Viele Unternehmen kämpfen damit, die beste Methode zur Erfüllung der geschäftlichen Erwartungen in Bezug auf die Wiederherstellung der Informationstechnologie (IT) zu definieren. ISO 27031 bietet Fachleuten für Business Continuity und IT Disaster Recovery eine Anleitung zur Planung der IT Continuity und Recovery als Teil eines umfassenderen Business Continuity Management Systems (BCMS). Die Norm hilft dem IT-Personal, die Anforderungen an die Informations- und Kommunikationstechnologie (IKT) zu identifizieren und Strategien zu implementieren, um das Risiko einer Unterbrechung zu verringern sowie eine Unterbrechung der IKT zu erkennen, darauf zu reagieren und sich davon zu erholen.

 

 

ISO 27031 führt einen Managementsystemansatz ein, um IKT zur Unterstützung eines umfassenderen Managementsystems für die Geschäftskontinuität, wie in ISO 22301 beschrieben, zu behandeln. ISO 27031 beschreibt ein Managementsystem für die IKT-Bereitschaft für die Geschäftskontinuität (IRBC). Ein IRBC ist ein Verwaltungssystem, das sich auf die Wiederherstellung von IT-Katastrophen konzentriert. IRBC verwendet das gleiche Plan-Do-Check-Act (PDCA)-Modell wie das in ISO 22301 beschriebene Business Continuity Management System. Das Ziel von IRBC ist es, Strategien zu implementieren, die das Risiko einer Unterbrechung von IKT-Diensten verringern und auf eine Unterbrechung reagieren und sich davon erholen. Business Continuity- und IT-Fachleuten wird die Verwendung des PDCA-Modells sehr vertraut vorkommen, allerdings mit den notwendigen Änderungen, um die Wiederherstellbarkeit der IKT auf der Grundlage der geschäftlichen Anforderungen und Erwartungen zu unterstützen.

 

Als Leitfaden können Organisationen nicht wie bei ISO 22301 nach ISO 27031 zertifiziert werden, aber das Managementsystem folgt vielen der gleichen Schritte, die erfahrene Bereitschaftsexperten bei der Planung der Geschäftskontinuität zu implementieren gewohnt sind. Das folgende Diagramm zeigt das IRBC-Managementsystem, wie es in ISO 27031 beschrieben ist.

 

 

IRBC-Managementsysteme Die ISO 27031 verwendet dasselbe grundlegende PDCA-Managementsystem wie die ISO 22301, passt es jedoch an den technischen Charakter von IRBC an. Zusätzlich zu den technischen Änderungen an der PDCA stützt sich ISO 27031 auch auf die Schlussfolgerungen der Business Impact Analysis (BIA), die als Teil des umfassenderen BCMS für eine Organisation entwickelt und genehmigt wurden. Für IRBC wird das PDCA-Managementsystem wie folgt unterteilt:

 

  • Plan: In der Planungsphase wird die Governance-Struktur für das gesamte IRBC-Managementsystem erstellt und aktualisiert. Die wichtigsten Ergebnisse der Planungsphase sind eine IRBC-Politik, die die Kontinuität der Informations- und Kommunikationstechnologie angemessen berücksichtigt, sowie Strategieoptionen, die das Unternehmen zur Erfüllung der Geschäftsanforderungen einsetzen kann.

  • Do: Die Do-Phase konzentriert sich auf die Durchführung von Aktivitäten und die Implementierung von Lösungen, die es der Organisation ermöglichen, eine Unterbrechung der IKT-Dienste zu überwachen, darauf zu reagieren und sich davon zu erholen. Die wichtigsten Ergebnisse der Do-Phase sind die Umsetzung von Strategien, die Erstellung von Plänen und die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen zur Förderung der Kontinuität von IKT-Diensten.

  • Check: Die Check-Phase umfasst die Überprüfung und Bewertung der Leistung des IRBC-Managementsystems. Zu den wichtigsten Ergebnissen der Check-Phase gehören die kontinuierliche Überwachung der Informations- und Kommunikationstechnologien im Hinblick auf Störungen und Leistungsniveaus sowie die regelmäßige Überprüfung der Reaktionsfähigkeit und Wiederherstellbarkeit der IKT.

