Disaster Recovery und Business Continuity Auditing

Angesichts der zunehmenden Abhängigkeit von der Informationstechnologie von Unternehmen, um ihre Operationen auszuführen, Geschäftskontinuitätsplanung deckt die gesamte Organisation ab, und Notfallwiederherstellung konzentriert sich auf ES.

Prüfung von Dokumenten, die die Organisation abdecken Geschäftskontinuität und Notfallwiederherstellung Pläne bieten eine Validierung von Drittanbietern an Stakeholder dass die Dokumentation abgeschlossen ist und nicht enthält Material falsche Darstellungen.

Mangelnde Vollständigkeit kann zu übersehenen Sekundäreffekten führen, beispielsweise wenn die Telekommunikationskapazität der Arbeitskapazität von Arbeit zu Hause erheblich erhöht wird, und die zweiwöchentliche Gehaltsabrechnung, die innerhalb der ersten 48 Stunden nicht kritisch war , kompliziert durch staatliche und möglicherweise gewerkschaftsreaktion.[1]

Überblick

Die Begriffe der Geschäftskontinuität und der Katastrophenerholung sind häufig sehr unterschiedlich. Business Continuity bezieht sich auf die Fähigkeit eines Unternehmens, kritische Funktionen und Geschäftsprozesse nach dem Auftreten einer Katastrophe fortzusetzen, während sich eine Disaster Recovery speziell auf die Informationstechnologie (IT) und die datenorientierten Funktionen des Unternehmens bezieht und eine Teilmenge des Geschäfts ist Kontinuität.[2]

Metriken

Das Hauptziel ist es, die Organisation zu schützen, wenn der gesamte oder ein Teil ihrer Operationen und/oder Computerdienste teilweise oder völlig unbrauchbar gemacht werden.

Ein DR -Plan, der die Chronologie der veranschaulicht RPO und die RTO in Bezug auf die Mi.

Das Minimieren von Ausfallzeiten und Datenverlust während der Katastrophenwiederherstellung wird in Bezug auf zwei Konzepte gemessen:

  • Erholungszeitziel (RTO), Zeit, bis ein System vollständig in Betrieb ist
  • Wiederherstellungspunktziel (RPO), ein Maß für die Möglichkeit, Dateien wiederherzustellen, indem eine Zeitrestaurate der Sicherungskopie angegeben wird.

Die Rolle des Wirtschaftsprüfers

Ein Wirtschaftsprüfer untersucht und bewertet

  • Die im BCP- und DR -Plan angegebenen Verfahren stimmen tatsächlich mit der realen Praxis überein
  • Eine bestimmte Person innerhalb der Organisation, die als Disaster Recovery Officer, die Disaster Recovery -Verbindungsverbindung, der DR -Koordinator oder ein ähnlicher Titel bezeichnet werden kann Teammitglieder, um zugewiesene Aufgaben zu erledigen
  • Mehr als eine Person ist geschult und in der Lage, während der Disaster Recovery -Übung eine bestimmte Funktion zu erfüllen. Tests und Anfragen des Personals können dazu beitragen, dieses Ziel zu erreichen.

Dokumentation

Um ihre Effektivität zu maximieren, sind Katastrophenwiederherstellungspläne am effektivsten, wenn sie häufig aktualisiert werden, und sollten:

  • ein wesentlicher Bestandteil von allen sein Wirtschaftsanalyse Prozesse,
  • bei jeder großen Unternehmenserfassung, bei jeder neuen Produkteinführung und bei jedem neuen Meilenstein der Systementwicklung überarbeitet werden.

Angemessene Aufzeichnungen müssen von der Organisation beibehalten werden. Der Auditor prüft Aufzeichnungen, Billings und Verträge, um zu überprüfen, ob Aufzeichnungen aufbewahrt werden. Ein solcher Datensatz ist eine aktuelle Liste der Hardware- und Softwareanbieter des Unternehmens. Diese Liste wird erstellt und regelmäßig aktualisiert, um die sich ändernde Geschäftspraxis widerzuspiegeln. Kopien davon werden auf der Website und außerhalb der Website gespeichert und für diejenigen, die sie benötigen, verfügbar oder zugänglich gemacht. Ein Auditor testet die Verfahren, die zur Erfüllung dieses Ziels und der Bestimmung seiner Wirksamkeit verwendet werden.

