Business Continuity Management

1. Site Risk Assesment

• Schwerpunkt ist das Risiko, dem alle physischen Geschäftsstandorte ausgesetzt sind
• Wichtige Bereiche, die bei einer Risikobewertung berücksichtigt werden müssen, sind "Gebäudeschutzmaßnahmen", "Maßnahmen zur Branderkennung und -bekämpfung" und eine Bewertung der unmittelbaren Umgebung
• Der Prozess der Risikobewertung kann als ein 6-stufiger Zyklus dargestellt werden
• Ein wichtiges Instrument für eine Risikobewertung am Standort kann eine Failure Mode and Effects Analysis (FMEA) sein

2. Business Impact Analyse

• Analysiert die Auswirkungen von Störungen auf die Geschäftsfunktionen
• Grundlage der Business Continuity Panung
• Die vier Ziele dieser Phase lauten:
  1) Bestimmung der Auswirkungen der Krise auf die Organisation
  2) Identifizierung kritischer Prozesse, sowie deren maximal tolerierbare Unterbrechung, Wiederherstellungszeit- und Wiederherstellungspunkt-Ziele
  3) Festlegung der Reihenfolge der Wiederherstellung von Geschäftsfunktionen
  4) Ermittlung von Wiederherstellungsstrategien, Mindestressourcen und wichtigen Aufzeichnungen
• Das Ziel einer Business Impact Analyse (BIA) ist es, die möglichen Auswirkungen einer Krise zu ermitteln
• Sie hat mehrere wichtige Aktivitäten, von denen die wichtigsten sind:
  1) Durchführung einer BIA an jedem Unternehmensstandort
  2) Ermittlung der potenziellen Auswirkungen der Nichtverfügbarkeit bestimmter Geschäftsfunktionen oder Standorte
  3) Bewertung von Geschäftsprozessen auf der Grundlage ihrer Auswirkungen im Falle einer Nichtverfügbarkeit
  4) Erlangung eines detaillierten Verständnisses aller Geschäftsprozesse
  5) Definition von Wiederherstellungspunkt und Zeitzielen
  6) Analyse bestehender Business-Continuity-Strategien und Ermittlung des Ressourcenbedarfs für diese Strategien
  7) Einholung der Zustimmung des Managements zu den Ergebnissen der Business Impact Analyse
• Eine Analyse der Auswirkungen auf das Geschäft wird in der Regel durch eine Befragung von Geschäftsführern oder Leitern der wichtigsten Dienstleister durchgeführt.

3. Business Process Risk Assessment

• BPRA wird nur für kritische und wichtige Geschäftsfunktionen durchgeführt, die während der BIA identifiziert wurden
• Sie dient dazu, das Risiko zu bewerten, das das Eintreten einer Krise für andere Ressourcen als die in der Risikobewertung des Standorts ermittelten Räumlichkeiten darstellt.
• Ziel ist es, einzelne Fehlerquellen zu identifizieren, die zu einer Unterbrechung des Prozesses führen könnten.

4. Business Continuity Plan

• Erstellung eines gründlichen und umsetzbaren Plans, der mit den Beteiligten überprüft wird
• ist die Hauptquelle für Informationen zur Geschäftskontinuität, Rollen und Aufgaben, Aktivitäten und Verfahren, die eine schnelle Reaktion auf eine Krise ermöglichen
• Für diesen Prozess ist der Business Continuity Manager zuständig.

5. Vendor Agreements

• Mit allen wichtigen Anbietern von Ausrüstung und Dienstleistungen, die die Organisation unterstützen, sollten Service-Level-Vereinbarungen getroffen werden.
• Das Ziel ist die Reparatur/Erneuerung von Diensten und Geräten innerhalb der zuvor festgelegten Wiederherstellungsziele

6. Awareness und Training

• Je nach Rolle und Bewusstsein für BCM und Prozessrisiken müssen die Mitarbeiter geschult und sensibilisiert werden

7. Testen und Üben

• Nachdem BCM-Strategien und -Verfahren vorgeschlagen worden sind, müssen sie bewertet und durch Übungen getestet werden

8. Review und Instandhaltung

• Alle BCM-Richtlinien und -Verfahren sollten von der Geschäftsleitung und den Prüfern überprüft werden.
• Dieser Prozess sollte im BCM Plan dokumentiert werden.
• Zusammen mit diesem sollte auch ein Business Continuity Maintenance Plan definiert werden, um die fortlaufende Wirksamkeit und zeitliche Relevanz des Themas zu gewährleisten

1. Notfallmaßnahmen

• Diese Aktivitäten sind unmittelbare und kurzfristige Reaktionen auf eine kürzlich eingetretene Krise
• Die rasche Eindämmung der unmittelbaren Schäden und die Benachrichtigung aller Betroffenen sind die wichtigsten Ziele
• Ein Leitstand und eine Notfalleinsatzzentrale sollten für die Koordination vor Ort eingerichtet werden.

2. Koordinierung mit Behörden

• Nach Einleitung der sofortigen Notfallmaßnahmen sollten die Behörden über die Situation informiert werden und die Kontrolle darüber erhalten.

