Wie schreibe ich Pläne für betriebliches Kontinuitätsmanagement?


Wenn Sie mit der Umsetzung des betrieblichen Kontinuitätsmanagements begonnen haben, so besteht die größte Herausforderung darin, die Pläne für das betriebliche Kontinuitätsmanagement zu verfassen.

Warum ist es so schwierig? Sie müssen sich verschiedene Szenarien vorstellen, unter denen eine Katastrophe (oder eine andere Störung der Geschäftstätigkeit) auftreten kann. Sie müssen über eine Möglichkeit nachdenken, wie diese außerordentlich seltenen, aber möglicherweise katastrophalen Vorfälle bewältigt werden können.

Ein häufiges Problem beim Verfassen dieser Pläne ist die Frage, was der Plan enthalten sollte (was sind die wichtigsten Elemente), wie lange (wie detailliert) er sein sollte, welche Schritte dazugehören usw.

Eine der besten Lösungen dieser schwierigen Probleme ist die Verwendung der Norm BS 25999-2, die zusammen mit BS 25999-1 einen Rahmen für das Schreiben dieser Pläne vorgibt.

Gemäß diesen Normen sollten die Pläne für betriebliches Kontinuitätsmanagement aus einem (1) Störfallreaktionsplan sowie (2) Wiederherstellungsplänen bestehen. Ein Störfallreaktionsplan ist in der Regel ein einzelner Plan für das gesamte Unternehmen, in dem beschrieben wird, was unmittelbar nach einer Katastrophe getan werden muss – um die Auswirkungen des Vorfalls einzudämmen, mit den Notdiensten zu kommunizieren, das Gebäude zu evakuieren, an Sammelstellen zusammenzukommen, den Transport zu alternativen Standorten zu organisieren usw.

Notfallpläne werden in der Regel separat für jede kritische Tätigkeit geschrieben. Die Schritte eines Notfallplans sehen in der Regel wie folgt aus: wann und wie mit verschiedenen Beteiligten kommuniziert wird (Mitarbeiter und deren Familien, Aktionäre, Kunden, Partner, Behörden, öffentliche Medien usw.), wie ein Team zusammengestellt wird, wie die Infrastruktur wiederhergestellt wird, wie geprüft wird, ob die Anwendungen funktionieren und ob die Zugriffsrechte angemessen sind, wie überprüft wird, welche Daten fehlen oder durch die Katastrophe beschädigt wurden, wie die Daten wiederhergestellt werden und wie entschieden wird, wann die Wiederherstellung abgeschlossen ist, damit der normale Betrieb wieder einsetzen kann.

IT-Notfallpläne (Notfallpläne der IKT-Infrastruktur) müssen mit großer Sorgfalt verfasst werden, weil sie beschreiben sollten, wie jedes System innerhalb des Recovery Time Objective einer bestimmten kritischen Tätigkeit eingestellt werden sollte. Dies geschieht normalerweise durch Verfassen eines detaillierten Wiederherstellungsplans für jedes System, das wiederhergestellt werden soll.

Die Faustregel besagt, dass sämtliche dieser Pläne so detailliert sein sollten, dass andere Mitarbeiter (oder externes Personal) in der Lage sind, den Plan auszuführen, falls die Mitarbeiter dieser kritischen Aktivität nicht verfügbar sind. Schreiben Sie diese Pläne also mit Vernunft – sie sollten für jeden verständlich sein, nicht nur für Sie.

Nach meiner Erfahrung besteht die größte Herausforderung beim Verfassen dieser Pläne darin, dass Mitarbeiter mit etwas ganz anderem konfrontiert werden, über das sie vorher nicht nachzudenken brauchten. Zur Überwindung solcher Probleme ist es am besten, einen Workshop mit oder ohne Moderator zu organisieren, in dem sich die Mitarbeiter austauschen können, was passieren würde, wenn … wie man reagiert, wenn … usw.

Tatsächlich ist mit dem Umstand, dass Ihre Mitarbeiter damit begonnen haben, über betriebliches Kontinuitätsmanagement nachzudenken, bereits die halbe Arbeit geleistet – mit einem solchen Ansatz wird ein viel besserer Plan für betriebliches Kontinuitätsmanagement ermöglicht.

Dieses kostenlose Webinar hilft Ihnen auch beim: Writing a business continuity plan according to ISO 22301.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.