(IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren.

Transkript

1 (IT-) Notfallmanagement Ein Notfall wird mir schon nicht passieren. Smart Compliance Solutions

2 Notfallmanagement Notfälle bei unseren Kunden: Gleichzeitiger Ausfall von redundanten Klimaanlagen (Stadtwerke) Gleichzeitiger Ausfall von redundanten Klimaanlagen (Autozulieferer) Ausfall der Speichersysteme während der Wartung (Rechenzentrum) Stromausfall (Uni - Forschungsinstitut) Bombendrohung (Körperschaft des öffentlichen Rechts) 2

3 Agenda 1. Definition und Motivation 2. Normen und Standards 3. Projekt Notfallmanagement 4. Aufbauorganisation im Notfallmanagement 5. Business Impact Analyse [BIA] 6. Risikoanalyse [RIA] 7. Kontinuitätsstrategie und Notfallvorsorgekonzept 8. Ablauforganisation und Notfallhandbücher 9. Tests und Übungen 10. Monitoring und Verbesserung 3

5 Notfallmanagement Definition: Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für eine Institution, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren (*) Initiierung des Notfallmanagements Konzeption des Notfallmanagements Umsetzung Notfallmanagements Notfallbewältigung Tests und Übungen (*) Quelle: BSI Aufrechterhaltung und Verbesserung 5

6 Notfallmanagement Zusammenfassung des Notfallmanagementprozesses: Initiierung des Notfallmanagements Konzeption des Notfallmanagements Umsetzung Notfallmanagements Notfallbewältigung Tests und Übungen Aufrechterhaltung und Verbesserung Leitlinie und Verantwortlichkeiten Notfallorganisation (Team-Bildung) BIA RIA (BIS 100-3, ISO 27005) Soll-Ist und Kosten-Nutzen-Analyse Planung, Budgetierung, Ressourcen Kontrolle der Umsetzung Meldung, Alarmierung und Eskalation Geschäftsfortführung und Wiederanlauf Funktionstests, Simulation, Vollübung Übungshandbuch Interne Audits Externe Audits 6

7 Notfallmanagement Begriffe: Begriffe Notfallmanagement, Business Continuity Management und betriebliches Kontinuitätsmanagement sind gleichzusetzen (*) IT-Notfallmanagement ist ein Teil des Notfallmanagements (*) Notfallmanagement IT-Notfallmanagement (*) Quelle: BSI 7

8 1. Definition und Motivation Gesetze, Verträge, Prüfungen: Gesetze Branchenabhängige (KWG, SOLAS, KTA, EnWG etc.) Branchenunabhängige (AktG, KonTraG, MaRisk etc.) Verträge mit den Geschäftspartnern (Kunden und Lieferanten) Prüfungsstandards (IDW PS 330, IDW PS 951, ISAE 3402 etc.) Umsetzung der IT-Sicherheit nach BSI-Standard und ISO Umsetzung der ISO oder OHSAS IT-Sicherheitsgesetz (Sommer 2015) Sorgfaltspflichten (gesunder Menschenverstand) 8

10 2. Normen und Standards Welche Normen und Standards sind wichtig? Kenntnisse und Dokumentation des IT- Verbundes werden von etablierten BCM-Standards vorausgesetzt. Kenntnisse und Dokumentation der Unternehmensorganisation werden von etablierten BCM-Standards vorausgesetzt. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 10

11 2. Normen und Standards Normen und Standards: Unternehmensorganisation DIN EN ISO 9001 und/oder IT-Verbund IT-Dokumentation (z.b. IT-Verbund nach BSI-Standard 100-2) Strukturierte IT-Dokumentation Notfallmanagement BSI-Standard und BSI Umsetzungsrahmenwerk Notfallmanagement (Februar 2013) ISO (seit Sommer 2012) BCI BCM Good Practice Guidelines 2013 (März 2013) ISO 31000, ISO 27005, BSI-Standard Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 11

12 2. Normen und Standards Standards und Normen im Vergleich: BSI ISO BCI GPG 2013 BSI-Standard ISO BCI-GPG 2013 Leitlinie Leitlinie Leitlinie Geltungsbereich Scope Scope Notfall-Organisation Notfall-Organisation Notfall-Organisation Business Impact Analyse Business Impact Analyse Business Impact Analyse Risikoanalyse Risikoanalyse Risikoanalyse Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Kontinuitätsstrategie und Notfallvorsorgekonzept Notfallbewältigung und Krisenmanagement Tests und Übungen Tests und Übungen Tests und Übungen. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 12

13 2. Normen und Standards Normen und Standards (warum?): Sehr gute Umsetzungshilfe (Leitfaden) Einheitliche Vorgaben und Methoden Transparenz, Vergleichbarkeit und Nachvollziehbarkeit Erlauben zuverlässige Projekt- und Kostenplanung Hohe Akzeptanz in den Unternehmen und Behörden Zertifizierung durch externe Stellen möglich Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 13

