Geschäftskontinuitätsplanung

Lebenszyklus für Geschäftskontinuitätsplanung

Geschäftskontinuität kann definiert werden als "die Fähigkeit einer Organisation, die Bereitstellung von Produkten oder Dienstleistungen auf vordefinierten akzeptablen Ebenen nach einem disruptiven Vorfall fortzusetzen",[1] und Geschäftskontinuitätsplanung [2][3] (oder Geschäftskontinuität und Resilienzplanung) ist der Prozess der Schaffung von Präventions- und Genesungssystemen, um potenzielle Bedrohungen für ein Unternehmen zu bewältigen.[4] Zusätzlich zur Prävention ist es das Ziel, laufende Operationen vor und während der Ausführung von zu ermöglichen Notfallwiederherstellung.[5] Geschäftskontinuität ist das beabsichtigte Ergebnis der ordnungsgemäßen Ausführung sowohl der Geschäftskontinuitätsplanung als auch der Katastrophenwiederherstellung.

Mehrere Geschäfte Kontinuitätsstandards wurden von verschiedenen Standards veröffentlicht, um die laufenden Planungsaufgaben zu unterstützen.[6]

Der Widerstand einer Organisation gegen Misserfolg ist "die Fähigkeit ... Veränderungen in seiner Umgebung standzuhalten und trotzdem zu funktionieren".[7] Oft bezeichnet Resilienz, es ist eine Fähigkeit, die es Unternehmen ermöglicht, entweder Umweltveränderungen zu ertragen, ohne dauerhaft anpassen zu müssen, oder die Organisation ist gezwungen, eine neue Arbeitsweise anzupassen, die den neuen Umweltbedingungen besser passt.[7]

Überblick

Jedes Ereignis, das sich negativ auswirken könnte, sollte in den Plan aufgenommen werden, wie z. Lieferkette Unterbrechung, Verlust oder Beschädigung der kritischen Infrastruktur (große Maschinerie oder Computer-/Netzwerkressource). Als solches ist BCP a Teilmenge von Risikomanagement.[8] In den USA beziehen sich Regierungsstellen auf den Prozess als Kontinuität der Betriebsplanung (Coop).[9] Ein Geschäftskontinuitätsplan[10] Umzusetzen eine Reihe von Katastrophenszenarien und die Schritte, die das Unternehmen in einem bestimmten Szenario unternehmen wird, um zum regulären Handel zurückzukehren. BCPs sind im Voraus geschrieben und können auch Vorsichtsmaßnahmen enthalten, die erteilt werden können. Normalerweise erstellt ein BCP mit der Eingabe wichtiger Mitarbeiter und Stakeholder und ist eine Reihe von Eventualitäten, um den potenziellen Schaden für Unternehmen in unerwünschten Szenarien zu minimieren.[11]

Widerstandsfähigkeit

Eine Analyse von 2005, wie Störungen sich nachteilig auf die Geschäftstätigkeit auswirken können und wie Investitionen in Widerstandsfähigkeit a geben können Wettbewerbsvorteil über Unternehmen, die nicht auf verschiedene Eventualitäten vorbereitet sind[12] Erweiterte Zeitungspraktiken der damaligen kommenden Geschäftskontinuitätsplanung. Geschäftsorganisationen wie die Rat für Wettbewerbsfähigkeit Umarmte dieses Widerstandsziel.[13]

Die Anpassung an eine scheinbar langsamere, evolutionäre Art und Weise - manchmal über viele Jahre oder Jahrzehnte - wurde als widerstandsfähiger beschrieben.[14] Und der Begriff "strategische Widerstandsfähigkeit" wird jetzt verwendet, um sich einer einmaligen Krise zu widersetzen, sondern sich kontinuierlich zu erwarten und anzupassen, "bevor der Fall für Veränderungen verzweifelt offensichtlich wird".

Dieser Ansatz wird manchmal zusammengefasst als: Bereitschaft,[15] Schutz, Reaktion und Genesung.[16]

Die Resilienztheorie kann mit dem Gebiet der Öffentlichkeitsarbeit zusammenhängen. Resilienz ist ein kommunikativer Prozess, der von Bürgern, Familien, Mediensystemen, Organisationen und Regierungen durch alltägliche Gespräche und vermittelte Gespräche errichtet wird.[17]

Die Theorie basiert auf der Arbeit von Patrice M. Buzzanell, Professor an der Brian Lamb School of Communication bei Purdue Universität. In ihrem Artikel von 2010 "Resilienz: Reden, Widerstand und Vorstellen neuer Normalcies zu sein"[18] Buzzanell diskutierte die Fähigkeit für Organisationen, nach einer Krise durch den Aufbau von Widerstand zu gedeihen. Buzzanell merkt an, dass es fünf verschiedene Prozesse gibt, die Individuen verwenden, wenn sie versuchen, die Resilienz-Erstellung der Normalität aufrechtzuerhalten, die Identitätsanker zu bestätigen, Kommunikationsnetzwerke aufrechtzuerhalten und zu verwenden, alternative Logiken für die Arbeit und das Herunterspielen negativer Gefühle zu senken, während sie positive Emotionen vorgehen.

