Brian Jackson - stock.adobe.com
So erstellen Sie einen umfassenden Business-Continuity-Plan
Firmen sollten einen Business-Continuity-Plan (BCP) besitzen, um den Normalbetrieb aufrechtzuerhalten. Der Beitrag bietet Tipps und Ratschläge sowie eine kostenlose Vorlage dafür.
Die Business-Continuity-Planung umfasst mehrere Schritte. Dazu gehören die Projekteinführung, Risikobewertung, die Analyse der Auswirkung auf die Geschäftstätigkeit (Business Impact Analysis, BIA), die Strategieentwicklung, die Entwicklung eines konkreten Plans, das Üben der Planumsetzung und die Überarbeitung des Plans, die Notfallkommunikation, die Sensibilisierung der Belegschaft und das Training sowie die Koordination mit den Behörden.
Für viele Spezialisten bedeuten diese Schritte eine riesige Herausforderung. Um den Managementprozess rund um die Business Continuity zu vereinfachen, suchen die Verantwortlichen nach Hilfsmitteln und Alternativen wie Software, Vorlagen, Checklisten oder Beratern.
Jede dieser Optionen eignet sich dazu, einen Plan und die damit assoziierten Programmelemente zu entwickeln. Sie werden oft dazu verwendet, den Prozess der Business-Continuity-Planung zu beschleunigen. In der Regel gehören dazu die initiale Sammlung von Daten und die Befragung relevanter Mitarbeiter. Es folgt das gezielte Ausfüllen von Wissens- und Prozesslücken. Aus alledem entsteht allmählich ein fertiges Produkt.
Dieser Beitrag umfasst eine frei erhältliche Vorlage für einen Business-Continuity-Plan (BCP), die Anwender bei ihrer BC-Planung unterstützen kann. Diese Vorlage (englischsprachig) lässt sich kostenlos herunterladen und ausdrucken. Wer der Schritt-für-Schritt-Anleitung erfolgt, erhält am Ende einen erfolgversprechenden BCP.
Die Notwendigkeit eines Business-Continuity-Plans
Ein BCP verhilft Organisationen dazu, weiterarbeiten zu können, während ein Service unterbrochen ist. Es benennt die Schlüsselfunktionen der Organisation und enthält alle Informationen, die nötig sind, damit das Geschäft weiterlaufen kann.
Unternehmen brauchen einen BCP, der unterschiedlichste Ereignisse umfasst. Dazu gehören Naturkatastrophen, Gewalt am Arbeitsplatz, Infrastruktur- und Personalausfälle. Im Zeitalter der Cyberbedrohungen sollte der Plan auch die Möglichkeit unplanbarer Zwischenfälle wie etwa eines Ransomware-Angriffs oder Datenschutzpannen einbeziehen. Der Schutz der Daten ist von überragender Bedeutung. Denn sie sind für viele Unternehmen überlebenswichtig.
Hat ein Unternehmen keinen BC-Plan, wenn eine Unterbrechung stattfindet, riskiert es finanzielle Schäden, Rufbeschädigungen und Verluste an Personal. Besonders kleine Firmen können an größeren Serviceunterbrechungen zugrunde gehen.
Manche Unternehmen brauchen einen BCP auch, um Compliance-Regeln einzuhalten oder weil ihre Versicherung einen solchen Plan verlangt. Angemessene Business-Continuity-Planung verbessert auch die Kommunikation und unterstützt die Organisation dabei, anfällige Bereiche zu entdecken.
Allgemeine Tipps für die BC-Planung
Die folgende Checkliste sollte den Prozess der BC-Planung leiten.
Den Prozess ernst nehmen. Wer sein Unternehmen vor nicht planbaren Ereignissen schützen will, die den Betrieb unterbrechen können, sollte einen Plan machen. Er muss nicht sehr lang sein. Es kommt vielmehr auf die richtigen, korrekten und genauen Informationen an.
BC/DR-Standards als Einstiegspunkt verwenden. Es gibt weltweit nahezu zwei Dutzend BC/DR-Standards. In Deutschland sind folgende Standards relevant:
- ISO 22301
- BSI 100-4
- BSI 200-4 (Business-Continuity-Management).
Einfach bleiben. Weniger ist im Fall einer drohenden Betriebsunterbrechung oft mehr, außer es handelt sich vor allem um technologieaffine Anwender, beispielsweise in der IT.
Nur die aktuell nötigen Reaktionen auf das spezifische Desaster beschreiben. Wer einen Plan als Reaktion auf bestimmte Ereignisse entwickelt, sollte nur die Informationen dort bereithalten, die für die Reaktion auf dieses Ereignis und die darauffolgende Wiederherstellung des Betriebs nötig sind.
