Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS :2006

Transkript

1 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS :2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter V1.0_2006 Seite 1 Agenda Die Definition des BCM Der Werdegang des BCM Das BCI Der Good Practice Guide Der Weg zum Standard Der Standard BS :2006 Andere Werkzeuge und Standards Ein Ausblick Die Zusammenfassung Seite 2

2 ? Was ist das? One of the problems always faced by Business Continuity has been the lack of a universally accepted definition. Seite 3 Definition is a holistic management process that identifies potential impacts that threaten an organisation and provides a framework for building resilience and the capability for an effective response which safeguards the interests of its key stakeholders, reputation, brand and value creating activities Seite 4

3 Werdegang Ansätze aus der Information Security: im BS7799 (später ISO 17799) mit der Problematik: Backup & Recovery Business Continuity Auswirkungen auf CISSP, ISACA (COBIT) und OCG (ITIL) Heute: eigene Management-Disziplin Seite 5 Das Business Continuity Institute Das BCI wurde 1994 gegründet und spezialisiert sich seitdem auf the art and science of business continuity management Das BCI hat über 4000 Mitglieder in fast 90 Ländern (CH: ca. 35) Seite 6

4 Die Good Practice Guidelines 2005 und Beschreibung des BCM-Prozesses Lebenszyklusmodell Das Unternehmen verstehen BCM Strategie BCM-Reaktion BCM-Kultur Uebung, Pflege und Audit Verankerung in der Unternehmung Seite 7 Der Weg zum Standard PAS56:2003 = Publicly Available Specification Vorläufer zum und Basis für den Standard Vernehmlassungsverfahren zum Standard im 2006: DPC (Draft for Public Comment) bis 31. August 2006 Grosse internationale Beteiligung Standard veröffentlicht am 30. November 2006 Seite 8

5 BS :2006 Code of Practice what should be done Seite 9 BS :2006 Übersicht Gliederung (Hauptkapitel) Scope and applicability Terms and definitions Overview of BCM BCM programme management Understanding the organisation Determining the BCM strategy Developing and implementing a BCM response Exercising, maintaining and reviewing BCM arrangements Embedding BCM in the organization s culture Seite 10

6 BS :2006 Kapitelbeispiel Understanding the organization Business impact analysis Identification of critical activities Determining continuity requirements Critical activities (risk assessment) Determining choices Sign-off (by top management) Seite 11 BS :2006 Nutzen Dieser Standard beschreibt die Prozesse, Prinzipien und Terminologie des BCM. Damit wird ein gemeinsames Verständnis für die Entwicklung und Einführung von BCM in einem Unternehmen erzielt. Verfügt ein Unternehmen ein über BCM-Programm gemäss diesem Standard, sind Vergleichbarkeit und ein akzeptiertes Qualitätsniveau gegeben. Seite 12

7 Andere Werkzeuge und Standards (1) BCM Self-Assessment Tool Basierend auf dem Standard. Es können damit unter anderem Schwachstellen aufgedeckt, eine konsistente BCM-Vorgehenweise unterstützt und Benchmarkings durchgeführt werden: Seite 13 Andere Werkzeuge und Standards (2) IT Service Continuity Management PAS77: 2006: Guidelines, die der vorbeugenden Notfallplanung für IT-Prozesse und deren raschen Wiederherstellung nach einer Unterbrechung dienen. Inhalt IT service continuity management (ITSCM) IT service continuity strategy Understanding risks within your organization Conducting business critically / risk assessments IT service continuity plan (ITSCP) Rehearsing an ITSCP Solutions architecture and design consideration Buying continuity services Seite 14

8 Andere Werkzeuge und Standards (3) IT Service Continuity Management Basiert auf BS25999 ISO (Standard zu IT Service Management) ISO bzw. ISO/IEC 27002:2005 (IT Security) ISO 9000 ersetzt diese aber nicht. Seite 15 Andere Werkzeuge und Standards (4) In den USA: National Fire Protection Association: NFPA1600. Emergency Management und Business Continuity Schwergewicht auf physikalische Zerstörung In Deutschland: BSI (Bundesamt für Sicherheit in der Informationstechnik): BSI (Erweiterung Grundschutzhandbuch, noch nicht publiziert) Seite 16

9 Ausblick (1) Internationale Normierungen Eventuell ISO-Standard, Aktivitäten in Singapore, Australien Unterstützung von Compliance-Bestrebungen (IT Governance) Basel II, SOX, Qualitätsmanagement Regulierung essentieller Dienstleister: Emergency Services, Local Authorities, Hospitals, Telecom and Power Suppliers (UK) Banking (US, UK) Seite 17 Ausblick (2) Gesetzliche Rahmenbedingungen Haftung von Organen einer Gesellschaft (US: SOX, CH: OR) Ausbildung Förderung und Qualitätssteigerung dank Standardisierung Master of Business Continuity (??) Entwicklung des BS : (Specification) Prozess, um eine Zertifizierung zu erlangen erwartet Ende noch keine Unternehmen zertifiziert Seite 18

10 Zusammenfassung Trend zu Standardisierung und Professionalisierung Internationale Bestrebungen Nationale Standards oder Internationaler Standard Auswirkung und Bedeutung geht über IT hinaus Verschmelzung von Corporate und IT Governance Risk Management Qualitätsmanagement Seite 19 Danke für Ihr Interesse Dr. Wolfgang Mahr Principal Consultant Axept für Kunden und Partner Axept AG Zunstrasse Glattbrugg Tel Fax Axept AG Seewenweg Reinach Tel Fax Axept AG Grubenstrasse Schönbühl Tel Fax AX ateam@axept.ch http// blog: gate4cio.ch More BCM news on: V1.0_2006 Seite 20