Zu Beginn der Entwicklung eines Business Continuity-Programms kann eine sorgfältige, pragmatische Planung den Unterschied zwischen einem schnellen und angemessenen Erfolg und einem nicht enden wollenden Planungsaufwand mit geringen Möglichkeiten ausmachen. Anstatt sich jedoch die Zeit zu nehmen, den Umfang und die Prioritäten des Business Continuity-Programms sorgfältig festzulegen (und die entsprechenden Ressourcen bereitzustellen), gehen Unternehmen bei der Planung oft nach dem Prinzip „alles oder nichts“ vor – sie planen für jedes „Kästchen im Organigramm“, jede Einrichtung, jede Anwendung und jede Ressource. Viele Unternehmen sind sich nicht bewusst, dass sich Business Continuity zunächst auf die kritischsten/zeitsensiblen Produkte und Dienstleistungen eines Unternehmens beziehen kann und oft auch sollte, und erst im Laufe der Zeit auf andere Teile des Unternehmens ausgedehnt werden kann.

Ein angemessener Umfang ermöglicht es einem Unternehmen, effizient für einen störenden Vorfall zu planen. Darüber hinaus kann ein Unternehmen bei der anfänglichen Implementierung von Business Continuity kritische Produkte und Dienstleistungen priorisieren und das Programm im Laufe der Zeit auf weniger kritische Bereiche ausweiten. Idealerweise definiert ein Unternehmen den Umfang der Geschäftskontinuität auf der Grundlage der folgenden Faktoren, auf die im weiteren Verlauf dieses Beitrags noch näher eingegangen wird:

  1. Anforderungen der Stakeholder
  2. Produkte und Dienstleistungen
  3. Risikoappetit

Verstehen Sie die Anforderungen
Am wichtigsten ist, dass ein effektiv geplantes Business Continuity-Programm die Anforderungen der Stakeholder berücksichtigt. Zu den Stakeholdern gehören Kunden, Aufsichtsbehörden, das Management und andere interessierte Parteien. Jede Stakeholder-Gruppe hat Erwartungen, und um effektiv zu sein, sollte ein Business Continuity-Programm auf diese Erwartungen eingehen und das Unternehmen davor schützen, sie zu verletzen. Daher sollte ein Unternehmen sein Business Continuity-Programm so gestalten, dass es sich vor den Auswirkungen einer Verletzung wichtiger Anforderungen schützt, wie z.B.:

  • Vertragliche Verpflichtungen (Service Level Agreements)
  • Regulatorische Anforderungen
  • Kundenversprechen
  • Verpflichtungen der Mitarbeiter
  • Gesundheits-/Sicherheitsanforderungen

Auch wenn die Anforderungen aufgrund einer Reihe von Faktoren sehr unterschiedlich sind, wird es für ein Unternehmen äußerst schwierig sein, Prioritäten zu setzen, geschweige denn ein effektives Business Continuity-Programm aufzubauen und aufrechtzuerhalten, wenn es seine Anforderungen nicht kennt. Sobald die Anforderungen bekannt sind, kann ein Unternehmen eine spezifische und angemessene Reihe von Business Continuity-Zielen dokumentieren.

Definieren Sie Produkte und Dienstleistungen
Nachdem eine Organisation ihre Verpflichtungen verstanden und Ziele für die Geschäftskontinuität festgelegt hat, kann sie mit dem Scoping fortfahren, indem sie ihre Produkte und Dienstleistungen (nützliche Ergebnisse, die eine Organisation ihren Kunden, Empfängern und interessierten Parteien liefert – ISO 22301) für jede relevante Stakeholdergruppe versteht und bewertet. Die Definition von Produkten und Dienstleistungen ist ein effektiver Weg, den Scoping-Aufwand auf strategischer Ebene zu bewältigen, denn Produkte und Dienstleistungen sind für das Management, die Mitarbeiter, die Aufsichtsbehörden und die Kunden gleichermaßen leicht verständlich. Sie schaffen Wert! Nachdem eine Organisation eine Bestandsaufnahme ihrer Produkte und Dienstleistungen vorgenommen hat, muss sie feststellen, ob eine Unterbrechung der einzelnen Produkte und Dienstleistungen dazu führen würde, dass die Anforderungen der Organisation und/oder die Ziele der Geschäftskontinuität (wie oben beschrieben) nicht erfüllt werden können oder inakzeptable Folgen nach sich ziehen würden. Diejenigen Produkte und Dienstleistungen, deren Unterbrechung zu verpassten Verpflichtungen oder inakzeptablen Folgen führen würde, sollten zusammen mit allen unterstützenden Abteilungen, Aktivitäten und Ressourcen in den Umfang einbezogen werden.

