Getty Images/iStockphoto
Wie häufig sollte der Business-Continuity-Plan geprüft werden?
Business-Continuity-Pläne sind keine einmalige Angelegenheit. Bevor ein Störfall eintritt, sollten Sie Ihren BC-Plan durch regelmäßige Überprüfungen auf dem neuesten Stand halten.
Damit ein Business-Continuity-Plan reibungslos funktioniert, muss er auf dem neuesten Stand sein. Wenn ein Unternehmen auf Multi-Cloud-Speicher umsteigt, taugt ein BC-Plan, der mit Blick auf den bisherigen Legacy-Speicher erstellt wurde, nichts mehr. Es gibt keinen Spielraum für Ausfallzeiten, daher helfen regelmäßige Überprüfungen dabei, vermeidbare Probleme bei einer Wiederherstellung zu eliminieren.
Die traditionelle Business-Continuity-Praxis sieht vor, dass das Unternehmen abgeschlossene Business-Continuity-Pläne mindestens zweimal überprüft. Die erste Überprüfung findet jährlich statt, die zweite nach einer wesentlichen Änderung im Unternehmen. Dabei kann es sich um eine IT- oder Hardware-Änderung handeln, aber auch um eine Fusion oder Übernahme des Unternehmens.
In der Praxis wird die Person, die für den BC-Plan und das zugehörige Programm verantwortlich ist, bestimmen, wie oft das Unternehmen den Plan überprüft. Da es oft im Ermessen dieser Person oder des relevanten Teams liegt, wie sie die Bereitschaft des Unternehmens einschätzt, variieren die Überprüfungszeitpläne von Unternehmen zu Unternehmen stark.
Verfügbare Leitlinien für die Überprüfung von BC-Plänen
Unternehmen, die der Meinung sind, dass BC-Pläne regelmäßig überprüft werden sollten, befinden sich in guter Gesellschaft.
Die folgenden Normen und Richtlinien befassen sich mit der Bedeutung der Überprüfung von Business-Continuity-Plänen:
- ISO 22301:2019, der globale Standard für die Geschäftskontinuität.
- BSI-Standard 200-4, eine praxisnahe Anleitung für die Installation von Business-Continuity-Management-Systemen.
- ISO 27001 Anhang A.17 legt Anforderungen für das Business-Continuity-Management im Zusammenhang mit Informationssicherhit dar.
Abgesehen von den verschiedenen Standards und Praktiken, die Planüberprüfungen befürworten, ist es einfach eine gute Strategie, dafür zu sorgen, dass BC-Pläne korrekt, für das Unternehmen geeignet und leicht verständlich sind und dass sie die für die Aufrechterhaltung des Geschäftsbetriebs wesentlichen Probleme adressieren und lösen.
So führen Sie eine Überprüfung durch
Betrachten Sie eine Planüberprüfung als eine Lückenanalyse. Vergleichen Sie zunächst die Abschnitte des Plans mit den in den verschiedenen Normen und Leitfäden dargelegten Rahmenvorgaben.
Wenn etwas zu fehlen scheint, notieren Sie sich, dass Sie den fehlenden Abschnitt und die relevanten Daten nach dem ersten Durchlauf hinzufügen. Es könnte sinnvoll sein, die Reihenfolge der Abschnitte im Plan zu ändern, wiederum auf der Grundlage der Leitlinien. Es kann hilfreich sein, eine Norm oder einen anderen Leitfaden in eine Checkliste umzuwandeln. Auf diese Weise kann bei der Überprüfung jedes Elements ein Häkchen in das entsprechende Kästchen gesetzt werden.
Beispiele für Geschäftskontinuitätspläne und Vorlagen von anderen Organisationen können ebenfalls hilfreich sein, da die Art und Weise, wie ein anderer Plan strukturiert ist, möglicherweise sinnvoller ist als die derzeitige Struktur des Plans.