Auf Umsetzung achten. Ist der BCP fertig, muss er geübt werden, um sicherzustellen, dass die dokumentierten Prozeduren und ihre Reihenfolge sinnvoll sind.
Flexibel sein. Eine einzige Vorlage ist vielleicht nicht in allen Abteilungen oder Niederlassungen der Organisation anwendbar. Dann sollte man weitere Vorlagen, Software oder Berater in Erwägung ziehen.
An dieser Stelle können Sie sich unsere kostenlose Vorlage für einen Business-Continuity-Plan herunterladen.
Wer nimmt an der BC-Planung teil?
Meist muss der IT-Administrator den BCP entwickeln. Aber die Teilnahme anderer Manager und Mitarbeiter kann das Dokument umfassender machen.
Ein Schlüsselthema jeder BCP-Formulierung ist die Business-Impact-Analyse (BIA). Sie erfordert den Input der Mitarbeiter. Die BIA enthält, was Mitarbeiter tun, was sie brauchen und wie es das Geschäft beeinflusst, wenn sie nicht arbeiten können.
Informationen mittels einer BIA und einer Risikobewertung (Risk Assessment, RA) zu sammeln, ist essenziell, denn beides unterfüttert den BCP mit den nötigen Informationen. Wenn die Organisation über ausreichende Informationen verfügt, kann man damit die frei herunterladbare Vorlage eines BCP auf dieser Seite befüllen.
Nach Fertigstellung des BCP sollten die Mitarbeiter gründlich in dessen Umsetzung trainiert werden, damit sie im Fall eines Falles wissen, was zu tun ist. Einige Mitarbeiter werden zum Beispiel zum Notfallreaktionsteam gehören. Übungen helfen den Mitarbeitern auch dabei, BC-Prinzipien ihn ihren täglichen Arbeitsablauf einzubauen.
So nutzt man die BC-Vorlage
Es folgen Informationen zur Struktur und dem Aufbau unserer Vorlage. Sie umfassen die wichtigsten Themen, die behandelt und die wichtigsten Aktionen, die durchgeführt werden müssen.
- Einleitende Datensammlung: Nachdem diverse Personen identifiziert wurden, die während einer Geschäftsunterbrechung kontaktiert werden sollen, muss deren Kontaktinformationen auf der Frontseite des Plans festgehalten werden. So gehen nicht wertvolle Sekunden beim Durchblättern des Dokuments verloren.
- Revisionsmanagement: Auf einer Seite sollte das gesamte Change Management des BCP festgehalten werden.
- Zweck und Geltungsbereich (Abschnitte 1.1 bis 1.6): Details zu diesen Attributen, dazu Annahmen, Teambeschreibungen, Begriffsliste und andere Hintergrundinformationen.
- Nutzungshinweise zum Plan (Abschnitte 1.7.1. bis 1.7.4): Informationen zu den Umständen, unter denen der Plan aktiviert wird, einschließlich Ausfallzeiträumen, den Zuständigen für das Ausrufen des Katastrophenfalls und den Personen, die dann kontaktiert werden müssen.
- Informationen über Regeln und Verfahren (Abschnitt 1.7.5.): Hier können Standarddokumente als Referenzen erwähnt werden.
- Notfallmanagement und Reaktion (Abschnitt 1.7.6): Spezifiziert Situationen, in denen der Plan aktiviert werden muss und beschreibt Reaktionsprozesse.
- Schritt-für-Schritt-Anleitungen verwenden (Abschnitt 1.7.7 bis 1.7.10): Solche Anleitungen lassen sich leichter befolgen als generelle Verlautbarungen wie „zum alternativen Standort begeben“. Derart vage Aussagen erfordern sehr viel Detailkenntnisse, um zu funktionieren.
- Planüberprüfung und -überarbeitung (Abschnitt 1.8): Beschreibt, wie oft der Plan überprüft und überarbeitet wird und von wem.
- Alarme/Verifizierung/Deklarationsphase (Abschnitt 2): Bei einer kritischen Situation finden sich hier die Schritte, die benötigt werden, um zu reagieren. Die Reaktionen können in Form von Checklisten (nützlich für den Überblick darüber, was bereits erledigt ist und was noch fehlt) und Flussdiagrammen beschrieben werden, die eine Vogelperspektive auf Reaktion und Wiederaufbau des Betriebs bieten. Vor der Ausrufung des Katastrophenfalls müssen Informationen gesammelt werden. Dazu gehören Daten zu den verursachten Schäden und Berichte aus erster Hand von Mitarbeitern und Erstreaktionskräften. Das Notfallmanagementteam sollte zusammenkommen, um diese Fakten zu bewerten, bevor der Katastrophenfall erklärt wird.