Wenn Sie sich die Resilienztheorie ansehen, ist die Krisenkommunikationstheorie ähnlich, aber nicht dasselbe. Die Krisenkommunikationstheorie basiert auf dem Ruf des Unternehmens, aber die Resilienztheorie basiert auf dem Prozess der Wiederherstellung des Unternehmens. Es gibt fünf Hauptkomponenten der Widerstandsfähigkeit: Normalität basteln, Identitätsanker bestätigen, Kommunikationsnetzwerke pflegen und verwenden, alternative Logiken für die Arbeit bringen und negative Gefühle herunterspielen, während negative Emotionen vorgeführt werden.[19] Jedes dieser Prozesse kann für Unternehmen in Krisenzeiten anwendbar sein, was die Widerstandsfähigkeit zu einem wichtigen Faktor für Unternehmen während der Schulung macht.

Es gibt drei Hauptgruppen, die von einer Krise betroffen sind. Sie sind Micro (individuell), Meso (Gruppe oder Organisation) und Makro (national oder interorganisatorisch). Es gibt auch zwei Haupttypen von Resilienz, die proaktiv und nach Belastbarkeit nach der Resilienz sind. Die proaktive Widerstandsfähigkeit bereitet sich auf eine Krise vor und schafft eine solide Grundlage für das Unternehmen. Nach der Resilienz nach der Resilienz wird die Kommunikation fortgesetzt und bei den Mitarbeitern einchecken.[20] Proaktive Widerstandsfähigkeit befasst sich mit Problemen, bevor sie eine mögliche Verschiebung des Arbeitsumfelds und die Aufrechterhaltung der Kommunikation und die Annahme der Chancen nach einem Vorfall nach einem Vorfall zu tun haben. Resilienz kann auf jede Organisation angewendet werden.

Kontinuität

Pläne und Verfahren werden in der Planung der Geschäftskontinuität verwendet, um sicherzustellen, dass die kritischen Organisationsvorgänge, die erforderlich sind, um eine Organisation zu halten, während der Veranstaltungen weiterhin betrieben werden, wenn wichtige Abhängigkeiten des Betriebs gestört werden. Kontinuität muss nicht für jede Aktivität, die die Organisation ausübt, beantragen. Zum Beispiel unter ISO 22301: 2019, Organisationen müssen ihre Geschäftskontinuitätsziele, das Mindestniveau an Produkt- und Servicebetriebe definieren, die als akzeptabel angesehen werden und die maximale tolerierbare Störungsperiode (MTPD), was zulässig sein kann.[21]

Ein wesentlicher Planungskosten dafür ist die Erstellung von Dokumenten des Compliance -Managements der Prüfung. Automatisierungswerkzeuge stehen zur Verfügung, um die Zeit und die Kosten zu verkürzen, die mit der manuellen Herstellung dieser Informationen verbunden sind.

Inventar

Planer müssen Informationen über:

  • Ausrüstung
  • Lieferungen und Lieferanten
  • Standorte, einschließlich anderer Ämter und Backup/Arbeitsbereich Wiederherstellung (Kriegsgebiete) Standorte
  • Dokumente und Dokumentationen, einschließlich der Backup-Kopien außerhalb des Standorts:[10]
    • Geschäftsdokumente
    • Verfahrensdokumentation

Analyse

Die Analysephase besteht aus

  • Einflussanalyse
  • Bedrohungs- und Risikoanalyse und
  • Impact -Szenarien.

Die Quantifizierung der Verlustverhältnisse muss auch "Dollars zur Verteidigung einer Klage" enthalten.[22] Es wurde geschätzt, dass ein Dollar, der für die Verhütung von Verlustverlusten ausgegeben wurde, "sieben Dollar an katastrophenbedingten wirtschaftlichen Verlusten" verhindern kann.[23]

Business Impact Analysis (BIA)

Hauptartikel: Disaster Recovery § IT -Service -Kontinuität

Eine Business Impact Analysis (BIA) unterscheidet kritische (dringende) und nicht kritische (nicht dringende) Organisationsfunktionen/Aktivitäten. Eine Funktion kann als kritisch angesehen werden, wenn sie gesetzlich diktiert werden.