Katastrophenerholungsplan

A Katastrophenerholungsplan (DRP) ist ein dokumentierter Prozess oder eine Reihe von Verfahren zur Ausführung der Organisation Notfallwiederherstellung Prozesse und erholen und schützen ein Unternehmen ES Infrastruktur im Falle von a Katastrophe.[3] Es ist "eine umfassende Aussage über konsequente Maßnahmen, die vor, während und nach einer Katastrophe ergriffen werden können".[4] Die Katastrophe könnte sein natürlich, Umwelt oder künstlich. Katastrophen von Menschen verursachte Katastrophen könnten beabsichtigt sein (zum Beispiel ein Akt eines Terroristen) oder unbeabsichtigt (dh zufällig, wie der Bruch eines künstlichen Damms oder sogar "fette Finger" oder fehlerhafte Befehle, die eingegeben wurden - auf einem Computer System).

Arten von Plänen

Obwohl es keinen einheitlichen Plan gibt, planen[5] Es gibt drei grundlegende Strategien:[3][5]

  1. Prävention, einschließlich geeigneter Backups, Anstiegsschutz und Generatoren
  2. Erkennung, ein Nebenprodukt routinemäßiger Inspektionen, die neue (potenzielle) Bedrohungen entdecken können
  3. Korrektur[6]

Letzteres kann die richtige Sicherung umfassen Versicherungspolicenund eine Brainstorming -Sitzung von "Lektionen gelernt".[3][7]

Beziehung zum Geschäftskontinuitätsplan

Katastrophenerholung ist a Teilmenge der Geschäftskontinuität. Wobei DRP die Richtlinien, Tools und Verfahren umfasst, um die Wiederherstellung von Daten nach einem katastrophalen Ereignis zu ermöglichen, Geschäftskontinuitätsplanung (BCP) beinhaltet die Aufbewahrung aller Aspekte eines Unternehmens, unabhängig von potenziellen disruptiven Ereignissen. Ein Geschäftskontinuitätsplan ist daher eine umfassende Organisationsstrategie, die die DRP sowie die Bedrohungsprävention, Erkennung, Wiederherstellung und Wiederaufnahme des Betriebs umfasst, falls ein Datenverstoß oder ein anderes Katastrophenereignis stattfinden sollte. Daher besteht BCP aus fünf Komponentenplänen:[8]

  • Business -Wiederaufnahmeplan
  • Notfallplan für Insassen
  • Kontinuität des Betriebsplans
  • Vorfallmanagementplan
  • Katastrophenerholungsplan

Die ersten drei Komponenten (Wiederaufnahme der Geschäftsanwälte, Insassen -Notfall und Kontinuität von Betriebsplänen) befassen sich nicht mit der IT -Infrastruktur. Der Incident Management Plan (IMP) befasst sich mit der IT -Infrastruktur, da er jedoch Struktur und Verfahren zur Bekämpfung von Cyber ​​-Angriffen gegen die IT -Systeme eines Unternehmens festlegt, stellt er im Allgemeinen keinen Agenten für die Aktivierung des Katastrophenwiederherstellungsplans dar, wobei der Disaster Recovery -Plan verlässt als einzige BCP -Komponente von Interesse.[8]

Vorteile

Wie bei jedem Versicherungsplan können Vorteile aus der ordnungsgemäßen Planung der Geschäftskontinuität erhalten werden, einschließlich:[4]

  • Minimierung des Verzögerungsrisikos
  • Gewährleistung der Zuverlässigkeit von Standby -Systemen (sogar die Automatisierung der Fehlererkennung und -rückgewinnung in bestimmten Szenarien).
  • Bereitstellung eines Standards zum Testen des Plans
  • Minimierung der Entscheidungsfindung während einer Katastrophe
  • Reduzierung potenzieller rechtlicher Verbindlichkeiten
  • Unnötig stressiges Arbeitsumfeld senken

Planungs- und Testmethodik

Laut Geoffrey H. Wold vom Disaster Recovery Journal besteht der gesamte Prozess, der an der Entwicklung eines Disaster Recovery -Plans beteiligt ist, aus 10 Schritten:[4]