Wenn es darum geht, die Details des Plans zu vertiefen, kann es für BC-Manager notwendig sein, mit anderen Mitarbeitern des Unternehmens zu sprechen, zum Beispiel mit den Leitern der Geschäftsbereiche und den Mitarbeitern der IT-Abteilung. Diese Personen können dabei helfen, mögliche Änderungen zu ermitteln und bestehende Verfahren zu klären.
Es gibt viele verschiedene Software-Tools für die Entwicklung von BC-Plänen, und es kann sinnvoll sein, eines davon zu erwerben, um die Überprüfung zu unterstützen. Ebenso kann ein externer BC-Berater die Planüberprüfung durchführen, wobei davon ausgegangen wird, dass der Berater über Fachwissen in den Bereichen Planentwicklung, -überprüfung und -test verfügt.
Die Teilnahme an professionellen BC-Organisationen, wie beispielsweise der nationalen Association of Continuity Professionals, bietet die Möglichkeit, BC-Pläne und damit verbundene Aktivitäten mit anderen Fachleuten zu diskutieren. Deren Erkenntnisse beruhen auf Erfahrungen aus der Praxis, können dem Unternehmen viel Zeit ersparen und kosten oft nicht mehr als ein oder zwei Telefonate.
Die gute Nachricht ist, dass eine Vielzahl von Quellen und Fachleuten zur Verfügung steht, um eine BC-Planüberprüfung zu unterstützen.
Verwendung der Überprüfungsergebnisse zur Aktualisierung des Plans
Sobald die Überprüfung abgeschlossen ist und die Organisation die notwendigen Änderungen ermittelt hat, ist es an der Zeit, das Plandokument mit den Änderungen zu aktualisieren. Vergewissern Sie sich, dass alle Kontaktdaten auf dem neuesten Stand sind; diese Aufgabe wird häufig übersehen. Der Plan sollte nicht nur die Mitarbeiter, sondern auch alle externen Anbieter auflisten, die zur Unterstützung der Geschäftsabläufe benötigt werden. Der Plan kann auch Informationen über die Lieferketten des Unternehmens enthalten, zum Beispiel die Hauptlieferanten und Ersatzlieferanten.
Bei der Überprüfung des Plans ist die Frage zu stellen: „Reicht dieser Plan aus, um das Unternehmen wieder in den Zustand vor dem Vorfall zu versetzen?“ Eine andere Art, diese Frage zu stellen, lautet: „Wird dieser Plan funktionieren, wenn eine Katastrophe eintritt?“ Ein regelmäßig aktualisierter und getesteter BC-Plan ist ungeachtet der vielen möglichen Katastrophenarten weitaus besser, als überhaupt keinen Plan zu haben.
Geben Sie den aktualisierten Plan an die zuvor befragten Personen sowie an andere sachkundige Mitarbeiter und Dritte weiter, um deren Kommentare einzuholen.
Vergessen Sie nicht, den Plan zu testen
Die Begriffe Testen und Üben werden häufig synonym verwendet, um zu überprüfen, ob der Notfallplan wie vorgesehen funktioniert und die Wiederherstellung und Wiederaufnahme des Betriebs ermöglicht. Bei einem Live-Ereignis kann es schwierig sein, den Plan zu verwenden, je nachdem, wie das Ereignis abläuft. In diesem Fall kann das vorherige Testen des Plans auch alternative Verfahren, wie zum Beispiel Backdoors, aufzeigen. Unternehmen können diese anstelle der ursprünglichen Planverfahren oder als Ergänzung dazu einsetzen.
Wenn die Planprüfung abgeschlossen ist, sollten Sie die Änderungen am Plan aus der Übung ermitteln und eine weitere Aktualisierung vornehmen. Es ist eine gute Idee, den durch den Test aktualisierten Plan als letzten Schritt im Überprüfungsprozess zu verbreiten.
Erwägen Sie die Aufstellung eines jährlichen Zeitplans für BC-bezogene Aktivitäten wie Planüberprüfungen, Übungen und Aktualisierungen der Business Impact Analyses. Auf diese Weise wird sichergestellt, dass die Überprüfung des BC-Plans Teil der regelmäßigen Aktivitäten einer Organisation ist.