Jede Funktion/Aktivität basiert typischerweise auf einer Kombination von Bestandteilen, um zu arbeiten:

  • Personalressourcen (Vollzeitpersonal, Teilzeitpersonal oder Auftragnehmer)
  • IT -Systeme
  • Physische Vermögenswerte (Mobiltelefone, Laptops/Arbeitsstationen usw.)
  • Dokumente (elektronisch oder physisch)

Für jede Funktion werden zwei Werte zugewiesen:

  • Wiederherstellungspunktziel (RPO) - Die akzeptable Latenz der Daten, die nicht wiederhergestellt werden. Ist es beispielsweise für das Unternehmen akzeptabel, 2 Tage Daten zu verlieren?[24] Das Ziel des Wiederherstellungspunkts muss sicherstellen, dass der maximal erträglicher Datenverlust für jede Aktivität nicht überschritten wird.
  • Erholungszeitziel (RTO) - die akzeptable Zeit, um die Funktion wiederherzustellen

Maximale RTO

Maximale zeitliche Einschränkungen für die Zeit, wie lange die wichtigsten Produkte oder Dienstleistungen eines Unternehmens nicht verfügbar sind oder nicht zustellbar sind, bevor die Stakeholder inakzeptable Konsequenzen wahrnehmen, die als:

  • Maximale tolerierbare Störungsperiode (Mtpod)
  • Maximale erträgliche Ausfallzeit (Mtd)
  • Maximal erträglicher Ausfall (Mto)
  • Maximal zulässiger Ausfall (Mao)[25][26]

Laut ISO 22301 die Begriffe Maximal akzeptabler Ausfall und maximale tolerierbare Störungsperiode bedeuten dasselbe und werden mit genau denselben Wörtern definiert.[27]

Konsistenz

Wenn mehr als ein System abstürzt, müssen Wiederherstellungspläne die Notwendigkeit einer Datenkonsistenz mit anderen Zielen wie RTO und RPO ausgleichen.[28] Erholungskonsistenzziel (RCO) ist der Name dieses Ziels. Es gilt Datenkonsistenz Ziele, eine Messung für die Konsistenz verteilter Geschäftsdaten in verknüpften Systemen nach einem Katastrophenfall zu definieren. Ähnliche Begriffe, die in diesem Zusammenhang verwendet werden, sind "Recovery Consistency Merkmale" (RCC) und "Wiederherstellungsobjekt -Granularität" (ROG).[29]

Während RTO und RPO absolute pro-System-Werte sind, wird RCO als Prozentsatz ausgedrückt, der die Abweichung zwischen tatsächlichen und gezielten Geschäftszustand für Unternehmensdaten für Prozessgruppen oder individuelle Geschäftsprozesse misst.

Die folgende Formel berechnet RCO mit "N", die die Anzahl der Geschäftsprozesse und "Entitäten" darstellt, die einen abstrakten Wert für Geschäftsdaten darstellen:

100% RCO bedeutet, dass nach der Wiederherstellung keine Geschäftsdatenabweichung auftritt.[30]

Bedrohungs- und Risikoanalyse (TRA)

Nach der Definition von Wiederherstellungsanforderungen kann jede potenzielle Bedrohung einzigartige Wiederherstellungsschritte erfordern. Gemeinsame Bedrohungen sind:

  • Epidemie/Pandemie
  • Erdbeben
  • Feuer
  • Flut
  • Cyber ​​Attacke
  • Sabotage (Insider oder externe Bedrohung)
  • Hurrikan oder ein anderer großer Sturm
  • Stromausfall
  • Wasserausfall (Versorgungsunterbrechung, Kontamination)
  • Telekommunikationsausfall
  • Es Ausfall
  • Terrorismus/Piraterie
  • Krieg/zivile Unruhe
  • Diebstahl (Insider oder externe Bedrohung, wichtige Informationen oder Material)
  • Zufälliger Versagen von geschäftskritischen Systemen
  • Einzelpunktabhängigkeit
  • Lieferantenversagen
  • Datenkorruption
  • Missverständnis

Die oben genannten Bereiche können kaskaden: Scherze können stolpern. Lieferungen können erschöpft werden. Während der 2002-2003 SARS Ausbruch, einige Organisationen unterteilen und drehten Teams, um dem zu entsprechen Inkubationszeit der Krankheit. Sie verboten auch den persönlichen Kontakt sowohl während der Geschäftszeiten als auch während der Nicht-Business-Stunden. Dies nahm zu Elastizität gegen die Bedrohung.

Impact -Szenarien

Impact -Szenarien werden identifiziert und dokumentiert:

  • Bedarf an medizinischen Versorgung[31]
  • Bedarf an Transportoptionen[32]
  • Zivilistische Auswirkungen von Atomkatastrophen[33]
  • Bedarf an Geschäfts- und Datenverarbeitung Vorräten[34]

Diese sollten den größten möglichen Schaden widerspiegeln.