Sobald das Unternehmen eine Liste von Produkten und Dienstleistungen festgelegt hat, die in den Geltungsbereich fallen, kann und sollte es das Organigramm aufrufen und damit beginnen, die Abteilungen oder Geschäftsbereiche diesen Produkten und Dienstleistungen zuzuordnen (wobei nicht jede Abteilung einbezogen werden kann). Diese Übung ermöglicht es einem Unternehmen, die kritischen Geschäftsbereiche zu verstehen und zu priorisieren, die von der Business Continuity abgedeckt werden müssen, und gibt auch Aufschluss über die Zeit und die Ressourcen, die für die Implementierung der Business Continuity erforderlich sind. Nach Abschluss dieser Übung sollte ein Unternehmen ein Verständnis für die in Frage kommenden Produkte und Dienstleistungen sowie eine Liste oder „Karte“ der Abteilungen haben, die diese Produkte und Dienstleistungen unterstützen oder bereitstellen.

Die folgende Grafik veranschaulicht die Beziehung zwischen Produkten und Dienstleistungen, Abteilungen, Aktivitäten und Ressourcen. Hinweis: Avalution empfiehlt, die Aktivitäten und Ressourcen während der Business Impact Analyse zu identifizieren, nicht während des Scopings.

Definieren Sie die Risikobereitschaft
Zu diesem Zeitpunkt des Scopings sollte ein Unternehmen ein klares Verständnis der Anforderungen und Ziele der Geschäftskontinuität sowie eine erste Bestandsaufnahme der in Frage kommenden Produkte, Dienstleistungen und Abteilungen haben.

Die letzte Aktivität im Scoping-Prozess ist die Festlegung der Risikobereitschaft einer Organisation (die Auswirkungen, die eine Organisation nicht zu tolerieren bereit ist oder die als inakzeptabel angesehen werden). Um einen Konsens zu diesem Thema zu erreichen, sollte eine Organisation die Informationen aus den beiden vorangegangenen Aktivitäten nutzen und dem Management die möglichen Auswirkungen präsentieren, die mit der Unfähigkeit verbunden sind, die Produkte und Dienstleistungen im Rahmen des Scopings zu liefern. Die Unternehmensleitung sollte anschließend angeben, welche Auswirkungen inakzeptabel sind, einschließlich der Ausfallzeiten, die das Unternehmen zu tolerieren bereit ist.

Obwohl die potenziellen Auswirkungen je nach Unternehmen und Branche variieren, sind die folgenden Kategorien ein guter Ausgangspunkt für das Verständnis und die Definition der potenziellen Auswirkungen eines Störfalls:

  • Regulatorische Auswirkungen
  • Rechtliche und/oder vertragliche Auswirkungen
  • Auswirkungen auf die Kunden
  • Finanzielle Auswirkungen
  • Operative Auswirkungen
  • Auswirkungen auf die Reputation

Auf der Grundlage von Vorgaben der Geschäftsleitung kann ein Unternehmen seine Risikobereitschaft anhand von Kriterien, die inakzeptable Auswirkungen beschreiben, formell definieren und dokumentieren. Ausfallzeiten im Zusammenhang mit Produkten und Dienstleistungen, Abteilungen und Ressourcen, die die Risikobereitschaft eines Unternehmens überschreiten können, sollten in den Anwendungsbereich des Business Continuity-Programms fallen.

Schlussfolgerung
Auf der Grundlage von Anforderungen und Verpflichtungen, der Bedeutung der Produkte und Dienstleistungen des Unternehmens und einer dokumentierten Risikobereitschaft kann ein Unternehmen eine formelle Erklärung zum Umfang dokumentieren, die die Grenzen der Bemühungen um Business Continuity festlegt.

Unternehmen sehen sich häufig mit der Entwicklung von Business Continuity-Programmen konfrontiert oder versuchen, diese aufrechtzuerhalten, ohne den Umfang des Programms formal zu verstehen oder zu definieren. Dies führt zu einer Vielzahl von Problemen, wie z. B. der falschen Zuweisung von Ressourcen, unzureichend definierten Bereitschaftszielen, der Unfähigkeit, Wiederherstellungsstrategien aufrechtzuerhalten, und Schwierigkeiten bei der Durchsetzung von Richtlinien. Ein effektives Scoping sorgt nicht nur für eine Fokussierung, sondern formalisiert auch die Business Continuity-Ziele, definiert die Produkte und Dienstleistungen, die in den Geltungsbereich fallen, und erleichtert die Einigung über die Risikobereitschaft.

Einfach ausgedrückt: Ein effektives Scoping ist eine der sichersten Methoden, um ineffektive Business Continuity-Programme zu verhindern (oder zu beheben) und den Umfang eines Programms mit den Erwartungen der Stakeholder in Einklang zu bringen.

Business Continuity und IT Disaster Recovery Planung ist alles, was wir tun. Wenn Sie Hilfe beim Aufbau oder der Verbesserung Ihres Business-Continuity-Programms suchen, können wir Ihnen helfen.