  • Durchführung einer Risikobewertung: Das Planungskomitee bereitet a vor Risikoanalyse und ein Geschäftswirkungsanalyse (BIA), das eine Reihe möglicher Katastrophen enthält. Jeder Funktionsbereich der Organisation wird analysiert, um potenzielle Konsequenzen zu bestimmen. Traditionell hat das Feuer die größte Bedrohung dargestellt. Ein gründlicher Plan sieht "schlimmste Fall" Situationen wie die Zerstörung des Hauptgebäudes vor.
  • Prioritäten für die Verarbeitung und den Betrieb festlegen: Die kritischen Bedürfnisse jeder Abteilung werden bewertet und priorisiert. Geschrieben Vereinbarungen Für ausgewählte Alternativen werden vorbereitet, wobei Details Dauer angeben, Kündigungsbedingungen, Systemtests, kosten, alle speziellen Sicherheitsverfahren, Verfahren zur Benachrichtigung von Systemänderungen, Betriebszeiten, der spezifischen Hardware und anderer Geräte, die für die Verarbeitung erforderlich sind, Personalanforderungen Notfall, Prozess zur Aushandlung von Service -Erweiterungen, Garantie von Kompatibilität, Verfügbarkeit, Nicht-Mainframe-Ressourcenanforderungen, Prioritäten und andere vertragliche Probleme.
  • Daten sammeln: Dies umfasst verschiedene Listen (Mitarbeitersicherungspositionsauflistung, Liste der kritischen Telefonnummern, Master -Anrufliste, Master -Anbieterliste, Benachrichtigungs -Checkliste), Lagerbestände (Kommunikationsausrüstung, Dokumentation, Bürogeräte, Formulare, Formulare, Versicherungspolicen, WorkGroup und Data Center Computer Hardware, Mikrocomputer Hardware und Software, Bürobedarf, Off-Site-Speicherortgeräte, Telefone usw.), Verteilungsregister, Software- und Datendateien Sicherungs-/Aufbewahrungspläne, temporäre Standortspezifikationen, alle anderen solchen Listen, Materialien, Lagerbestände und Dokumentation. Vorformatierte Formen werden häufig verwendet, um den Datenerfassungsprozess zu erleichtern.
  • Organisation und Dokumentation eines schriftlichen Plans
  • Entwicklung von Testkriterien und -verfahren entwickeln: Gründe für die Prüfung umfassen
    • Bestimmung der Machbarkeit und Kompatibilität von Sicherungseinrichtungen und -verfahren.
    • Identifizieren von Bereichen im Plan, die geändert werden müssen.
    • Bereitstellung von Training für Teammanager und Teammitglieder.
    • Demonstration der Fähigkeit der Organisation, sich zu erholen.
    • Bereitstellung der Motivation für die Aufrechterhaltung und Aktualisierung des Katastrophenwiederherstellungsplans.
  • Den Plan testen: Eine Initiale "Probelauf"Der Plan wird durchgeführt, indem ein strukturierter Walk-Through-Test durchgeführt wird. Es muss eine tatsächliche Testläufe durchgeführt werden. Probleme werden behoben.

Erste Tests können in Abschnitten und nach normalen Geschäftszeiten geplant werden, um Störungen zu minimieren. Nachfolgende Tests treten während der normalen Geschäftszeiten auf.

Zu den Arten von Tests gehören: Checklisten -Tests, Simulationstests, parallele Tests und vollständige Unterbrechungstests.

Vorbehalte/Kontroversen

Aufgrund der hohen Kosten sind verschiedene Pläne nicht ohne Kritiker. Dell hat fünf "gemeinsame Fehler" identifiziert, die Organisationen häufig mit BCP/DR -Planung beziehen:[9]

  • Mangel an Buy-In: Wenn das Management der Exekutive die DR -Planung als "nur eine weitere falsche Erdbebenbohrmaschine" oder CEOs ansieht, macht DR -Planung und Vorbereitung keine Priorität
  • Unvollständige RTOs und RPOs: Nicht jeden wichtigen Geschäftsprozess oder einen Datenblock einbezieht. Wellen können den Einfluss einer Katastrophe erweitern. Die Gehaltsabrechnung ist möglicherweise zunächst nicht missionskritisch, aber es kann mehrere Tage lang allein gelassen, es kann wichtiger werden als alle Ihrer anfänglichen Probleme.
  • Systeme Myopie: Ein dritter Ausfallpunkt besteht darin, sich nur auf DR zu konzentrieren, ohne die größeren Bedürfnisse der Geschäftskontinuität zu berücksichtigen. Die an einer Katastrophe verlorenen Unternehmensbüros können zu einem sofortigen Pool von Telearbeitern führen, der wiederum die eines Unternehmens überlasten kann VPN Über Nacht überarbeiten das IT-Unterstützungspersonal im Handumdrehen und verursachen ernsthafte Engpässe und Monopole mit dem PBX-System.
  • Laxe Sicherheit: Wenn es eine Katastrophe gibt, werden die Daten und Geschäftsprozesse eines Unternehmens anfällig. Daher kann die Sicherheit wichtiger sein als die Rohgeschwindigkeit, die mit dem RTO eines Katastrophenwiederherstellungsplans verbunden ist. Die kritischste Überlegung wird dann die neuen Datenpipelines sichergestellt: von neuen VPNs bis zur Verbindung von Offsite -Sicherungsdiensten.
    • Bei Katastrophen planen die Forensik nach dem Mortem
    • Verriegelung oder aus der Ferne abgelöste Handheld -Geräte ablegen