Stufen der Bereitschaft

TEILEN'S sieben Ebenen von Notfallwiederherstellung[35] 1992 veröffentlicht, wurden 2012 von IBM als achtstufiges Modell aktualisiert:[36]

  • Stufe 0 - Keine Daten außerhalb des Standorts • Unternehmen mit einer Stufe 0 Disaster Recovery -Lösung haben keinen Disaster Recovery -Plan. Es gibt keine gespeicherten Informationen, keine Dokumentation, keine Sicherungshardware und keinen Notfallplan. Typische Erholungszeit: Die Länge der Erholungszeit in diesem Fall ist unvorhersehbar. In der Tat ist es möglicherweise nicht möglich, sich zu erholen.
  • Stufe 1 - Datensicherung ohne heiße Site • Unternehmen, die Tier 1 Disaster Recovery-Lösungen verwenden, unterstützen ihre Daten in einer Einrichtung außerhalb des Standorts. Je nachdem, wie oft Backups hergestellt werden, sind sie bereit zu akzeptieren Mehrere Tage bis Wochen Datenverlust, aber ihre Backups sind sicher außerhalb des Standorts. In dieser Ebene fehlen jedoch die Systeme, auf denen Daten wiederhergestellt werden können. Pickup -Truck -Zugangsmethode (PTAM).
  • Rang 2 - Datensicherung mit Hot Site • Tier 2 Disaster Recovery -Lösungen erstellen regelmäßige Sicherungen auf Band. Dies wird mit einer Off-Site-Einrichtung und -infrastruktur (als heißer Standort bezeichnet) kombiniert, in der Systeme im Falle einer Katastrophe von diesen Bändern wiederhergestellt werden können. Diese Stufelösung führt weiterhin dazu, dass einige Stunden bis Tage Daten nachgebildet werden müssen, aber jedoch Es ist in der Erholungszeit weniger unvorhersehbar. Beispiele sind: PTAM mit Hot Site verfügbar, IBM Tivoli Storage Manager.
  • Stufe 3 - elektronisches Vantieren • Tier 3-Lösungen verwenden Komponenten von Tier 2. Darüber hinaus werden einige missionskritische Daten elektronisch gewölbt. Diese elektronisch gewölbten Daten sind in der Regel aktueller als die, die über PTAM geliefert werden. Infolgedessen gibt es weniger Datenerholung oder Verlust nach einer Katastrophe.
  • Tier 4-Punkt-in-Zeit-Kopien • Tier 4 -Lösungen werden von Unternehmen verwendet, die sowohl eine größere Datenwährung als auch eine schnellere Wiederherstellung benötigen als Benutzer mit niedrigeren Ebenen. Anstatt sich größtenteils auf das Versandband zu verlassen, wie es in den unteren Ebenen üblich ist, beginnen die Lösungen von Tier 4, mehr auf diskbasierte Lösungen aufzunehmen. Mehrere Stunden Datenverlust sind noch möglichEs ist jedoch einfacher, solche Kopien von Point-in-Time-Kopien mit größerer Häufigkeit zu erstellen als Daten, die über bandbasierte Lösungen repliziert werden können.
  • Tier 5 - Transaktionsintegrität • Die Lösungen von Tier 5 werden von Unternehmen verwendet, die eine Konsistenz von Daten zwischen Produktions- und Wiederherstellungsdatenzentren erfordern. Es gibt wenig bis gar keine Datenverlust in solchen Lösungen; Das Vorhandensein dieser Funktionalität hängt jedoch vollständig von der verwendeten Anwendung ab.
  • Stufe 6 - Null oder wenig Datenverlust • Stufe 6 Disaster Recovery -Lösungen Behalten Sie die höchsten Datenwährungsniveaus bei. Sie werden von Unternehmen mit wenig oder gar keiner Toleranz gegenüber Datenverlust verwendet und die Daten schnell wieder auf Anwendungen wiederhergestellt werden. Diese Lösungen sind nicht von den Anwendungen abhängig, um Datenkonsistenz bereitzustellen.
  • Tier 7 - Hoch automatisierte, geschäftsintegrierte Lösung • Zu den Lösungen der Tier 7 gehören alle Hauptkomponenten, die für eine Tier 6 -Lösung mit zusätzlicher Integration der Automatisierung verwendet werden. Dies ermöglicht eine Stufe 7 -Lösung, um die Konsistenz der oben genannten Daten zu gewährleisten, von denen die Lösungen der Stufe 6 gewährt werden. Darüber hinaus wird die Wiederherstellung der Anwendungen automatisiert, sodass die Wiederherstellung von Systemen und Anwendungen viel schneller und zuverlässig mehr als durch manuelle Disaster Recovery -Verfahren möglich wäre.

Lösungsdesign

Zwei Hauptanforderungen aus der Impact -Analyse -Phase sind:

  • Dafür: die minimalen Anwendungs- und Datenanforderungen und die Zeit, in der sie verfügbar sein müssen.
  • Draußen: Erhaltung der harten Kopie (wie Verträge). Ein Prozessplan muss qualifizierte Mitarbeiter und eingebettete Technologie berücksichtigen.

Diese Phase überschneidet sich mit einer Disaster Recovery Disaster Recovery -Planung.