3. Bewertung von Schäden

• Schäden müssen in zwei Phasen bewertet werden
  1) Bewertung der Wiederherstellungsoptionen und Aktivierung des BC-Plans
  2) Umfassende Bewertung des entstandenen Schadens

4. Bergungsarbeiten am Hauptstandort

• Hardware und Einrichtungen müssen nach einer Krise oder Katastrophe sichergestellt werden
• Es ist wichtig, den Versicherungsgesellschaften die Möglichkeit zu geben, den Schaden zu beurteilen, bevor die Bergung erfolgt.
• Es ist wichtig, den Bergungs- und Sicherstellungsprozess zu dokumentieren

5. Aktivitäten vom sekundären Standort aus

• Um die Wiederaufnahme kritischer Geschäftsvorgänge zu ermöglichen, sollte ein zweiter Standort eingerichtet und genutzt werden
• Der sekundäre Standort kann eine cold, Warm- oder Hot-Site sein, je nach den Möglichkeiten und Bedürfnissen eines bestimmten Unternehmens

6. Public Relations

• Offizielle Sprecher sollten die Kommunikation am Katastrophenort übernehmen

7. Verfolgung der Versicherungskosten

• Um die Anforderungen von jeglichen Versicherungspolicen zu erfüllen, sollte das Schadensbewertungsteam alle Schäden und Wiederherstellungsmaßnahmen sorgfältig dokumentieren und den Schaden schätzen.

1. Wiederherstellung des Betriebs am Hauptstandort

• Sobald sich der Hauptstandort nach der Katastrophe stabilisiert hat, sollten die Geschäftsaktivitäten an diesem Standort wieder aufgenommen werden.
• Die Katastrophe gilt noch nicht als "vorbei". Hierzu müssen zunächst alle Aktivitäten am Hauptstandort wiederhergestellt werden

2. Review

• Um den Business Continuity Plan auf dem neuesten Stand zu halten, sollte er in regelmäßigen Abständen überprüft und auditiert werden.
• Für diesen Überprüfungsprozess sollte die Geschäftsleitung in jedem Quartal mehrere Stunden einplanen.

3. Plan Update

• Identifizierte Änderungen aus der Überprüfung sollten als Teil des Prozesses in den Business Continuity Plan aufgenommen werden.
• Die Auslöser der Aktualisierung können kalender- oder ereignisbasiert sein

4. Versicherungsausgleich

• Schlussendlich sollten alle erstellten Dokumente zur Einreichung von Versicherungsansprüchen verwendet werden.

Das BCM-Team sollte sich aus Personen zusammensetzen, die aus der Organisation kommen und diese auch verstehen ^{22, p.38}. Die Mitarbeiter sollten idealerweise mit Personen zusammenarbeiten, die auch außerhalb von Krisensituationen dieselben oder ähnliche Aufgaben wahrnehmen ^{22, p.40}.

BC Manager

• Beaufsichtigung der Entwicklung und Prüfung von BCM-Plänen
• Diese Pläne sollten Folgendes umfassen
  - Schulung von Teammitgliedern
  - Kontaktlisten der wichtigsten Mitarbeiter
  - Vereinbarungen mit Anbietern
• Der BC Manager sollte entsprechend qualifiziert sein und über einen ausgewiesenen Stellvertreter verfügen.

Media/PR Manager

• Idealerweise Person mit Medien-/Journalistenerfahrung als Sprecher
• Andere Mitarbeiter sollen angewiesen werden, sich im Falle einer Katastrophe/Krise nicht zu äußern.
• Zuständigkeiten: Bekanntgabe an andere Mitarbeiter und die Öffentlichkeit

Team für Schadensbewertung und Bergung

• Erste Einsatzkräfte bei Katastrophen/Krisen, die den Ausgangszustand der Situation ermitteln
• Erklärung der beschädigten und unbeschädigten Vermögenswerte im Krisenfall
• Schadensbegrenzung
• Einreichung von Reparatur- und Vorabaustauschaufträgen/-maßnahmen
• Unterstützung bei eventuellen Rechtsansprüchen

IT Recovery Team

• Wiederherstellung des Netzes und der IT-Aktivitäten im Falle von Schäden durch Krisen oder Katastrophen
• Verantwortlich für alle technischen oder logistischen Aufgaben im Zusammenhang mit der IT-Wiederherstellung
• Verantwortlich für die Wiederherstellung der IT-Dienste zum Vor-Krisen-Zustand sowie für die Unterstützung der schrittweisen Kontinuitätsanforderungen kritischer Geschäftsprozesse.

Communications Recovery Team

• arbeitet eng mit dem IT-Wiederherstellungsteam zusammen und ist für die Wiederherstellung der Kommunikationsdienste im Falle einer Katastrophe/Krise in diesem Bereich verantwortlich

Support Team

• Zuständig für Unterstützungsmaßnahmen wie Gebäudemanagement, Facility Support, Finanzen, Finanzierung, Beschaffung, HR, Personalverfolgung, Reisen, Unterbringung oder Weiterleitung der Kommunikation im Falle einer Katastrophe oder Krise

Darstellung einer typischen BCM-Organisationsstruktur ^{own illustration of 22}