Entscheidungen und Strategien

  • Standortbezeichnung: Hot Site vs. Cold Site. Eine heiße Seite ist voll ausgestattet, um den Betrieb wieder aufzunehmen, während eine Kaltstelle nicht über diese Funktion verfügt. Eine warme Seite hat die Fähigkeit, einige, aber nicht alle Vorgänge wieder aufzunehmen.
A Kosten-Nutzen-Analyse wird gebraucht.
  • Gelegentliche Tests und Versuche überprüfen die Lebensfähigkeit und Wirksamkeit des Plans. Ein Wirtschaftsprüfer untersucht die Wahrscheinlichkeit, dass der Betrieb der Organisation auf der Ebene des Plans und der Fähigkeit des Unternehmens, tatsächlich Operationen am Standort zu etablieren, aufrechterhalten werden kann.
  • Der Prüfer kann dies durch Papier und papierlose Dokumentation und tatsächliche physische Beobachtung überprüfen. Das Sicherheit der Speicherstelle ist ebenfalls bestätigt.
  • Datensicherung: Eine Prüfung von Backup -Prozessen bestimmt, ob (a) sie wirksam sind und (b) ob sie tatsächlich vom beteiligten Personal implementiert werden.[10][11]
Der Katastrophenwiederherstellungsplan enthält auch Informationen darüber, wie keine Daten wiederhergestellt werden können, die nicht kopiert wurden. Kontrollen und Schutzmaßnahmen werden eingeführt, um sicherzustellen, dass die Daten während dieses Prozesses nicht beschädigt, verändert oder zerstört werden.
  • Übungen: Übungsübungen, die regelmäßig durchgeführt werden, um festzustellen, wie effektiv der Plan ist, und um zu bestimmen, welche Änderungen erforderlich sein können. Das Hauptanliegen des Abschlussprüfers besteht darin, zu überprüfen, ob diese Übungen ordnungsgemäß durchgeführt werden und dass während dieser Übungen aufgedeckte Probleme angesprochen werden.
  • Sicherung des Schlüsselpersonals - einschließlich periodisch Ausbildung, Cross-Trainingund Personalreduktion.

Andere Überlegungen

Versicherungsprobleme

Der Prüfer bestimmt die Angemessenheit des Unternehmens des Unternehmens Versicherung Berichterstattung (insbesondere Eigentum und Unfallversicherung) durch eine Überprüfung des Unternehmens des Unternehmens Versicherungspolicen und andere Forschung. Zu den Elementen, die der Prüfer überprüfen muss, gehören: der Umfang der Richtlinien (einschließlich der angegebenen Ausschlüsse), dass die Höhe der Deckung ausreicht, um die Bedürfnisse der Organisation zu decken, und dass die Richtlinie aktuell und in Kraft ist. Der Prüfer stellt außerdem durch eine Überprüfung der von unabhängigen Ratingagenturen zugewiesenen Ratings fest Wirtschaftlichkeit die Verluste im Falle einer Katastrophe abdecken.

Effektive DR -Pläne berücksichtigen das Ausmaß der Verantwortung eines Unternehmens gegenüber anderen Unternehmen und seine Fähigkeit, diese Verpflichtungen trotz einer schweren Katastrophe zu erfüllen. Ein gutes DR -Audit beinhaltet eine Überprüfung der bestehenden MOA und Verträge Um sicherzustellen, dass die gesetzliche Haftung der Organisation wegen mangelnder Leistung im Falle von Katastrophe oder andere ungewöhnliche Umstände werden minimiert. Es werden auch Vereinbarungen zur Festlegung von Unterstützung und Unterstützung bei der Wiederherstellung des Unternehmens beschrieben. Zu den Techniken, die zur Bewertung dieses Gebiets verwendet werden, gehören eine Untersuchung der Angemessenheit des Plans, die Feststellung, ob der Plan alle Faktoren berücksichtigt oder nicht, und eine Überprüfung der Verträge und Vereinbarungen durch Dokumentation und externe Forschung.

