BS 25777:2008 – Standard für das ICT Continuity Management
Wer bisher ein IT Continuity Management in sein Unternehmen aufgreifen wollte konnte nur auf ITIL als Rahmenwerk für die Maßnahmen eines IT-Continuity heranziehen. Zwar beschreiben auch Standards, wie ISO 27001 und COBIT Maßnahmen für ein IT-Continuity Management, dies jedoch nur auf einem teilweise sehr abstrakten Level. Abhilfe schaffen soll der im Dezember 2008 von der British Standard Institution veröffentlichte BS 25777:2008 "Information and communications technology continuity management - Code of practice" [1].
Der Standard formuliert die umzusetzenden Maßnahmen für die erfolgreiche Implementierung und Aufrechterhaltung eines ICT Continuity Managements. (ICT bedeutet hier ITK = Informations- und Telekommunikationstechnik). Eine Zertifizierung nach BS 25777 ist nicht vorgesehen.
Basis ICT Continuity Managements ist ein kontinuierlicher Lebenszyklus, der in Anlehnung an einen Standard zum Business Continuity Management (BS 25999) aufgebaut ist. [2]
Abbildung 1: Lebenszyklus des BS 25777:2008
In diesem Artikel werden nachfolgend die Anforderungen zusammengefasst, die der Standard in den einzelnen Phasen des Lebenszyklus beschreibt. Die Initiierung und Steuerung der Phasen erfolgt durch ein zentrales ICT Continuity Programm Management.
Programm Management – zentrale Funktion des ICT Continuity Managements
Zu Beginn der Einführung eines ICT Continuity Managements wird ein Betrachtungsbereich (Scope) definiert und eine Leitlinie (Policy) erstellt, die durch die Unternehmensleitung freigegeben werden muss. Die Leitlinie beschreibt die Eckpfeiler des ICT Continuity Managements und stellt den Auftrag der Unternehmensleitung zur Umsetzung dar.
Im Rahmen des Programmmanagements werden auch Budgets und Personal für die Implementierung und Aufrechterhaltung des ICT Continuity Managements bereitgestellt. Durch die Unternehmensleitung sollen sowohl ein Verantwortlicher für die Erarbeitung und Umsetzung der Leitlinie, als auch ein oder mehrere Verantwortliche für die Implementierung der erforderlichen Maßnahmen benannt werden.
Zur Sicherstellung der Einbettung des ICT Continuity Managements in die Unternehmenskultur werden alle Phasen des Lebenszyklus durch Schulungen und Awareness Maßnahmen für die beteiligten Mitarbeiter begleitet. Diese Maßnahmen sollen den Know-How Aufbau und die Akzeptanz fördern.
Vom ermitteln der Anforderungen …
Ein ICT Continuity Management wird in der Regel nicht als Selbstzweck eingeführt. Aus diesem Grund werden in der ersten Phase die Anforderungen, die ein unternehmensweites Business Continuity Management (BCM) an die IT hat ermittelt. Durch die Geschäftsbereiche wurden idealerweise maximal tolerierbaren Ausfallzeiten für Anwendungen und Systeme ermittelt. Im Rahmen der ICT Continuity müssen jetzt Wiederherstellungszeiten und -prioritäten festgelegt werden. Im Anschluss wird ein Soll-/Ist-Abgleich mit bereits umgesetzten Maßnahmen des ICT Continuity durchgeführt (Gap-Analyse). In der Gap-Analyse werden sowohl technische als auch organisatorische Maßnahmen betrachtet, wie bspw. das von Mitarbeitern mit entsprechenden Kenntnissen für ICT Continuity Teams als auch Maßnahmen zur Erhöhung der Verfügbarkeit von Anwendungen und Systemen.
… zu angemessen Strategieempfehlungen …
Da die Anforderungen jetzt bekannt sind und die Abweichungen vom Soll-Zustand ermittelt wurden, folgt jetzt die Ausarbeitung möglicher ICT Continuity Strategien. Diese Strategien müssen die geforderten Wiederherstellungszeiten der Anwendungen und Systeme angemessen erfüllen können.