Die Lösungsphase bestimmt:

  • Krisenmanagement Befehlsstruktur
  • Telekommunikationsarchitektur zwischen Primär- und Sekundärarbeitsstandorten
  • Datenreplikation Methodik zwischen Primär- und Sekundärarbeitsstellen
  • Backup -Site mit Anwendungen, Daten und Arbeitsraum

ISO -Standards

Es stehen viele Standards zur Verfügung, um die Planung und das Management der Geschäftskontinuität zu unterstützen. ISO hat zum Beispiel eine ganze Reihe von Standards zu Business Continuity Management -Systemen entwickelt [37] Unter Verantwortung des technischen Ausschusses ISO/TC 292:

  • ISO 22300: 2021 Sicherheit und Belastbarkeit - Wortschatz[38]
  • ISO 22301: 2019 Sicherheit und Belastbarkeit - Business Continuity Management Systems - Anforderungen[39]
  • ISO 22313: 2020 Sicherheit und Belastbarkeit - Business Continuity Management Systems - Anleitung zur Verwendung von ISO 22301[40]
  • ISO/TS 22317: 2021 Sicherheit und Resilienz - Unternehmenskontinuitätsmanagementsysteme - Richtlinien für die Analyse des Unternehmens Impact[41]
  • ISO/TS 22318: 2021 Sicherheit und Belastbarkeit - Geschäftskontinuitätsmanagementsysteme - Richtlinien für die Kontinuität der Lieferkette[42]
  • ISO/TS 22330: 2018 Sicherheit und Belastbarkeit - Business Continuity Management Systems - Richtlinien für Menschenaspekte auf Geschäftskontinuität[43]
  • ISO/TS 22331: 2018 Sicherheit und Resilienz - Business Continuity Management Systems - Richtlinien für die Strategie für Geschäftskontinuität[44]
  • ISO/TS 22332: 2021 Sicherheit und Resilienz - Geschäftskontinuitätsmanagementsysteme - Richtlinien für die Entwicklung von Plänen und Verfahren für Geschäftskontinuität[45]
  • ISO/IEC/TS 17021-6: 2015 Konformitätsbewertung-Anforderungen an Stellen, die Prüfung und Zertifizierung von Managementsystemen bereitstellen-Teil 6: Kompetenzanforderungen für die Prüfung und Zertifizierung von Unternehmenskontinuitätsmanagementsystemen[46]
  • ISO/IEC 27031: 2011 Sicherheitstechniken - Richtlinien für Informations- und Kommunikationstechnologiebereitschaft für die Geschäftskontinuität.

Britische Standards

Das BSI Group British Standards Institution (BSI) veröffentlichte eine Reihe von Standards:

  • 1995: BS 7799, peripher behandelte Verfahren zur Informationssicherheit. (zurückgezogen)
  • 2006: BCP - BS 25999-1 Business Continuity Management. Praxiskodex (zurückgezogen)
  • 2007: BS 25999-2 Spezifikation für Business Continuity Management, in dem die Anforderungen für die Implementierung, Betrieb und Verbesserung eines dokumentierten Business Continuity Management Systems (BCMS) festgelegt sind. (zurückgezogen)
  • 2008: BS 25777, speziell zur Übereinstimmung der Computerkontinuität mit der Geschäftskontinuität. (zurückgezogen März 2011)

Diese Standards wurden zurückgezogen und durch die obigen ISO -Standards ersetzt. Innerhalb Großbritanniens wurden BS 25999-2: 2007 und BS 25999-1: 2006 für Business Continuity Management in allen Organisationen, Branchen und Sektoren verwendet. Diese Dokumente bieten einen praktischen Plan, um mit den meisten Eventualitäten umzugehen - von extremen Wetterbedingungen bis hin zu Terrorismus, IT -Systemversagen und Personalkrankheit.[47]

Itil hat einige dieser Begriffe definiert.[48]

Zivil -Eventualgesetz

Im Jahr 2004 verabschiedete die britische Regierung nach Krisen in den vorangegangenen Jahren die britische Regierung Zivil -Eventionalgesetz von 2004: Unternehmen müssen Kontinuitätsplanungsmaßnahmen haben, um zu überleben und weiterhin zu gedeihen und gleichzeitig darauf hinzuarbeiten, den Vorfall so minimal wie möglich zu halten.[49]

Die Akt wurde in zwei Teile unterteilt:

  • Teil 1: Zivilschutz, Abdeckung von Rollen und Verantwortlichkeiten für lokale Responders
  • Teil 2: Notfallbefugnisse

Australien und Neuseeland

Vereinigtes Königreich und Australien[50] haben Resilienz in ihre Kontinuitätsplanung integriert.[51][52] In Großbritannien wird die Resilienz vor Ort von der umgesetzt Lokales Resilienzforum.

In Neuseeland entwickelte das Programm Resilient Organizations -Programm der Canterbury University ein Bewertungsinstrument zum Benchmarking der Widerstandsfähigkeit von Organisationen.[53] Es deckt 11 Kategorien mit jeweils 5 bis 7 Fragen ab. EIN Resilienzverhältnis fasst diese Bewertung zusammen.[54]

Implementierung und Test

Die Implementierungsphase umfasst Richtlinienänderungen, Materialakquisitionen, Personal und Tests.