  • Act: Die Act-Phase bietet dem Management die Möglichkeit, die Leistung der IRBC-Bemühungen zu überprüfen und die Umsetzung von Korrekturmaßnahmen anzuordnen, die die Leistung des Managementsystems verbessern und/oder das Risiko künftiger Unterbrechungen der IKT-Dienste verringern werden.

 

Schauen wir uns die einzelnen Phasen genauer an.

 

PLAN Viele Unternehmen führen bereits einige der „Plan“-Komponenten von ISO 27031 als Teil ihrer Information Technology Disaster Recovery (ITDR) Programme durch. ISO 27031 betrachtet ITDR als eine Komponente des IRBC, aber in Wirklichkeit gibt es nur sehr wenige Unterschiede. In der Planungsphase implementiert das Unternehmen eine Richtlinie zur Regelung der Prozesse und Anforderungen für die IRBC. Die Richtlinie legt die Governance-Struktur für das IRBC-Managementsystem fest. Das IRBC nutzt die Inputs aus der BIA der Organisation, um die Geschäftsanforderungen in IKT-Leistungsanforderungen für IKT-Dienstleistungen zu übersetzen. Die Plan-Phase schließt mit der Entwicklung von IRBC-Strategieoptionen ab, die in der Do-Phase umgesetzt werden.

 

Die Formulierung einer IRBC-Strategie bedeutet im Wesentlichen die Erstellung von IT-Serviceangeboten, die von den IKT-Mitarbeitern in den Servicekatalog aufgenommen werden oder, allgemeiner ausgedrückt, als Optionen für das Unternehmen in Betracht gezogen und ausgewählt werden. Ein Unternehmen mit einem Servicekatalogeintrag für einen virtuellen Server würde beispielsweise Einträge hinzufügen, um die Wiederherstellbarkeit eines virtuellen Servers durch eine Vielzahl von Mitteln zu gewährleisten, um eine Reihe von Wiederherstellungszielen zu erreichen. Das Unternehmen kann sich dafür entscheiden, zwei Wiederherstellungsstrategien für die Wiederherstellung einer virtuellen Maschine mit unterschiedlichen Wiederherstellungszeiten anzubieten, um die durch die BIA ermittelten Geschäftsanforderungen zu erfüllen. Diese beiden Wiederherstellungsstrategien werden dann entweder als separate Einträge in den Servicekatalog des Unternehmens aufgenommen oder in bestehende Servicekatalogeinträge integriert.

 

Um effektiv zu sein, müssen die oben beschriebenen IRBC-Strategien laut ISO 27031 sechs Komponenten in die Überwachung von, die Reaktion auf und die Wiederherstellung nach Störungen der Informations- und Kommunikationstechnologie einbeziehen. Die sechs Komponenten sind:

 

  1. Fertigkeiten und Wissen: Wiederherstellungsstrategien beinhalten Überlegungen zu den speziellen technischen Fähigkeiten und Kenntnissen, die für den Betrieb von IKT-Diensten vor, während und nach einer Unterbrechung erforderlich sind. Strategien, die Überlegungen zu Fähigkeiten und Wissen beinhalten, konzentrieren sich darauf, sicherzustellen, dass keine einzelne Person über spezielle Fähigkeiten oder Kenntnisse verfügt, die für den Betrieb der IKT-Systeme des Unternehmens erforderlich wären.

  2. Einrichtungen: Zu den Wiederherstellungsstrategien gehört die Minderung des Risikos, das mit dem Betrieb von IKT-Systemen in einer einzigen Einrichtung verbunden ist. Strategien, die den Betrieb von Einrichtungen berücksichtigen, stellen sicher, dass IKT-Systeme auch dann betrieben werden können, wenn eine primäre Einrichtung nicht mehr funktionsfähig ist.