- Katastrophenfall ausrufen (Abschnitt 3): Enthält die Aktionen, die unternommen werden müssen, wenn klar wird, dass das Management den Katastrophenfall erklären muss. Eine Einschätzung des Schadens kann entweder vor oder nach der Erklärung erfolgen. Das zu entscheiden, ist die Aufgabe des Managements.
- Wiederherstellung des Geschäftsbetriebs (Abschnitt 4): Enthält detaillierte Angaben über Wiederherstellungsprozeduren, den Umzug zu alternativen Standorten und verwandte Aktivitäten.
- Detaillierte Anhänge (Abschnitt 5): Hier finden sich Listen und Kontaktangaben zu allen Notfallteams, Primär- und Alternativlieferanten, alternativen Standorten und andere relevante Informationen. Diese Informationen müssen unbedingt aktuell sein.
- Zusätzliche Formulare (Abschnitt 5.7): Solche Formulare sollten im Vorhinein entwickelt, in Übungen validiert werden (wie der gesamte Plan) und in einem gebrauchsfertigen Format vorliegen.
Was beim Ausfüllen zu beachten ist
Es handelt sich lediglich um eine Vorlage. Manche Abschnitte passen vielleicht nicht zum spezifischen Unternehmen. Sie sollten dann auch nicht ausgefüllt werden. Nützlich sind nur die Abschnitte, die tatsächlich im spezifischen Fall helfen, mit einem katastrophalen Zwischenfall fertig zu werden.
Der Plan darf nur korrekte Informationen enthalten – angefangen bei den Kontakten bis hin zu den einzelnen Prozessschritten. Eine falsche Telefonnummer kann die Probleme in einer Krisensituation vervielfachen.
Der Plan darf weder zu viel noch zu wenige Informationen enthalten. Er sollte alles umfassen, was zum Wiederanlaufen oder Weiterlaufen des Geschäfts nötig ist, aber nicht mehr. Ein Zwei-Seiten-Plan kann effizienter sein als ein 100seitiger.
Ausgangspunkt ist die Minimalbelegschaft für die Aufrechterhaltung der Geschäftsfunktionen. Bei einem Zwischenfall sind möglicherweise Zeit und Ressourcen knapp.
Die Daten und Informationen aus Risikoanalyse und BIA sollten in den BCP einfließen. Die zwei Dokumente sind wertvolle Quellen für die BC-Planung.
Anweisungen sollten so konkret wie möglich sein. Nichts sollte während eines ungeplanten Zwischenfalls im Unklaren bleiben.
Pläne müssen wirklich am Anfang starten, mit dem Ende aufhören und dürfen keinen einzelnen Schritt des BC-Prozesses auslassen.
Den Plan testen
Nach Fertigstellung des BCP, wozu auch dessen Genehmigung durch das Managementteam gehört, sollte das Dokument im Unternehmen zirkulieren. Mitarbeiter sollten wissen, wo sie es einsehen können. Aus Redundanzgründen sollte das Dokument in Papier an mehreren Orten genauso verfügbar sein wie online, zum Beispiel auf einer Intranet-Seite des Unternehmens.
Der BCP sollte nicht im Regal stehen und verstauben. Er ist ein lebendes Dokument. Organisationen müssen ihren Plan regelmäßig durch Tests, Überprüfung und Überarbeitung aktuell halten.
Tests reichen von Gesprächen über den Plan bis zu einem kompletten Durchlauf der Aktionen bei einem Zwischenfall. Sie können geplant werden. Ungeplante Tests sind aber ebenfalls wichtig, weil sie in ihren Bedingungen eher einem ungeplanten Zwischenfall entsprechen. Die Organisation bewertet dann den Test und stellt sicher, dass alle Informationen stimmen. Während der Überarbeitungsphase werden sämtliche Themen korrigiert, die sich aus Test und Überprüfung als veränderungsbedürftig ergeben haben. Ein internes oder externes Audit des BCP dient also dessen Verbesserung.
Der BCP muss nicht auf einmal überarbeitet werden. Allerdings sollten die Bereiche, die sich mit der größten Wahrscheinlichkeit häufig ändern, etwa Kontaktinformationen, ständig überwacht werden. Ein konkreter Zeitplan stellt sicher, dass wichtige BCP-Übungen tatsächlich durchgeführt und abgeschlossen werden.
Die kontinuierliche Überarbeitung und Verbesserung ist der Schlüssel zu einem stets aktuellen, umfassenden BCP.
Eine Organisation kann BCP-Übungen neben ähnlichen Aufgaben durchführen, zum Beispiel parallel zum DR-Test.