Vom Notfall zum Normalbetrieb, rasch & ohne Krise Friedrich Koller, Bundesrechenzentrum GmbH Der Weg zum Zertifikat nach ISO 22301 die gewonnenen Erfahrungen der Nutzen für das Unternehmen
Friedrich Koller Notfall- und Krisenmanagement Stabsabteilung Sicherheit und Qualität Bundesrechenzentrum GmbH Hintere Zollamtsstraße 4, 1030 Wien friedrich.koller@brz.gv.at
Das BRZ ist der führende IT Service Provider im Public Sector in Österreich Als marktführender E-Government-Partner der österreichischen Verwaltung entwickeln und betreiben wir mehr als 400 IT-Lösungen und verfügen über eines der größten Rechenzentren des Landes. Nr. 1 Verwaltungs-Rechenzentrum 1.182 Mitarbeiter/innen 60 zertifizierte Projektmanager/innen 242,7 Mio. Umsatz pro Jahr 400 E-Government- Anwendungen 4.000 Server in Betrieb 4.000 Terabyte gespeicherte Daten 80% Virtualisierungsgrad 30.000 betreute IT-Arbeitsplätze *2016
Schritte zum Aufbau eines BCM-Systems 2010: Im Zuge der ersten Aktivitäten zu ITIL wurde Business Continuity Management als Handlungsfeld erkannt Bei BCM kein unmittelbarer Nutzen sichtbar bzw. darstellbar Kaum Akzeptanz des gewählten Top-Down-Ansatzes Mit Aufbau eines strukturierten Service Level Managements wurde BCM als Notwendigkeit zur geordneten Umsetzung neu zugeordnet Anfang 2011 entstanden erste Versionen von Prozess und Vorlagen
Trigger zum Aufbau eines NFKM-Systems Oktober 2011: Hackerangriff auf Server eines Kunden Vergleichsweise wenig kritische Daten (z.b. Newsletterabo) Daten der Verwaltungssysteme (z.b. Finanzdaten) zu keinem Zeitpunkt betroffen, aber Bundesrechenzentrum erstmalig mit Hackerangriff in den Medien Bundesrechenzentrum erstmalig negativ in den Medien!
Verstärkung der Aktivitäten Einrichtung eines geordneten Krisenmanagements Zusammenführung von einzelnen Aktivitäten in diversen Prozessen zu einem eigenen Prozess Ausarbeitung von Checklisten und Ablaufplänen, Vorlagen und Mustertexten für Krisenszenarien Erarbeitung von ersten Notfallplänen für die wichtigsten Services Vorerst deutlich auf Krisenmanagement orientiert
Begriffliche Abgrenzungen Krise: Medienwirksames Ereignis mit potentiell erheblichen Auswirkungen auf die BRZ und deren Kunden Notfall: Kritisches, aber nicht öffentlich bekanntes Ereignis mit potentiell erheblichen Auswirkungen auf die BRZ und deren Kunden Differenzierung der Prozesse und Vorlagen Anfänglich deutlich vorfallorientiert, Erweiterung auf gesamtheitliche Sicht und Vorsorge
Eskalationspyramide
Prozesse leben Rollen und Aufgaben zugeteilt Notfallpläne wurden erstellt Notfallübungen strukturiert geplant und durchgeführt Notfallräume eingerichtet und im Bedarfsfall verwendet Organisatorische Strukturen im Bedarfsfall errichtet und gelebt Schulungen durchführen (Prioritätenreihung!) Laufend Evaluierung durchgeführt und Verbesserungen umgesetzt
Überlegungen zur Zertifizierung Notfallbehandlung ist im Nachhinein oft Gegenstand von Kritik Orientierung an internationalen/bekannten Standards und Vorgaben daher empfehlenswert Im Mai 2012 mit ISO 22301 weltweit erster internationaler Standard zu Business Continuity Management Formelle Zertifizierung nach dieser Norm ist möglich Zertifizierung ist von Vorteil in Kommunikation gegenüber Kunden Gute Erweiterung zu den vorhandenen Managementsystemen und Zertifikaten nach ISO 9001, ISO 27001 und ISO 27018 war zu erwarten
Erfahrungen aus der Vorbereitung Deutliche Überschneidungen mit Anforderungen nach ISO 27001 und ISO 9001 Zahlreiche Anforderungen waren bereits gut abgedeckt, einige aber noch nicht oder nicht ausreichend berücksichtigt Einige Anforderungen sind in anderen Prozessen bereits enthalten Starke Orientierung auf Anwendungen der Kunden und technische Vorsorge und Notfallbehandlung Erstellung einer Landkarte mit weißen Flecken Gesunder Pragmatismus: Wir können nicht beim ersten Anlauf überall perfekt sein
Eckpfeiler (1) Grundsätzliche Vorgaben in einer obersten Leitlinie (Politik) Managementprozesses zum BCM definiert BCM-orientierte Organisation eingerichtet Zur Vorsorge (stehende Organisation) Zur Vorfallbehandlung (dynamisch eingerichtete Organisation) BCM-Anforderungen in andere Prozesse und Rollen integriert Detailbeschreibungen der Vorgaben und Abläufe (Notfallhandbuch) Vorlagen und Muster für alle wesentlichen Dokumente
Eckpfeiler (2) Für jedes Service soll ein Notfallplan vorhanden sein Bestandteil im Entwicklungsprozess Konzept für Ausweitung auf bestehende Services Jährliches Review aller Notfallpläne Jährliche Durchführung von Notfallübungen Zentrale Ablage aller Notfalldokumente Zentrale Stelle zur Überprüfung und Sicherstellung der vorgesehenen Aktivitäten
Eckpfeiler (3) Laufende Evaluierung und Anpassung (KVP) Nach Notfällen Nach Notfallübungen Vertrauensbildung nicht vernachlässigen: Wir suchen Ursachen um sie zu beseitigen und nicht Schuldige um sie zu bestrafen!
Nutzen des Zertifikates Objektiver Nachweis der Leistungsfähigkeit im Bereich BCM Einhaltung des Standes der Technik Externe, unabhängige, regelmäßige Überprüfung Vorbereitung auf Anforderungen bei Ausschreibungen Vertrauensbildung bei bestehenden Kunden, auch in Not- und Krisenfällen einen kompetenten Partner zu haben Nachweis für Neukunden, BRZ ist auch in Not- und Krisenfällen gut vorbereitet und aufgestellt Awareness im Unternehmen in allen Ebenen zu BCM verbessert Reduktion der Kritik im Nachhinein
Fragen