15 3. Projekt Notfallmanagement Projektmeilensteine: Projektorganisation (ISO DIN 69901) Projektziel(e) Geltungsbereich Projektleitung Projektteam Meilensteine Zeitrahmen Beschreibung der Arbeitspakete Ziele Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7 Projekt - Notfallmanagement 15

17 4. Aufbauorganisation im Notfallmanagement Initiierung und Leitlinie: Initiierung, Steuerung und Kontrolle durch die Geschäftsleitung Leitlinie Rahmenbedingungen für Notfallmanagement Geltungsbereich Ziel und Zweck Verantwortlichkeiten Notfallbeauftragte Notfallteams Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Meilenstein - Unternehmensorganisation 17

18 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation: Notfallvorsorgeorganisation Notfallbeauftragte Notfallkoordinatoren (optional) Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Notfallbewältigung Krisen- und Notfallstab Notfallteams Fremde Dritte (Blaulichtorganisationen, Dienstleister) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 18

19 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 19

20 4. Aufbauorganisation im Notfallmanagement Aufbauorganisation Beispiel 2: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Notfall-Aufbauorganisation 20

22 5. Business Impact Analyse [BIA] Business Impact Analyse - Prozess: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 23

23 5. Notfallmanagement (BIA-Prozess) Welche Informationen werden für die BIA benötigt? Aufbauorganisation OU1 OU2 OUn ISO 9001 o. andere Ablauforganisation P 1 P 2 P 3 P 4 P 5 Pn Anwendungen und Dienste IT-Dokumentation Server, Arbeitsplätze, Netzwerk Daten 24

24 5. Business Impact Analyse [BIA] Methoden der Auswahl der Bereiche und Prozesse: Alle Prozesse und organisatorische Einheiten aus dem Geltungsbereich Betriebswirtschaftliche Bedeutung der Prozesse Wesentlichkeitsgrenze (Nutzung der GuV- / Bilanzpositionen) ABC-Analyse (Betrachtung der Wertschöpfungskette) Gruppierung der Leistungen bzw. Produkte in A-B-C Kategorie Kleine Anzahl der Produkte liefert den wesentlichen Beitrag (Paretoprinzip) Anwendung oder Dienst Vielzahl der Prozesse werden durch wenige aber sehr kritische Anwendungen (ERP) realisiert. Compliance Berücksichtigung von Verträgen mit Geschäftspartnern Berücksichtigung von Gesetzen, d.h. auch Prozesse ohne besonderer wirtschaftlichen Bedeutung müssen in die BIA einbezogen werden 25

25 5. Business Impact Analyse [BIA] Schadensanalyse: Strukturierte Klassifizierung und Bewertung eines möglichen Schadens Berücksichtigung der Bewertungsperiode Schadenskategorien niedrig normal hoch sehr hoch Schadensszenarien Finanzielle Auswirkung Beeinträchtigung der Aufgabenerfüllung Verstoß gegen Gesetze, Vorschriften und Verträge Imageschaden Beeinträchtigung der persönlichen Unversehrtheit Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 26

26 5. Business Impact Analyse [BIA] Wiederanlaufparameter (Kritikalität): Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 27

27 5. Business Impact Analyse [BIA] Wiederanlaufparameter: MTA := Maximal tolerierbare Ausfallzeit WAZ := Wiederanlaufzeit Notbetriebszeit Wiederanlaufniveau Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 28

28 5. Business Impact Analyse [BIA] Ressourcen für Normal- und Notbetrieb: IT-Dokumentation als Voraussetzung Ressource Normalbetrieb Notbetrieb Mitarbeiter 45 3 Prozess Rechnungswesen Kreditoren und Debitoren Anwendung SAP SAP Server /BS /Dienste Server-Farm (Cluster) 1x HP DL 380 Daten ERP DB (vollständig) ERP DB (vollständig) Arbeitsplätze 45 3 Räume RZ Ausweich-Rechenzentrum Gebäude Hauptgebäude Provider Dienstleister SAP Dienstleister SAP Dienstleister. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 5 Standards und Normen 29

29 5. Business Impact Analyse [BIA] Berücksichtigung von Abhängigkeiten: WAZ Res = WAZ Res1 + WAZ Res2 + WAZ Resn Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 30

30 5. Business Impact Analyse [BIA] Das Ergebnis der Business Impact Analyse: P 1 P 2 P 3 P 4 P 5 Pn Unternehmensprozesse = Fachabteilung IT-Abteilung P 1 P 5 P 12 kritische Prozesse Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 2 Business Impact Analyse 31

32 6. Risikoanalyse [RIA] Risikoanalyse für kritische Prozesse und Ressourcen: Die Risikoanalyse dient die Gefährdungen zu identifizieren, die eine Unterbrechung der Prozesse verursachen können, und die damit verbundenen Risiken zu bewerten (*) Einbeziehung des betrieblichen Risikomanagements Risikoanalyse nur für kritische Prozesse (siehe BIA) Standards z.b. ISO 31000, ISO oder BSI-Standard Risikoidentifikation (z.b. BSI B0 46 Elementare Gefährdungen) Risikobewertung = JA oder NEIN Risikobewertung = Eintrittswahrscheinlichkeit * Auswirkung (*) Quelle: BSI-Standard