Testen und organisatorische Akzeptanz

Das Buch 2008 Ausübung für Exzellenz, veröffentlicht von der Britische Standardinstitution Identifizierte drei Arten von Übungen, die beim Testen von Geschäftskontinuitätsplänen verwendet werden können.

  • Tischübungen - Eine kleine Anzahl von Menschen konzentriert sich auf einen bestimmten Aspekt eines BCP. Eine andere Form beinhaltet einen einzelnen Vertreter von jedem von mehreren Teams.
  • Mittlere Übungen - Mehrere Abteilungen, Teams oder Disziplinen konzentrieren sich auf mehrere BCP -Aspekte; Der Umfang kann von einigen Teams von einem Gebäude bis zu mehreren Teams reichen, die über verteilte Standorte hinweg operieren. Vor dem Schriften "Überraschungen" werden hinzugefügt.
  • Komplexe Übungen - Alle Aspekte einer mittleren Übung bleiben bestehen, aber für die Aktivierung des maximalen Realismus werden jedoch die tatsächliche Evakuierung und die tatsächliche Aufruf eines Katastrophenwiederherstellungsstandorts hinzugefügt.

Während die Start- und Stoppzeiten vorhanden sind, kann die tatsächliche Dauer nicht bekannt sein, wenn Ereignisse ihren Kurs durchführen dürfen.

Wartung

Biannuelle oder jährliche Wartungszykluswartung eines BCP -Handbuchs[50] wird in drei regelmäßige Aktivitäten unterteilt.

  • Die Bestätigung von Informationen im Handbuch, um das Personal für das Bewusstsein und eine spezifische Schulung für kritische Personen zu veranlassen.
  • Testen und Überprüfung technischer Lösungen für Wiederherstellungsvorgänge.
  • Testen und Überprüfung der Organisationswiederherstellungsverfahren.

Probleme, die während der Testphase gefunden wurden, müssen häufig wieder in die Analysephase eingeführt werden.

Informationen und Ziele

Das BCP -Handbuch muss sich mit der Organisation weiterentwickeln und Informationen darüber erhalten Wer muss wissen, was:

  • Eine Reihe von Checklisten
    • Jobbeschreibungen, erforderliche Fähigkeiten, Schulungsanforderungen
    • Dokumentation und Dokumentverwaltung
  • Definitionen der Terminologie, um die zeitnahe Kommunikation während der Erleichterung zu erleichtern Notfallwiederherstellung,[55]
  • Vertriebslisten (Mitarbeiter, wichtige Kunden, Anbieter/Lieferanten)
  • Informationen zur Kommunikations- und Transportinfrastruktur (Straßen, Brücken)[56]

Technisch

Spezialisierte technische Ressourcen müssen aufrechterhalten werden. Die Überprüfungen umfassen:

  • Virus Definitionsverteilung
  • Sicherheits- und Service -Patch -Verteilung für Anwendungen
  • Hardware -Betriebsfähigkeit
  • Anwendungsbetrieb
  • Datenüberprüfung
  • Datenanwendung

Testen und Überprüfung der Wiederherstellungsverfahren

Änderungen des Software- und Arbeitsprozesses müssen dokumentiert und validiert werden, einschließlich der Überprüfung, die die Aufgaben zur Wiederherstellung von Arbeitsprozessen und die Unterstützung der Disaster Recovery -Infrastruktur dokumentierte, ermöglicht es den Mitarbeitern, sich innerhalb des vorab festgelegten Erholungszeitziels wiederzuerlangen.[57]

