(IT-) Notfallmanagement gemäß BSI-Standard und ISO 22301

Transkript

1 (IT-) Notfallmanagement gemäß BSI-Standard und ISO Smart Compliance Solutions

2 Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke) Gleichzeitiger Ausfall von redundanten Klimaanlagen (Autozulieferer) Ausfall der Speichersysteme während der Wartung (Rechenzentrum) Bombendrohung (Körperschaft des öffentlichen Rechts) 2

3 Agenda 1. Definition und Motivation 2. Normen und Standards 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 3

4 Notfallmanagement Definition: Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren (*) Initiierung des Notfallmanagements Konzeption des Notfallmanagements Umsetzung Notfallmanagements Notfallbewältigung Tests und Übungen (*) Quelle: BSI Aufrechterhaltung und Verbesserung 4

5 Notfallmanagement Zusammenfassung des Notfallmanagementprozesses: Initiierung des Notfallmanagements Konzeption des Notfallmanagements Umsetzung Notfallmanagements Notfallbewältigung Tests und Übungen Aufrechterhaltung und Verbesserung Leitlinie und Verantwortlichkeiten Notfallorganisation (Team-Bildung) BIA RIA (BIS 100-3, ISO 27005) Soll-Ist und Kosten-Nutzen-Analyse Planung, Budgetierung, Ressourcen Kontrolle der Umsetzung Meldung, Alarmierung und Eskalation Geschäftsfortführung und Wiederanlauf Funktionstests, Simulation, Vollübung Übungshandbuch Interne Audits Externe Audits 5

6 Notfallmanagement Begriffe: Begriffe Notfallmanagement, Business Continuity Management und betriebliches Kontinuitätsmanagement sind gleichzusetzen (*) IT-Notfallmanagement ist ein Teil des Notfallmanagements (*) Notfallmanagement IT-Notfallmanagement (*) Quelle: BSI 6

7 1. Definition und Motivation Gesetze, Verträge, Prüfungen: Gesetze Branchenabhängige (KWG, SOLAS, KTA, EnWG etc.) Branchenunabhängige (AktG, KonTraG, MaRisketc.) Verträge mit den Geschäftspartnern (Kunden und Lieferanten) Prüfungsstandards (IDW PS 330, IDW PS 951, ISAE 3402 etc.) Umsetzung der IT-Sicherheit nach BSI-Standard und ISO Umsetzung der ISO oder OHSAS IT-Sicherheitsgesetz (Sommer 2015) Sorgfaltspflichten (gesunder Menschenverstand) Haftung 7

9 2. Normen und Standards Normen und Standards: Unternehmensorganisation DIN EN ISO 9001 und/oder IT-Verbund IT-Dokumentation (z.b. IT-Verbund nach BSI-Standard 100-2) Strukturierte IT-Dokumentation Notfallmanagement BSI-Standard und BSI Umsetzungsrahmenwerk Notfallmanagement (Februar 2013) ISO (seit Sommer 2012) BCI BCM Good Practice Guidelines 2013 (März 2013) ISO Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 9

10 2. Normen und Standards Standards und Normen im Vergleich: BSI ISO BCI GPG 2013 BSI-Standard ISO BCI-GPG 2013 Leitlinie Leitlinie Leitlinie Geltungsbereich Scope Scope Notfall-Organisation Notfall-Organisation Notfall-Organisation Business Impact Analyse Business Impact Analyse Business Impact Analyse Risikoanalyse Risikoanalyse Risikoanalyse Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Tests und Übungen Tests und Übungen Tests und Übungen. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 10

11 2. Normen und Standards Normen und Standards (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 11

13 4. Aufbauorganisation im Notfallmanagement Initiierung und Leitlinie: Initiierung, Steuerung und Kontrolle durch die Geschäftsleitung Leitlinie Rahmenbedingungen für Notfallmanagement Geltungsbereich Ziel und Zweck Verantwortlichkeiten Notfallbeauftragte Notfallteams Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Meilenstein - Unternehmensorganisation 13

14 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation: Notfallvorsorgeorganisation Notfallbeauftragte Notfallkoordinatoren (optional) Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Notfallbewältigung Krisen- und Notfallstab Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 14

15 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 15

16 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 2: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 16

18 5. Business Impact Analyse [BIA] Business Impact Analyse - Prozess: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 18

19 5. Notfallmanagement (BIA-Prozess) Welche Informationen werden für die BIA benötigt? Aufbauorganisation OU1 OU2 OUn ISO 9001 o. andere Ablauforganisation P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste IT-Dokumentation Server, Arbeitsplätze, Netzwerk Daten 19

20 5. Business Impact Analyse [BIA] Methoden der Auswahl der Bereiche und Prozesse: Alle Prozesse und organisatorische Einheiten aus dem Geltungsbereich Betriebswirtschaftliche Bedeutung der Prozesse Wesentlichkeitsgrenze (Nutzung der GuV- / Bilanzpositionen) ABC-Analyse (Betrachtung der Wertschöpfungskette) Gruppierung der Leistungen bzw. Produkte in A-B-C Kategorie Kleine Anzahl der Produkte liefert den wesentlichen Beitrag (Paretoprinzip) Anwendung oder Dienst Vielzahl der Prozesse werden durch wenige aber sehr kritische Anwendungen (ERP) realisiert. Compliance Berücksichtigung von Verträgen mit Geschäftspartnern Berücksichtigung von Gesetzen, d.h. auch Prozesse ohne besonderer wirtschaftlichen Bedeutung müssen in die BIA einbezogen werden 20