Der Standard fordert Strategieoptionen nicht nur für Daten, Anwendungen und ICT-Komponenten zu erarbeiten. Vielmehr müssen auch Gebäude und Büroarbeitsplätze, technische Infrastruktur, Personal und Dienstleister entsprechend berücksichtigt werden. Hier zeigt der Standard über die reine Anforderungsdefinition hinaus auf, welche Optionen für den jeweiligen Betrachtungsgegenstand möglich wären. Als Beispiel ist nachfolgend ein Auszug der Optionen für Ausweicharbeitsplätze aufgelistet:
- Unternehmenseigene Ausweichmöglichkeiten (andere Niederlassungen)
- Ausweicharbeitsplätze bei einem anderen Unternehmen (z.B. Tochtergesellschaft)
- Anmietung von Ausweicharbeitsplätzen bei einem spezialisierten Dienstleister
- Heimarbeit
- Bereitstellung von mobilen Ausweicharbeitsplätzen („Bürocontainer“)
- …
Sind die unternehmensspezifischen Strategieoptionen erarbeitet, sollten sie der Unternehmensleitung präsentiert werden, damit sie aus diesen Optionen die aus ihrer Sicht angemessensten auswählen kann.
Hierbei ist darauf zu achten, dass bei der Auswahl einer Option sowohl die ermittelten Anforderungen des BCMs (maximal tolerierbare Ausfallzeit), die Risikobereitschaft des Unternehmens und die mit der Umsetzung verbundenen Kosten berücksichtigt werden.
… und deren Implementierung
Nach der Auswahl der Strategien durch die Unternehmensleitung werden die konkreten Einzelmaßnahmen zur Umsetzung der Strategien geplant und implementiert. Hierunter fallen die Umsetzung von organisatorischen und technischen Notfallvorsorgemaßnahmen sowie das Erstellen von Notfallplänen. Für die Erstellung von Notfallplänen gibt der Standard Mindestanforderungen vor und legt die Struktur und Inhalte fest. Um optimale Ergebnisse erreichen zu können, empfiehlt der BS 25777 diese Implementierungsphase mit bereits im Unternehmen vorhandenen Projektmanagement- und Change-Management-Verfahren durchzuführen sowie mit den Aktivitäten des BCMs abzustimmen. Damit wird über vorhandene Berichtswege eine angemessene Wahrnehmung der Aktivitäten des ICT Continuity Managements gefördert.
Übungen, Tests, Überprüfung und Weiterentwicklung des ICT Continuity Managements
Im letzten Abschnitt des Lebenszyklus folgen das Testen und Üben, die Überprüfung und Weiterentwicklung der definierten Maßnahmen und Pläne. Es ist ein Test-/Übungsplan zu erstellen und von der Unternehmensleitung freizugeben. Interessant ist der Hinweis, dass in der Planung auch die Risiken für die Durchführung mit zu dokumentieren und an die Unternehmensleitung zu adressieren sind. Damit sind folgende Fragestellungen gemeint: Was kann während der Übung passieren und wie sind wir darauf vorbereitet? Beispielsweise werden durch die Verwendung einer isolierten Test-Umgebung und Daten-Backups Risiken bei der Testdurchführung vermieden.