Siehe auch

Verweise

  1. ^ BCI Good Practice -Richtlinien 2013, zitiert in Mid Sussex District Council, Erklärung zur Geschäftskontinuitätsrichtlinie, veröffentlicht April 2018, abgerufen am 19. Februar 2021
  2. ^ "Wie man einen effektiven und organisierten Geschäftskontinuitätsplan erstellt". Forbes. 26. Juni 2015.
  3. ^ "Eine Katastrophe überleben" (PDF). Amerikanische Bar.org (American Bar Association). 2011.
  4. ^ Elliot, D.; Swartz, E.; Herbane, B. (1999) wartet gerade auf den nächsten Urknall: Business Continuity Planning im britischen Finanzsektor. Journal of Applied Management Studies, Vol. 8, nein, S. 43–60. Hier: p. 48.
  5. ^ Alan Berman (9. März 2015). "Erstellung eines erfolgreichen Geschäftskontinuitätsplans". Business Insurance Magazine.
  6. ^ "Business Continuity Plan". US -amerikanische Heimatschutzministerium. Abgerufen 4. Oktober 2018.
  7. ^ a b Ian McCarthy; Mark Collard; Michael Johnson (2017). "Adaptive organisatorische Belastbarkeit: Eine evolutionäre Perspektive". Aktuelle Meinung in der ökologischen Nachhaltigkeit. 28: 33–40. doi:10.1016/j.cosust.2017.07.005.
  8. ^ Intrieri, Charles (10. September 2013). "Geschäftskontinuitätsplanung". Fließend. Abgerufen 29. September 2013.
  9. ^ "Kontinuitätsressourcen und technische Unterstützung | fema.gov". www.fema.gov.
  10. ^ a b "Ein Leitfaden zur Erstellung eines Geschäftskontinuitätsplans" (PDF).
  11. ^ "Business Continuity Planning (BCP) für Unternehmen aller Größen". 19. April 2017. archiviert von das Original am 24. April 2017. Abgerufen 28. April 2017.
  12. ^ Yossi Sheffi (Oktober 2005). Das widerstandsfähige Unternehmen: Überwindung der Verwundbarkeit für wettbewerbsfähige Unternehmen überwinden. MIT Press.
  13. ^ "Transformation. Die widerstandsfähige Wirtschaft".
  14. ^ "Newsday | Long Islands & NYCs Nachrichtenquelle | Newsday".
  15. ^ Tiffany Braun; Benjamin Martz (2007). "Geschäftskontinuitätsvorbereitungen und die Achtsamkeit des Geisteszustands". AMCIS 2007 Proceedings. S2CID 7698286. "Schätzungsweise 80 Prozent der Unternehmen ohne gut konzipierten und getesteten Geschäftskontinuitätsplan gehen innerhalb von zwei Jahren nach einer größeren Katastrophe das Geschäft" (Santangelo 2004)
  16. ^ "Anhang A.17: Aspekte der Informationssicherheit des Business Continuity Management". Isms.online. November 2021.
  17. ^ "Kommunikation und Belastbarkeit: Schließende Gedanken und Schlüsselfragen für die zukünftige Forschung" abschließend ". www.researchgate.net.
  18. ^ Buzzanell, Patrice M. (2010). "Resilienz: Reden, Widerstand und Vorstellen neuer Normalcies zu sein". Journal of Communication. 60 (1): 1–14. doi:10.1111/j.1460-2466.2009.01469.x. ISSN 1460-2466.
  19. ^ Buzzanell, Patrice M. (März 2010). "Resilienz: Reden, Widerstand und Vorstellen neuer Normalcies zu sein". Journal of Communication. 60 (1): 1–14. doi:10.1111/j.1460-2466.2009.01469.x. ISSN 0021-9916.
  20. ^ Buzzanell, Patrice M. (2018-01-02). "Organisieren von Resilienz als adaptive Transformationsspannungen". Journal of Applied Communication Research. 46 (1): 14–18. doi:10.1080/00909882.2018.1426711. ISSN 0090-9882. S2CID 149004681.
  21. ^ ISO, ISO 22301 Business Continuity Management: Ihr Implementierungshandbuch, veröffentlicht, abgerufen am 20. Februar 2021
  22. ^ "Notfallplanung" (PDF).
  23. ^ Helen Clark (15. August 2012). "Kann Ihre Organisation eine Naturkatastrophe überleben?" (PDF). Ri.gov.
  24. ^ Mai, Richard. "RPO und RTO finden". Archiviert von das Original Am 2016-03-03.
  25. ^ "Maximal akzeptabler Ausfall (Definition)". riskyThinking.com. Albion Research Ltd. Abgerufen 4. Oktober 2018.
  26. ^ "BIA -Anweisungen, Business Continuity Management - Workshop" (PDF). driecentral.org. Disaster Recovery Information Exchange (DRIE) Central. Abgerufen 4. Oktober 2018.
  27. ^ "Plain English ISO 22301 2012 Business Continuity Definitionen". praxiom.com. Praxiom Research Group Ltd.. Abgerufen 4. Oktober 2018.
  28. ^ "Der Aufstieg und der Anstieg der Genesungskonsistenzziel". 2016-03-22. Archiviert von das Original am 2020-09-26. Abgerufen 9. September, 2019.
  29. ^ "Wie man eine Recovery -Management -Lösung bewertet." West World Productions, 2006 [1]
  30. ^ Josh Krischer; Donna Scott; Roberta J. Witty. "Sechs Mythen über Business Continuity Management und Disaster Recovery" (PDF). Gartner -Forschung.
  31. ^ "Standort und Vertrieb in Katastrophen medizinischer Versorgung". doi:10.1016/j.ijpe.2009.10.004. {{}}: Journal zitieren erfordert |journal= (Hilfe)[Klarstellung erforderlich]
  32. ^ "Transportplanung in der Katastrophenerholung". Scholar.google.com.
  33. ^ "Planungsszenarien Executive Zusammenfassungen" (PDF).
  34. ^ Chloe Demrovsky (22. Dezember 2017). "Alles zusammenhalten". Fertigungsgeschäftstechnologie.
  35. ^ entwickelt vom technischen Lenkungsausschuss von Share und Zusammenarbeit mit IBM
  36. ^ Ellis Holman (13. März 2012). "Eine Auswahlmethode für Business Continuity Solution" " (PDF). IBM Corp.
  37. ^ "ISO - ISO/TC 292 - Sicherheit und Belastbarkeit". Internationale Standardisierungsorganisation.
  38. ^ "ISO 22300: 2018". ISO.
  39. ^ "ISO 22301: 2019". ISO.
  40. ^ "ISO 22313: 2020". ISO.
  41. ^ "ISO/TS 22317: 2021".
  42. ^ "ISO/TS 22318: 2021".
  43. ^ "ISO/TS 22330: 2018". ISO.
  44. ^ "ISO/TS 22331: 2018". ISO.
  45. ^ "ISO/TS 22332: 2021".
  46. ^ "ISO/IEC TS 17021-6: 2014". ISO.
  47. ^ British Standards Institution (2006). Business Continuity Management-Party 1: Praxiskodex: London
  48. ^ "Glossare von Begriffen". Axelos.
  49. ^ Kabinettsbüro. (2004). Überblick über das Gesetz. In: Civil Eventing Contingencies Secretariat Civil Eventing Contingencies Act 2004: a Short. London: Zivil -Eventual -Sekretariat
  50. ^ a b "Business Continuity Plan Vorlage".
  51. ^ Widerstandsfähige Nation Archiviert 2015-09-23 bei der Wayback -Maschine. Demos. April 2009.
  52. ^ Verbesserung der Widerstandsfähigkeit der Katastrophen Archiviert 2019-02-07 bei der Wayback -Maschine. Australische Regierung. 12. Mai 2009.
  53. ^ "Widerstandsfähige Organisationen". 22. März 2011.
  54. ^ "Resilienzdiagnose". 28. November 2017.
  55. ^ "Glossar | Dri International". drii.org.
  56. ^ "Checkliste für Disaster Wiederherstellungsplan" (PDF). Cms.gov.
  57. ^ Othman. "Validierung eines Disaster Management Metamodel (DMM)". Scholar.google.com.

