Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Größe: px

Ab Seite anzeigen:

Download "Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl"

Reiner Kurzmann
vor 8 Jahren
Abrufe

1 Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

2 AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen BIA & RA Vorgehensweise und Beispiel Vergleich BSI vs ISO Aktuelle Trends Fragen & Antworten Seite 2

3 Business Continuity Management System BCMS Notfallvorsorge Notfallmanagement / Notfallbewältigung BCM Organisation Business Impact Analyse Krisenstabsleitfaden Wiederanlauf Schulungen und Sensibilisierung Risikoanalyse Geschäftfortführung Wiederherstellung Tests und Übungen Abstimmen der Notfallkonzepte mit Dienstleistern Alarmierungsketten Krisenkommunikation Allgemeine Definitionen BCM Guideline Seite 3

Sensibilisierung Risikoanalyse Geschäftfortführung Wiederherstellung Tests und Übungen Abstimmen der

4 Regulatorische und gesetzliche Anforderungen Österreich: GmbH Gesetz 30g (4a) - Risikomanagement Aktiengesetz 91 (4a) - Risikomanagement Leitfaden operationelles Risiko der OeNB Grundsatze des ordnungsgemäßen Managements von operationellen Risiken Publikationen aus Basel II / III: u.a. High Level Principles for Business Continuity (2006) Versicherungsaufsichtsgesetz u.a.: 228 (Notfallpläne für Krisensituationen) Deutschland: KWG 25 (a, b, c) AktG 91(2) Pflichten GF, operativ delegierbar jedoch unveräußerliche Accountability Technisch-organisatorische Ausstattung Notfallmanagement, insbes. ivm Risikotragfähigkeit und Verantwortung Früherkennungssystem für bestandsgefährdende Risiken («KonTraG») MA Risk AT 7.2 und 7.3, zusätzlich AT 9 (konkretisiert KWG 25b) Seite 4

a.: 228 (Notfallpläne für Krisensituationen) Deutschland: KWG 25 (a, b, c) AktG 91(2) Pflichten GF, operativ delegierbar jedoch unveräußerliche Accountability Technisch-organisatorische

5 Beispielhaftes Projektvorgehen Business Impact Analyse Geschäftsfortführungspläne Tests und Übungen Risikoanalyse Wiederherstellungs- und Wiederanlaufpläne Abstimmen der Notfallkonzepte mit den Dienstleistern BCM Organisationsstruktur BCM Guideline Krisenstabsleitfaden Krisenkommunikation Training und Awareness Alarmierungsketten rund 1 Jahr Seite 5

Notfallkonzepte mit den Dienstleistern BCM Organisationsstruktur BCM Guideline

6 Risk Factor (RA) Vorgehensweise BIA und RA (BSI 100-4) Prozess 1 Prozess 2 Ressourcen: Ressourcen IT Applikation A IT Applikation A Bürogebäude IT Applikation B Personal A Personal B Prozess 3 Ressourcen IT Applikation B Bürogebäude Business Impact Analyse auf Basis des Prozesses bei Ausfall einer kritischen Ressource. Risikoanalyse auf Basis der Ressourcen die in einem zeitkritischen Prozess verwendet werden. P5 P8 P2 P3 P6 P5 Impact (BIA) Seite 6

Bürogebäude Business Impact Analyse auf Basis des Prozesses bei Ausfall einer kritischen Ressource.

7 Beispielhafte BIA und RA Risikoanalyse Business Impact Analyse Seite 7

Beispiel BIA und RA Prozesse Geschäftsfortführungspläne Für kritische Prozesse werden im Zuge des nächsten Arbeitspakets Geschäftsfortführungspläne erstellt.

Bei Abhängigkeiten zu anderen Prozessen (= sekundäre kritische Prozesse) werden diese Prozesse der Erstellung der Pläne berücksichtigt.

8 Beispiel BIA und RA Prozesse Geschäftsfortführungspläne Für kritische Prozesse werden im Zuge des nächsten Arbeitspakets Geschäftsfortführungspläne erstellt. Sie beschreiben Workarounds, um bei Ausfall einer Ressource (z.b. IT- System) den Geschäftsprozess weiterhin durchführen zu können Notbetrieb. Bei Abhängigkeiten zu anderen Prozessen (= sekundäre kritische Prozesse) werden diese Prozesse der Erstellung der Pläne berücksichtigt. BIA & RA Ressourcen Wiederanlaufpläne / Wiederherstellungspläne Für kritische Ressourcen werden Wiederanlaufpläne / Wiederherstellungspläne geschrieben Sie beschreiben notwendige Schritte, um ausgefallene Ressourcen wiederherzustellen Rückführung zum Not- / Normalbetrieb Bei Abhängigkeiten zu anderen Ressourcen werden diese Ressourcen (= sekundäre kritische Ressourcen) bei der Erstellung der Pläne berücksichtigt Erstellung u.a. in Zusammenarbeit mit den Providern Seite 8

9 Abgleich ISO vs BSI Einführung BCM durch Top Level Management Übernahme der Verantwortung Definition BCM Organisation Entwicklung Kontinuitätsstrategie Notfallvorsorgekonzept Notfallbewältigungskonzept Krisenkommunikationskonzept Aufbau (Plan) Initiierung des Notfallmanagements Kontinuitätsplanung Einführung BCM durch Top Level Management Übernahme der Verantwortung Definition BCM Organisation Business Impact Analyse Risikoanalyse Entwicklung Kontinuitätsstrategie Notfallvorsorgekonzept Business Impact Analyse Risikoanalyse Geschäftsfortführungspläne Wiederanlaufpläne Test- und Übungsplan Test- und Übungskonzept Audit Self assessment Training und Awareness Einführung / Betrieb (Do) Überwachen / Review (Check) Notfallbewältigung Tests / Übungen Notfallbewältigungskonzept Geschäftsfortführungspläne Wiederanlaufpläne Krisenkommunikationskonzept Test- und Übungsplan Test- und Übungskonzept Übungsdrehbuch Administration und Verbesserung des Business Continuity Management Systems Administrieren / Verbessern (Act) Verbesserung des Prozesses Audit Self assessment Training und awareness ISO22301 BSI100-4 Seite 9

Definition BCM Organisation Business Impact Analyse Risikoanalyse Entwicklung Kontinuitätsstrategie Notfallvorsorgekonzept Business Impact Analyse Risikoanalyse Geschäftsfortführungspläne

10 Aktuelle Trends Erweiterung der Risikoanalyse auf Geschäftsrisiken / Prozessrisiken Integration mehrerer Management Systeme: Datenschutz-Management System Informationssicherheits-Management System Anti Bribery Management System Service Management Quality Management GRC / IKS SMS BCMS MGMT System QSMS 9001 ISMS DSMS Seite 10

Informationssicherheits-Management System Anti Bribery Management System Service

11 Fragen & Antworten The better the question. The better the answer. The better the world works.

Ähnliche Dokumente

BCM Business Continuity Management

BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.