21 5. Business Impact Analyse [BIA] Schadensanalyse: Strukturierte Klassifizierung und Bewertung eines möglichen Schadens Berücksichtigung der Bewertungsperiode Schadenskategorien niedrig normal hoch sehr hoch Schadensszenarien Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Beeinträchtigung der persönlichen Unversehrtheit Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 21

22 5. Business Impact Analyse [BIA] Wiederanlaufparameter (Kritikalität): Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 22

23 5. Business Impact Analyse [BIA] Wiederanlaufparameter: MTA := Maximal tolerierbare Ausfallzeit WAZ := Wiederanlaufzeit Notbetriebszeit Wiederanlaufniveau Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 23

24 5. Business Impact Analyse [BIA] Ressourcen für Normal- und Notbetrieb: IT-Dokumentation als Voraussetzung Ressource Normalbetrieb Notbetrieb Mitarbeiter 25 3 Prozess Rechnungswesen Kreditoren und Debitoren Anwendung SAP SAP Server /BS /Dienste Server-Farm (Cluster) 1x HP DL 380 Daten ERP DB (vollständig) ERP DB (vollständig) Arbeitsplätze 25 3 Räume RZ Ausweich-Rechenzentrum Gebäude Hauptgebäude Provider Dienstleister SAP Dienstleister SAP Dienstleister. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 24

25 5. Business Impact Analyse [BIA] Berücksichtigung von Abhängigkeiten: = Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 25

26 5. Business Impact Analyse [BIA] Das Ergebnis der Business Impact Analyse: P 1 P 2 P 3 P 4 P 5 Pn Unternehmensprozesse = Fachabteilung IT-Abteilung P 1 P 5 P 12 kritische Prozesse Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 26

28 6. Risikoanalyse [RIA] Risikoanalyse für kritische Prozesse und Ressourcen: Die Risikoanalyse dient die Gefährdungen zu identifizieren, die eine Unterbrechung der Prozesse verursachen können, und die damit verbundenen Risiken zu bewerten (*) Einbeziehung des betrieblichen Risikomanagements Risikoanalyse nur für kritische Prozesse (siehe BIA) Standards z.b. ISO 31000, ISO oder BSI-Standard Risikoidentifikation (z.b. BSI B0 46 Elementare Gefährdungen) Risikobewertung = JA oder NEIN Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung (*) Quelle: BSI-Standard

29 6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 3 Risikoanalyse 29

30 6. Risikoanalyse [RIA] - Beispiel Schaden sehr groß groß mittel klein R 1 R 2 R 3 R 4 Risiken 30

31 6. Risikoanalyse [RIA] - Beispiel Schaden sehr groß Risikoakzeptanz Risikotransfer groß mittel klein Risikoreduktion Risikovermeidung Risikoreduktion Risikoakzeptanz R 1 R 2 R 3 R 4 Risiken 31

33 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kontinuitätsstrategie: Soll-Ist-Analyse (u.a. Wiederanlaufparameter) Lösung Kleine Lösung ( Cold-Standby ) Mittlere Lösung ( Warm-Standby ) Große Lösung ( Hot-Standby ) Kosten-Nutzen-Analyse Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung (Übernahme, Transfer, Vermeidung, Reduktion) Notfallvorsorgekonzept beschreibt die Umsetzung der Kontinuitätsstrategie Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 33

34 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kosten-Nutzen-Analyse: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 34

36 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Zu klären sind folgende Fragen: Ab wann geht die Störung in einen Notfall über? Wer entscheidet darüber? Alarmierung Sofortmaßnahmen Geschäftsfortführungspläne und Wiederanlaufpläne Notfallhandbuch Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 36

37 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 37

38 8. Ablauforganisation und Notfallhandbücher Alarmierung in der IT Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 38

39 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Ausführbares Ergebnis der Notfallvorsorge Einzige verbindliche Beschreibung aller Handlungen, Maßnahmen und Zuständigkeiten im Notfall Abfolge von Handlungen zur Behebung des Schadensereignisses Klar strukturiert Klar formuliert Jederzeit verfügbar und aktuell 39

40 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Papier vs. digitales Notfallhandbuch 2 1 Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 7 Notfallhandbücher 40

42 9. Tests und Übungen Test und Übung: Funktionsfähigkeit der Notfallvorsorgeplanung kann nur im Notfall selbst oder während der Tests und Übungen festgestellt werden Planung und Durchführung regelmäßig geplant Analysiert Kosten-Nutzen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 42

43 9. Tests und Übungen Test und Übung: Prüfung der definierten Wiederanlaufparameter Wiederanlaufzeit und -niveau Handlungsanweisungen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 43

45 10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Unternehmensorganisation, BIA, Risikoanalyse etc. z.b. Telefonlisten, externe Ansprechpartner etc. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 45

46 Fachbuch Praxisleitfaden: (IT) Notfallmanagement im Unternehmen und in der Behörde Standards Projektmethodik Geltungsbereich Business Impact Analyse Risikoanalyse Kosten-Nutzen-Analyse Geschäftsfortführungspläne Wiederanlaufpläne Notfallhandbücher Monitoring (P-D-C-A) Dokumentation ISBN oder 46

47 Vielen Dank für Ihre Aufmerksamkeit Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Schauenburgerstrasse 116 D Kiel Ein Unternehmen der AKRA Gruppe