Weitere Lektüre

Vereinigte Staaten

Literaturverzeichnis

Internationale Standardisierungsorganisation

  • ISO 22300: 2018 Sicherheit und Belastbarkeit - Wortschatz
  • ISO 22301: 2019 Sicherheit und Belastbarkeit - Business Continuity Management Systems - Anforderungen
  • ISO 22313: 2013 Sicherheit und Belastbarkeit - Business Continuity Management Systems - Anleitung zur Verwendung von ISO 22301
  • ISO/TS 22315: 2015 Societal Security - Business Continuity Management Systems - Richtlinien für die Analyse der Unternehmenseffekte (BIA)
  • ISO/PAS 22399: 2007 Richtlinie für Vorbereitungen und operatives Kontinuitätsmanagement (zurückgezogen)
  • ISO/IEC 24762: 2008 Richtlinien für Informations- und Kommunikationstechnologie Disaster Recovery Services
  • ISO/IEC 27001: 2013 (ehemals BS 7799-2: 2002) Informationstechnologie-Sicherheitstechniken-Informationssicherheitsmanagementsysteme-Anforderungen
  • ISO/IEC 27002: 2013 Informationstechnologie - Sicherheitstechniken - Praxiskodex für Informationssicherheitskontrollen
  • ISO/IEC 27031: 2011 Informationstechnologie - Sicherheitstechniken - Richtlinien für Informations- und Kommunikationstechnologiebereitschaft für die Geschäftskontinuität
  • IWA 5: 2006 Notfallvorsorge (zurückgezogen)

Britische Standardinstitution

  • BS 25999-1: 2006 Business Continuity Management Teil 1: Praxiskodex (ersetzt, zurückgezogen)
  • BS 25999-2: 2007 Business Continuity Management Part 2: Spezifikation (ersetzt, zurückgezogen)

Australiens Standards

  • HB 292-2006, "Ein Praktikerleitfaden für das Geschäftskontinuitätsmanagement"
  • HB 293-2006, "Executive Guide to Business Continuity Management"

Andere

  • James C. Barnes (2001-06-08). Ein Leitfaden für die Planung der Geschäftskontinuität. ISBN 978-0471530152.
  • Kenneth L Fulmer (2004-10-04). Geschäftskontinuitätsplanung, ein Schritt-für-Schritt-Leitfaden. ISBN 978-1931332217.
  • Richard Kepenach. Design des Geschäftskontinuitätsplans, 8 Schritte zum Entwerfen eines Plans.
  • Judy Bell (Oktober 1991). Katastrophenüberlebensplanung: Ein praktischer Leitfaden für Unternehmen. ISBN 978-0963058003.
  • Dimattia, S. (15. November 2001). "Planung für Kontinuität". Bibliotheksjournal. 126 (19): 32–34.
  • Andrew Zolli; Ann Marie Healy (2013). Resilienz: Warum die Dinge zurückprallen. Simon & Schuster. ISBN 978-1451683813.
  • Internationales Glossar für Widerstandsfähigkeit, DRI International.

Externe Links