33 6. Risikoanalyse [RIA] Ergebnis der Risikoanalyse: Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung Übernahme - ohne Maßnahmen akzeptiert Transfer - Versicherung oder Dienstleister Vermeidung - Reorganisation Reduktion - Umsetzung von Maßnahmen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 3 Risikoanalyse 34

34 6. Risikoanalyse [RIA] - Beispiel Schaden sehr groß groß mittel klein R 1 R 2 R 3 R 4 Risiken 35

35 Risikoreduktion Risikovermeidung Risikoreduktion Risikoakzeptanz 6. Risikoanalyse [RIA] - Beispiel Schaden sehr groß groß Risikoakzeptanz Risikotransfer mittel klein R 1 R 2 R 3 R 4 Risiken 36

37 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kontinuitätsstrategie: Soll-Ist-Analyse (u.a. Wiederanlaufparameter) Lösung Kleine Lösung ( Cold-Standby ) Mittlere Lösung ( Warm-Standby ) Große Lösung ( Hot-Standby ) Kosten-Nutzen-Analyse Basis für die Notfallvorsorge (Maßnahmen) Risikobehandlung (Übernahme, Transfer, Vermeidung, Reduktion) Notfallvorsorgekonzept beschreibt die Umsetzung der Kontinuitätsstrategie Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 38

38 7. Kontinuitätsstrategie und Notfallvorsorgekonzept Kosten-Nutzen-Analyse: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 5 Notfallvorsorgekonzept 39

40 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Zu klären sind folgende Fragen: Ab wann geht die Störung in einen Notfall über? Wer entscheidet darüber? Alarmierung Sofortmaßnahmen Geschäftsfortführungspläne und Wiederanlaufpläne Notfallhandbuch Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 41

41 8. Ablauforganisation und Notfallhandbücher Ablauforganisation: Definitionen (Störung, Notfall, Krise, Katastrophe) Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 42

42 8. Ablauforganisation und Notfallhandbücher Alarmierung in der IT Beispiel 1: Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 6 Notfall-Ablauforganisation 43

43 8. Ablauforganisation und Notfallhandbücher Alarmierung (BSI-Beispiel) Beispiel 2: 44

44 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Ausführbares Ergebnis der Notfallvorsorge Einzige verbindliche Beschreibung aller Handlungen, Maßnahmen und Zuständigkeiten im Notfall Abfolge von Handlungen zur Behebung des Schadensereignisses Klar strukturiert Klar formuliert Jederzeit verfügbar und aktuell 45

45 8. Ablauforganisation und Notfallhandbücher Notfallhandbuch: Papier vs. digitales Notfallhandbuch 2 1 Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel Vorgang 7 Notfallhandbücher 46

47 9. Tests und Übungen Test und Übung: Funktionsfähigkeit der Notfallvorsorgeplanung kann nur im Notfall selbst oder während der Tests und Übungen festgestellt werden Planung und Durchführung regelmäßig geplant Analysiert Kosten-Nutzen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 48

48 9. Tests und Übungen Test und Übung: Prüfung der definierten Wiederanlaufparameter Wiederanlaufzeit und -niveau Handlungsanweisungen Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 49

50 10. Monitoring und Verbesserung Monitoring: Regelmäßige Überprüfung der Sachverhalte P-D-C-A z.b. Unternehmensorganisation, BIA, Risikoanalyse etc. z.b. Telefonlisten, externe Ansprechpartner etc. Vgl. (IT) Notfallmanagement im Unternehmen und in der Behörde - Kapitel 7.13 Meilenstein 5 Notfall-Übungen und Monitoring 51

51 Notfallmanagement Häufige Probleme bei der Umsetzung (Auszug): Übernahme der Verantwortung durch die Leitungsebene Dokumentation der Organisation, Prozesse und IT Planung und Durchführung der BIA Auswahl der organisatorischen Einheiten und Prozesse Festlegung der Wiederanlaufparameter Erhebung der Ressourcen für den Normal- und Notbetrieb Auswahl der geeigneten Methode für die Risikoanalyse Kontinuitätsstrategie Kosten-Nutzen-Analyse Test und Übungen 52

52 Fachbuch Praxisleitfaden: (IT) Notfallmanagement im Unternehmen und in der Behörde Standards Projektmethodik Geltungsbereich Business Impact Analyse Risikoanalyse Kosten-Nutzen-Analyse Geschäftsfortführungspläne Wiederanlaufpläne Notfallhandbücher Monitoring (P-D-C-A) Dokumentation ISBN oder 53

53 Vielen Dank für Ihre Aufmerksamkeit Wirtschaftsinformatiker Krzysztof Paschke WAK Schleswig-Holstein (Kiel) GRC Partner GmbH Schauenburgerstrasse 116 D Kiel Ein Unternehmen der AKRA Gruppe