungszeiten je Funktion wird auch die potentielle Gesamtauswirkung auf die Markteffizienz berücksichtigt. Für alle wesentlichen Funktionen wird als maximal tolerierbare Zeitdauer der Nicht-Verfügbarkeit 2 Stunden festgelegt. Die Abwicklung von Wertpapier- und Geldtransaktionen hat unter allen Umständen fristgerecht zu erfolgen. Um die Erreichung der Unternehmensziele der CCP.A (Clearingservices zu wettbewerbsfähigen Preisen einerseits und hohe Abwicklungssicherheit und Effizienz andererseits) zu unterstützen ist es das Ziel der BCP ein hohes Sicherheitsniveau unter einem technisch und wirtschaftlich angemessenen Einsatz von Mitteln zu erreichen. 2.1 Definitionen Die CCP.A unterscheidet zwischen einfachen Störungen, Notfällen, Krisen und Katastrophen in Anlehnung an BSI-Standard wie folgt: Einfache Störung (Incident): Kurzzeitiger Ausfall oder Beeinträchtigung von Prozessen oder Ressourcen Kein oder geringer Schaden Kann in geschäftsunkritischer Zeit behoben oder umgangen werden kann. Die maximale Wiederherstellungszeit des Prozesses laut BIA wird nicht überschritten. Die Behandlung ist Teil der üblichen Störungsbehebung und in den Arbeitsanleitungen dokumentiert Notfall: drohender oder eingetretener, länger als die maximale Wiederherstellungszeit laut BIA andauernder Ausfall von Prozessen drohender oder eingetretener relevanter finanzieller Schaden Die Behandlung verlangt eine besondere Notfallorganisation die im Notfallhandbuch beschrieben wird Krise: einmaliges Ereignis von begrenzter Beeinflussbarkeit mit ambivalentem Ausgang das von einer Öffentlichkeit wahrgenommen wird drohender oder eingetretener existenzieller Schaden Ein Sonderfall der Krise ist eine Katastrophe. Eine Katastrophe ist ein räumlich und zeitlich nicht begrenztes Großschadensereignis das nicht nur die CCP.A betrifft (beispielsweise eine Naturkatastrophe). Bei Katastrophen muss zusätzlich zur Behandlung 4 Standards zum Notfallmanagement vom deutschen Bundesamt für Sicherheit in der Informationstechnik CCP.A Business Continuity Policy Version 3.0 / Seite 7/8

8 der internen Krise auch die Kommunikation und Zusammenarbeit mit externen Hilfsorganisationen beachtet werden. Beispielhafte Erläuterungen zur Klassifizierung ob eine Störung, ein Notfall oder eine Krise vorliegt: Keine Störung wird beispielsweise durch den Ausfall einer redundanten IT-Komponente oder durch den Ausfall der Stromversorgung eines notstromversorgten Rechenzentrums verursacht. Prozesse und Funktionen der CCP.A werden nicht beeinträchtigt. Eine einfache Störung ist beispielsweise eine Verzögerung des Settlement-Laufs, bei welcher damit gerechnet wir, dass die Verzögerung die maximale Wiederherstellungszeit von 2h nicht überschritten wird. Droht die Verzögerung die maximale Wiederherstellungszeit zu überschreiten, oder wurde diese überschritten tritt ein Notfall auf. Kann der Settlement-Lauf auch nach mehreren Stunden nicht durchgeführt werden, da auch ein (manueller) Workaround nicht möglich ist, (beispielsweise weil ein Großteil der Mitarbeiter durch eine Naturkatastrophe nicht verfügbar sind) tritt eine Krise auf. 2.2 Kontinuierlicher Verbesserungsprozess Die vorliegende Policy unterliegt einem jährlichen Review 5. Dabei sind sowohl die Aktualität, Qualität, Vollständigkeit und Relevanz der Vorgaben in der Policy selbst, als auch die konkreten Handlungsanleitungen in den Operations-, Notfall-, und Krisen-Handbüchern zu prüfen. Zusätzlich ist die Business Continuity Strategie und die Operations-, Notfall-, und Krisen-Handbüchern nach jedem Schadensfall und nach jeder Krise zu prüfen um etwaige erforderliche Verbesserungen zu erkennen und durchzuführen. Dabei ist zu analysieren wie die Situation bewältigt wurde, gegebenenfalls sind Beiträge von Clearingmitgliedern und anderen Interessensvertretern miteinzubeziehen um die am besten geeignete Strategie zur Wiederherstellung aller wesentlichen Funktionen zu ermitteln. Die Business Impact Analyse ist ebenfalls jährlich und zusätzlich ad-hoc nach besonderen Ereignissen oder organisatorischen Änderungen zu prüfen und zu aktualisieren. 6 Bei der Aktualisierung sind alle relevanten Entwicklungen, wie Marktentwicklungen und technologische Neuerungen zu berücksichtigen. In den Reviews sind die Ergebnisse der Business Continuity Tests, der Incident Dokumentation, der Schadensfall-Datenbank und der Prüfung der Wirksamkeit des internen Kontrollsystems einzubeziehen. Dadurch werden eine umfassende Beobachtung der Risikosituation und das Erkennen von Risikominderungsmöglichkeiten gewährleistet. Die Durchführung aller Reviews ist in den IT-Controls, im Rahmen des internen Kontrollsystems zu dokumentieren. Erkannte, notwendige Anpassungen und Erweiterungen werden vom Document Owner erfasst und von den Document Approvern freigegeben. 5 Artikel 21 und 22 RTS 6 Artikel 18/4 RTS CCP.A Business Continuity Policy Version 3.0 / Seite 8/8