Kommunikationsprobleme

Der Wirtschaftsprüfer muss überprüfen, ob die Planung sicherstellt, dass beide Management und das Wiederherstellungsteam hat effektiv Kommunikation Hardware, Kontaktinformationen sowohl für interne Kommunikation als auch für externe Probleme wie Geschäftspartner und wichtige Kunden.

Audit -Techniken umfassen

  • Testen von Verfahren, Befragung von Mitarbeitern, Vergleich mit den Plänen anderer Unternehmen und gegen Branchenstandards,
  • Prüfungshandbücher und andere schriftliche Verfahren.
  • Direkte Beobachtung, dass Notfall -Telefonnummern im Falle einer Katastrophe aufgelistet und leicht zugänglich sind.

Notfallmaßnahmen

Verfahren zur Aufrechterhaltung des Personals während einer Runde-die Takt-Disaster-Wiederherstellung der Takte sind in jedem guten Katastrophenwiederherstellungsplan enthalten. Verfahren für den Strumpf von Lebensmitteln und Wasser, die Verabreichung der Verabreichung CPR/Erste Hilfeund der Umgang mit familiären Notfällen werden deutlich geschrieben und getestet. Dies kann im Allgemeinen durch das Unternehmen durch gut erreicht werden Ausbildung Programme und eine klare Definition von Arbeitsplätzen. Eine Überprüfung der Bereitschaftskapazität eines Plans umfasst häufig Aufgaben wie Anfragen von Personal, direkte physische Beobachtung und Untersuchung von Schulungsunterlagen und jeglichen Zertifizierungen.

Umweltprobleme

Der Abschlussprüfer muss Verfahren überprüfen, die die Möglichkeit von Stromausfällen oder anderen Situationen berücksichtigen, die nicht in der Art sind.

Siehe auch

Verweise

  1. ^ "Sind externe Wirtschaftsprüfer, die über die Offenlegung von Cyber ​​-Risiken besorgt sind" (PDF).
  2. ^ Susan Snedaker (2013). Business Continuity und Disaster Recovery Planung für IT -Profis (2 ed.). Burlington: Elsevier Science. ISBN 9780124114517.
  3. ^ a b c Bill Abram (14. Juni 2012). "5 Tipps zum Erstellen eines wirksamen Disaster Recovery -Plan". Small Business Computing. Abgerufen 9. August 2012.
  4. ^ a b c Wold, Geoffrey H. (1997). "Katastrophenerholungsplanungsprozess". Disaster Recovery Journal. Adaptiert aus Band 5 #1. Katastrophenaufbergungswelt. Archiviert von das Original am 15. August 2012. Abgerufen 8. August 2012.
  5. ^ a b "Disaster Recovery Planning - Schritt für Schritt Anleitung". Michigan State University. Archiviert von das Original am 8. März 2014. Abgerufen 9. Mai 2014.
  6. ^ "Backup Disaster Recovery". E -Mail -Archivierung und Fernsicherung. 2010. archiviert von das Original am 22. Januar 2013. Abgerufen 9. Mai 2014.
  7. ^ "Disaster Recovery & Business Continuity Plans". Steinkreuzungslösungen. 2012. archiviert von das Original am 23. August 2012. Abgerufen 9. August 2012.
  8. ^ a b Chad Bahan. (Juni 2003). "Der Katastrophenerholungsplan". Abgerufen 24. August 2012.
  9. ^ Cormac Foster; Dell Corporation (25. Oktober 2010). "Fünf Fehler, die einen Katastrophenwiederherstellungsplan töten können". Archiviert von das Original Am 2013-01-16. Abgerufen 8. August 2012.
  10. ^ Constance Gustke (7. Oktober 2015). "Der Hurrikan Joaquin hebt die Bedeutung von Plänen für den Betrieb". Die New York Times.
  11. ^ Berman, Alan. : Erstellung eines erfolgreichen Geschäftskontinuitätsplans. Business Insurance Magazine, 9. März 2015. http://www.businessinsurance.com/article/20150309/issue0401/303159991/construting-a-succesful-business-continuity-plan
  • Messier, Jr., W. F. (2011). Prüfungs- und Versicherungsdienste: Ein systematischer Ansatz (8. Aufl.).New York: McGraw-Hill/Irwin. ISBN 9780077520151.
  • Gallegos, F.;Senft, S.;Davis, A. L. (2012). Steuerung und Prüfung der Informationstechnologie (4. Aufl.).Boca Raton, FL: Auerbach Publications. ISBN 9781439893203.