  3. Technologie: Zu den Wiederherstellungsstrategien gehören Überlegungen zu den technischen Anforderungen, die erforderlich sind, um die Wiederherstellungsanforderungen der Organisation zu erfüllen, insbesondere das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO). Strategien, die technologische Überlegungen einbeziehen, stellen sicher, dass Hardware und Anwendungen innerhalb der von der Organisation geforderten Zeit und Datenwiederherstellung wiederhergestellt werden können. Diese Überlegungen müssen auch Supportsysteme wie Stromversorgung, Kühlung, Personal, Lieferantenunterstützung und WAN-Konnektivität umfassen.

  4. Daten: Zu den Wiederherstellungsstrategien gehört auch die Überlegung, wie die von der Organisation benötigten Daten geschützt werden können. Zu den Strategien, bei denen Daten berücksichtigt werden, gehören Sicherheit, Gültigkeit und Verfügbarkeit der von den Endbenutzern benötigten Daten.

  5. Prozesse: Wiederherstellungsstrategien beinhalten Überlegungen dazu, wie die Prozesse aufrechterhalten werden können, die für die Überwachung, den Betrieb und die Wiederherstellung von IKT-Systemen erforderlich sind, um die Geschäftsanforderungen zu erfüllen. Strategien, die Prozesse berücksichtigen, identifizieren die IKT-Prozesse, die vor, während und nach einer Unterbrechung der IKT-Systeme erforderlich sind.

  6. Zulieferer: Wiederherstellungsstrategien beinhalten Überlegungen dazu, wie Lieferanten, die für die Wiederherstellung und den Betrieb von IKT-Systemen benötigt werden, informiert und eingebunden werden können. Strategien, die Überlegungen zu Lieferanten beinhalten, geben an, welche Lieferanten vor, während und nach einer Störung in den Betrieb und die Wiederherstellung von IKT-Systemen einbezogen werden.

 

Jede IRBC-Strategieoption berücksichtigt die sechs Komponenten und führt oft zur Bildung von Ebenen, um die Informations- und Kommunikationstechnologie zu klassifizieren, die den Bedürfnissen der Organisation entspricht. In der Do-Phase werden die IKT-Services einer Stufe zugeordnet, was die Strategieauswahl ermöglicht. Sobald die IT-Abteilung die Strategieoptionen identifiziert hat, sollte das Management der Organisation das durch die Strategie verringerte Risiko gegen die Kosten für die Umsetzung der Strategie abwägen. Insgesamt ist das Ergebnis der Plan-Phase eine Liste von Strategien, die in den Servicekatalog aufgenommen oder aktualisiert werden sollen, so dass die Organisation den geeigneten Grad der Wiederherstellbarkeit auswählen kann.

 

DO Die Do-Phase des IRBC-Managementsystems umfasst die Umsetzung der in der Plan-Phase ermittelten Strategien, die Erstellung von Wiederherstellungsplänen für IKT-Dienste und die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen, um sicherzustellen, dass die am IRBC-Programm beteiligten Mitarbeiter qualifiziert und informiert sind. Das IRBC-Programm setzt die in der Plan-Phase ermittelten Strategien um, um die IKT-Bereitschaft für die Informations- und Kommunikationstechnologiedienste im Geltungsbereich zu verbessern.

 

Strategien, die das Risiko einer Störung verringern, können die Möglichkeit einer Störung der Informations- und Kommunikationstechnologie nicht vollständig ausschließen. IT-Mitarbeiter setzen Strategien um und entwerfen Pläne, um das Restrisiko zu überwinden, wenn Störfälle Realität werden. Die Dokumentation von Reaktions- und Wiederherstellungsplänen ist erforderlich, um sicherzustellen, dass die Mitarbeiter die Aktivitäten verstehen, die zur Erfüllung der Geschäftserwartungen erforderlich sind. ISO 27031 enthält viele der gleichen Überlegungen, die auch in ISO 22301 verwendet werden, einschließlich Zweck und Umfang des Plans, definierte Rollen und Verantwortlichkeiten, Ersatzpersonal, Kriterien für den Aufruf des Plans und Kontaktinformationen.

