oatawa - stock.adobe.com
Reifegradmodell für Geschäftskontinuität: Ein Leitfaden
Reifegradmodelle für die Geschäftskontinuität sind wirksame Instrumente zur Verbesserung des Disaster Recovery und zur Festlegung des gewünschten Niveaus der Business Continuity.
Mit Hilfe von Reifegradmodellen wird untersucht, wo eine Organisation aus einer bestimmten Perspektive steht, und sie werden verwendet, um die Organisation auf dem Weg zu einem idealen oder gewünschten Zustand zu unterstützen. Die Modelle können von einfachen Papier- und Bleistiftentwürfen bis hin zu robusten, computergestützten Systemen reichen.
Business Continuity (BC) ist ein detaillierter Satz von Prozessen und Verfahren, der sich gut für das Format des Reifegradmodells eignet.
Eines der ersten Reifegradmodelle, das sich mit BC-Fragen befasst, wurde 2003 von der Virtual Corporation als Business Continuity Maturity Model eingeführt. Unternehmen können diesen Standard als Referenzmodell verwenden, um ihre Fähigkeiten zum Risikomanagement und zur schnellen Wiederherstellung des Betriebs zu bewerten.
Merkmale eines Reifegradmodells
Ein Reifegradmodell beginnt mit dem Status der Organisation zu Beginn des Prozesses, also dem aktuellen Zustand. Anschließend wird definiert, wie der gewünschte Zustand – oder ein Endzustand – der Reife aussieht.
Sobald eine Organisation dieses Ziel festgelegt hat, kann sie verschiedene Aktivitäten in einem strukturierten Programm einrichten, das die Organisation von ihrem aktuellen Zustand zum gewünschten Zustand führt. Durch die Durchführung von Tests auf dem Weg dorthin verifiziert das Unternehmen, dass es die im Reifegradprozess definierten Schritte erfolgreich abgeschlossen hat.
Zusätzliche Bewertungen und Messungen können zeigen, dass jeder Schritt im Reifeprozess erreicht wurde. Unternehmen können eine Tabellenkalkulation oder eine Anwendungs-Engine verwenden, um Daten zu generieren, die einen erhöhten Reifegrad belegen. Eine Möglichkeit, dies zu tun, besteht darin, KPIs für verschiedene BC-Leistungsstufen festzulegen.
Die folgende Tabelle enthält Beispiele für Business Continuity KPIs und wie sie in einem Reifegradmodell angewendet werden können.
Leistungsindikator | Reifegrad 1 | Reifegrad 2 | Reifegrad 3 | Reifegrad 4 | Reifegrad 5 |
Erstellung eines formellen Programms | X | ||||
Initiales Führungspersonal eingestellt | X | ||||
Erfahrenes Personal hinzugefügt | X | X | X | X | |
Bürobereich eingerichtet | X | X | X | X | |
Richtlinien entwickelt | X | X | X | ||
Zeitplan für die Richtlinienüberprüfung festgelegt | X | X | X | ||
Verfahren entwickelt | X | X | X | X | X |
Zeitplan für die Verfahrensüberprüfung festgelegt | X | X | X | ||
Initialer BC-Plan entwickelt | X | X | |||
Erweiterter BC-Plan entwickelt | X | X | X | ||
Automatisierter BC-Plan entwickelt | X | X | X | ||
Zeitplan für Planüberprüfung festgelegt | X | X | X | ||
Initiale BIA abgeschlossen | X | ||||
Zeitplan für BIAs festgelegt | X | X | X | ||
Initiales RA abgeschlossen | X | ||||
Zeitplan für RAs festgelegt | X | X | X | ||
Initiale Übungen durchgeführt | X | ||||
Zeitplan für Übungen eingerichtet | X | X | X | ||
Szenarioübungen festgelegt | X | X | |||
Eingeschränkte Unterstützung der Geschäftsleitung | X | X | |||
Zusätzliche active Unterstützung durch das Management | X | X | X | ||
Führungsrolle eingerichtet | X | ||||
Erste Compliance-Überprüfung | X | X | |||
Zeitplan für die Compliance-Überprüfung festgelegt | X | ||||
Abteilungsbudget festgelegt | X | X | X | X | |
Jährliche Budgetüberprüfung festgelegt | X | X | X | ||
Erstes Teamtraining abgeschlossen | X | ||||
Zeitplan für Trainings festgelegt | X | X | X |
Während die hier verwendete Tabelle und die Grafiken relativ einfach sind, können fortgeschrittene Reifegradmodellsysteme komplex sein und erfordern häufig eine Systemschulung der Benutzer.
Abbildung 2 zeigt ein für die Geschäftskontinuität optimiertes Reifegradmodell. Jede Stufe des Prozesses baut auf der vorhergehenden auf, und die letzte Stufe stellt den gewünschten Zustand der Geschäftskontinuitätsoperationen für die Organisation dar. Die kontinuierliche Verbesserung wird als grundlegendes Element des Reifeprozesses verstanden und findet sich in vielen Normen, insbesondere in denen der ISO.
Erstellung eines Reifegradmodells für die Geschäftskontinuität
Die vorangegangenen Darstellungen können als Ausgangspunkt für die Entwicklung eines Reifegradmodells für die Geschäftskontinuität dienen. Die Unterstützung durch die Geschäftsleitung ist von entscheidender Bedeutung, und die BC-Teams sollten das Projekt so positionieren, dass es zeigt, dass die BC-Aktivitäten der Organisation mit bewährten Verfahren sowie den einschlägigen Normen und Vorschriften übereinstimmen und sich in Richtung eines effektiven Reifegrads entwickeln.
Wenn das Management der Verwendung eines Reifegradmodells zustimmt, kann das Unternehmen ein Team zusammenstellen, die Kriterien für den Nachweis des Reifegrads festlegen und den gewünschten endgültigen Reifegrad definieren. Das BC-Team sollte eine erste Analyse des Ist-Zustandes durchführen und dokumentieren und dann die im Modell definierten Schritte und Aktivitäten nutzen, um Projekte zum Nachweis des Reifegrades zu identifizieren. Leistungsindikatoren können dabei helfen, die Projekte richtig zu definieren und zu positionieren, um den Reifegrad zu erhöhen.
Vor- und Nachteile von Reifegradmodellen
Die Vorbereitung und Umsetzung von Programmen zur Verbesserung des Reifegrads von BC-Programmen kann Unternehmen helfen, die gewünschten Ergebnisse zu erzielen. Diese Modelle zeigen auf, welche Aktivitäten auf den einzelnen Reifegraden zu entwickeln sind, damit die Organisation eine kontinuierliche Verbesserung erreichen und nachweisen kann.
Sind Reifegradmodelle eine Voraussetzung für Business Continuity? Eine schnelle und einfache Antwort lautet: Nein, sie sind für einen erfolgreichen BC-Plan nicht erforderlich. Es kann jedoch sein, dass sich die Geschäftsleitung irgendwann nach dem BC-Programm erkundigt und fragt, was damit geschieht. Sie könnten sich fragen, ob es noch benötigt wird und wie die damit verbundenen Ausgaben gerechtfertigt werden können. Ein Reifegradmodell ist ein wirksames visuelles Instrument, um konkrete Verbesserungen in einem Business-Continuity-Programm aufzuzeigen.
Business Continuity und Disaster Recovery sind jedoch ein notorisch anspruchsvoller, komplexer und oft unterfinanzierter Bereich. Ein Reifegradmodell ist ein nützliches Mittel, um Fortschritte zu demonstrieren, aber es kann einer ohnehin schon ausgelasteten BC-Abteilung noch mehr Arbeit bescheren.