Die geplanten Übungen und Tests müssen in Zusammenarbeit mit den Geschäftsbereichen durchgeführt werden. Hierbei sollten für jede Übung Ziele für den Geschäftsbereich als auch für das ICT Continuity Management festgelegt und überprüft werden. Der Test von einzelnen technischen Ressourcen – losgelöst von den Übungen der Geschäftsbereiche - wird lediglich als unterstützende Maßnahme empfohlen. Wie auch in anderen Standards (BS 25999, BSI 100-4) wird empfohlen, dass sich der Schwierigkeitsgrad und die Komplexität der Übungen im Laufe der Zeit steigern sollen; vom Schreibtisch-Test bis hin zum physischen Live-Test der gesamten „End-to-End“ Kette einer Anwendung unter einbeziehen aller Ressourcen und Anwender. Nach der Festlegung der Mindestanforderungen an einen "Test-Auftrag" - hierzulande eher Testkonzept genannt gibt der Standard Hinweisen zur Testdurchführung. Abschließend für diese Phase Standard werden Mindestinhalte an einen Bericht aufgeführt, der an den "Auftraggeber" der Übung zu weiterzugeben ist.
Um sicherzustellen, dass alle Dokumente zum ICT Continuity laufend aktuell gehalten werden, stellt der Standard Anforderungen an Maßnahmen zum Änderungsmanagement und Kontrolle aller ICT Continuity Management relevanten Aufzeichnungen und Dokumente.
Für das Management-Review des ICT Continuity Managements stellt der Standard ähnliche Anforderungen wie der BS 25999 für das Business Continuity Management.[3] Er listet die Aufzeichnungen und Dokumente auf, die Input für diese Überprüfungen sind und beschreibt welche Ergebnisse erzeugt werden sollen. Als Beispiel sind hier angeführt:
Input: Interne Service Level, Ergebnisse von relevanten Audits, Umsetzungsstatus von präventiven und korrektiven Maßnahmen.
Output: angepasste Budgetanforderungen, ggf. angepasster Scope, Maßnahmen zur Anpassung von Strategien oder Verfahren.
Im letzten Schritt werden die Anforderungen an einen kontinuierlichen Verbesserungsprozess des ICT Continuity Managements definiert. Dieser Prozess sorgt für die Anpassung präventiver und reaktiver Maßnahmen. Er ist zyklisch durchzuführen und als Ergebnis sind Korrekturmaßnahmen zu definieren, umzusetzen und die Umsetzung zu überprüfen.
Fazit
Der BS 25777 ist ein geeigneter Ausgangspunkt für den Aufbau eines ICT Continuity Managements. Insbesondere, wenn er als Unterstützung eines ganzheitlichen BCM nach BS 25999-2 oder des neuen deutschen Standards BSI 100-4 Notfallmanagement angewendet wird. Der BSI 100-4 [4] als auch der BS 25999, stellen keine spezifischen Anforderungen an ein ICT Continuity Management.
Der Standard ist jedoch nur begrenzt als Schritt für Schritt Leitfaden mit Maßnahmenvorschlägen, wie beispielsweise die IT-Grundschutzkataloge, anzuwenden. Denn die zur Erfüllung der Anforderungen umzusetzenden Maßnahmen müssen durch jedes Unternehmen für die eigenen, spezifischen Anforderungen selbst definiert werden.
Die Erfahrung zeigt, dass für die Etablierung eines ICT Continuity Managements unterschiedliche Kenntnisse und Fähigkeiten erforderlich sind. Oftmals sind diese in einem Unternehmen nicht vorhanden oder die entsprechenden Ressourcen sind in anderen Aktivitäten gebunden. In diesem Fall kann für die Planung und Umsetzung ein praxisorientierter externer Spezialist hinzugezogen werden. Der Spezialist bietet gesammeltes Know-how und Erfahrung aus anderen Projekten und Unternehmen. Die zielgerichtete Einbindung dieser Erfahrung unterstützt das Unternehmen und stellt sicher, das komplexe Thema ICT Continuity Management wirtschaftlich und erfolgreich umzusetzen.
Referenzen, Links
[1] BS 25777:2008 -- www.bsi-global.com
[2] BS 25999-1:2006 - Business Continuity Management – Part 1: Code of practice
[3] BS 25999-1:2007 - Business Continuity Management – Part 2: Specification; Seiten 19/20
[4] BSI 100-4 Notfallmanagement -- www.bsi.de
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER