Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die Definition des BCM Der Werdegang des BCM Das BCI Der Good Practice Guide Der Weg zum Standard Der Standard BS25999-1:2006 Andere Werkzeuge und Standards Ein Ausblick Die Zusammenfassung Seite 2
? Was ist das? One of the problems always faced by Business Continuity has been the lack of a universally accepted definition. Seite 3 Definition is a holistic management process that identifies potential impacts that threaten an organisation and provides a framework for building resilience and the capability for an effective response which safeguards the interests of its key stakeholders, reputation, brand and value creating activities Seite 4
Werdegang Ansätze aus der Information Security: im BS7799 (später ISO 17799) mit der Problematik: Backup & Recovery Business Continuity Auswirkungen auf CISSP, ISACA (COBIT) und OCG (ITIL) Heute: eigene Management-Disziplin Seite 5 Das Business Continuity Institute Das BCI wurde 1994 gegründet und spezialisiert sich seitdem auf the art and science of business continuity management Das BCI hat über 4000 Mitglieder in fast 90 Ländern (CH: ca. 35) www.thebci.org www.thebci.org/ch Seite 6
Die Good Practice Guidelines 2005 und Beschreibung des BCM-Prozesses Lebenszyklusmodell Das Unternehmen verstehen BCM Strategie BCM-Reaktion BCM-Kultur Uebung, Pflege und Audit Verankerung in der Unternehmung http://www.thebci.org/gpg.htm Seite 7 Der Weg zum Standard PAS56:2003 = Publicly Available Specification Vorläufer zum und Basis für den Standard Vernehmlassungsverfahren zum Standard im 2006: DPC (Draft for Public Comment) bis 31. August 2006 Grosse internationale Beteiligung Standard veröffentlicht am 30. November 2006 Seite 8
BS25999-1:2006 Code of Practice what should be done Seite 9 BS25999-1:2006 Übersicht Gliederung (Hauptkapitel) Scope and applicability Terms and definitions Overview of BCM BCM programme management Understanding the organisation Determining the BCM strategy Developing and implementing a BCM response Exercising, maintaining and reviewing BCM arrangements Embedding BCM in the organization s culture Seite 10
BS25999-1:2006 Kapitelbeispiel Understanding the organization Business impact analysis Identification of critical activities Determining continuity requirements Critical activities (risk assessment) Determining choices Sign-off (by top management) Seite 11 BS25999-1:2006 Nutzen Dieser Standard beschreibt die Prozesse, Prinzipien und Terminologie des BCM. Damit wird ein gemeinsames Verständnis für die Entwicklung und Einführung von BCM in einem Unternehmen erzielt. Verfügt ein Unternehmen ein über BCM-Programm gemäss diesem Standard, sind Vergleichbarkeit und ein akzeptiertes Qualitätsniveau gegeben. Seite 12
Andere Werkzeuge und Standards (1) BCM Self-Assessment Tool Basierend auf dem Standard. Es können damit unter anderem Schwachstellen aufgedeckt, eine konsistente BCM-Vorgehenweise unterstützt und Benchmarkings durchgeführt werden: http://www.thebci.org/bcibenchmark.htm Seite 13 Andere Werkzeuge und Standards (2) IT Service Continuity Management PAS77: 2006: Guidelines, die der vorbeugenden Notfallplanung für IT-Prozesse und deren raschen Wiederherstellung nach einer Unterbrechung dienen. Inhalt IT service continuity management (ITSCM) IT service continuity strategy Understanding risks within your organization Conducting business critically / risk assessments IT service continuity plan (ITSCP) Rehearsing an ITSCP Solutions architecture and design consideration Buying continuity services Seite 14
Andere Werkzeuge und Standards (3) IT Service Continuity Management Basiert auf BS25999 ISO 20000 (Standard zu IT Service Management) ISO 17799 bzw. ISO/IEC 27002:2005 (IT Security) ISO 9000 ersetzt diese aber nicht. Seite 15 Andere Werkzeuge und Standards (4) In den USA: National Fire Protection Association: NFPA1600. Emergency Management und Business Continuity Schwergewicht auf physikalische Zerstörung http://www.nfpa.org/assets/files/pdf/codesstandards/1600-.pdf In Deutschland: BSI (Bundesamt für Sicherheit in der Informationstechnik): BSI 100-4 (Erweiterung Grundschutzhandbuch, noch nicht publiziert) http://www.bsi.de/gshb/deutsch/index.htm Seite 16
Ausblick (1) Internationale Normierungen Eventuell ISO-Standard, Aktivitäten in Singapore, Australien Unterstützung von Compliance-Bestrebungen (IT Governance) Basel II, SOX, Qualitätsmanagement Regulierung essentieller Dienstleister: Emergency Services, Local Authorities, Hospitals, Telecom and Power Suppliers (UK) Banking (US, UK) Seite 17 Ausblick (2) Gesetzliche Rahmenbedingungen Haftung von Organen einer Gesellschaft (US: SOX, CH: OR) Ausbildung Förderung und Qualitätssteigerung dank Standardisierung Master of Business Continuity (??) Entwicklung des BS25999-2: (Specification) Prozess, um eine Zertifizierung zu erlangen erwartet Ende noch keine Unternehmen zertifiziert Seite 18
Zusammenfassung Trend zu Standardisierung und Professionalisierung Internationale Bestrebungen Nationale Standards oder Internationaler Standard Auswirkung und Bedeutung geht über IT hinaus Verschmelzung von Corporate und IT Governance Risk Management Qualitätsmanagement Seite 19 Danke für Ihr Interesse Dr. Wolfgang Mahr Principal Consultant Axept für Kunden und Partner Axept AG Zunstrasse 11 8152 Glattbrugg Tel +41 44 874 90 90 Fax +41 44 874 90 99 Axept AG Seewenweg 6 4153 Reinach Tel +41 61 717 89 89 Fax +41 61 717 89 80 Axept AG Grubenstrasse 109 3322 Schönbühl Tel +41 31 850 90 90 Fax +41 31 850 90 99 AX ateam@axept.ch http//www.axept.ch blog: gate4cio.ch More BCM news on: V1.0_2006 Seite 20