 

Der letzte Teil der Do-Phase besteht in der Durchführung von Schulungs- und Sensibilisierungsmaßnahmen, um sicherzustellen, dass die Mitarbeiter, die mit dem IRBC-Managementsystem zu tun haben (einschließlich derjenigen, die für Reaktions- und Wiederherstellungspläne zuständig sind), sich ihrer Verantwortung vor, während und nach einer Störung bewusst sind.

 

CHECK Die Check-Phase des IRBC-Managementsystems umfasst die typischen Aktivitäten, die mit der Check-Phase des BCM-Systems verbunden sind, einschließlich der Überprüfung durch das Management sowie Tests und Übungen. In der Check-Phase kommen außerdem kontinuierliche Aktivitäten hinzu, die eine Unterbrechung der IKT-Dienste überwachen und die Leistung der IKT-Bereitschaft messen.

 

ACT Die Act-Phase umfasst die Überprüfung des IRBC-Programms durch das Management, einschließlich der Programmleistung, der IKT-Bereitschaftsleistung und der Ressourcenzuweisung. Zusätzlich zur Überprüfung durch das Management setzt das IRBC-Programm Korrekturmaßnahmen um, die in anderen Phasen des Managementsystems ermittelt wurden. Das Ziel der Korrekturmaßnahmen ist es, eine Kultur der kontinuierlichen Verbesserung in der Organisation zu verankern und das Management in die Priorisierung der kontinuierlichen Verbesserung einzubinden.

 

Was also, wenn das Unternehmen noch kein BCM-Programm hat? Oft werden IT-Experten gebeten, Maßnahmen zur Schadensbegrenzung, Reaktion und Wiederherstellung zu implementieren, bevor ein umfassenderes BCM-Programm gestartet wird. In diesen Fällen hat das Unternehmen keine ganzheitliche Analyse der geschäftlichen Auswirkungen durchgeführt, um die geschäftlichen Anforderungen an Anwendungen und Hardware zu ermitteln. Einige IT-Organisationen nutzen ihre Intuition und Erfahrungen aus der Vergangenheit, um die Anforderungen an die Reaktion und Wiederherstellung von IKT zu ermitteln, z. B. RTO und RPO. Die Verwendung von Intuition und Erfahrungen aus der Vergangenheit führt jedoch häufig zu einer Diskrepanz zwischen den Erwartungen des Unternehmens an die Wiederherstellung von Informations- und Kommunikationstechnologie und der tatsächlichen Wiederherstellbarkeit. Eine einfache Möglichkeit, Wiederherstellungsanforderungen für IKT-Dienste zu entwickeln, ist die Durchführung einer gezielteren Analyse der Auswirkungen von Anwendungen (Application Impact Analysis – AIA), die sich auf die Nutzung von IKT-Diensten konzentriert und die Auswirkungen einer Störung auf die Organisation anhand eines oder einer Gruppe von verbundenen Diensten misst.

 

Ein effektiver AIA wird identifizieren:

 

  • Die Akteure (einschließlich der Nutzer) der Informations- und Kommunikationstechnologie;

  • Die (quantitativen und qualitativen) Auswirkungen einer Unterbrechung der IKT im Laufe der Zeit; und

  • Manuelle Umgehungsmöglichkeiten, die Benutzer während einer Unterbrechung anwenden können.

 

Das in ISO 27031 beschriebene IRBC-Programm unterstützt IT- und Business Continuity-Experten zusammen mit ihren Programmsponsoren bei der Aufrechterhaltung einer effektiven IKT-Resilienz. Durch die Implementierung eines IRBC-Managementsystems helfen IT- und Business-Continuity-Fachleute ihrer Organisation bei der Überwachung von, der Reaktion auf und der Wiederherstellung nach einer Unterbrechung der IKT. ISO 27031 wendet die in ISO 22301 beschriebenen BCM-Konzepte an und passt sie an, um das Risiko von Unterbrechungen der Informations- und Kommunikationstechnologien sowie des gesamten Unternehmens zu verringern.