Geschäftsfortführungspläne

Der Hauptzweck der Geschäftsfortführungspläne besteht darin, dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in Notfällen nicht oder nur temporär unterbrochen werden. Hierzu müssen die Geschäftsfortführungs­pläne für verschiedene Szenarien (alternative) Vorgehensweisen beschreiben, mit deren Hilfe die kritischen Geschäftsprozesse im Notbetrieb fort­gesetzt werden können. Die Anforderungen an den Notbetrieb sind im Rahmen der Business Impact Analyse (BIA) zu ermitteln.

 

IT-Notfallmanagement

IT-Notfallmanagement hat gemäß BSI im wesentlichen zum Ziel, die Geschäftsfortführung durch Absicherung der Verfügbarkeit der IT-Services, der Anwendungen, der IT-Systeme und insbesondere der Informationen zu garantieren. IT-Notfallmanagement ist Teil des ganzheitlichen Notfallmanagements und sollte auch nicht isoliert betrachtet werden.

Die IT-Notfalldokumentation muss daher ebenfalls Teil einer übergeordneten Notfalldokumentation sein. Als solche muss sie vor allem sicherstellen, dass die kritischen IT-Services auch in Notfällen im definierten Umfang verfügbar sind.

Krisenkommunikationsplan

Im Krisenkommunikationsplan ist geregelt, wie die interne und externe Kommunikation in einem Notfall bzw. einer Krise erfolgen soll. Weiterhin sollte hier festgelegt werden, wer welche Informationen an wen weitergeben darf und in welcher Art und Weise. Wichtig ist dabei eine Unterscheidung zwischen interner und externer Kommunikation.

 

Notfallhandbuch

Das Notfallhandbuch umfasst die Gesamtheit aller für die Notfallbewältigung erforderlichen Informationen mit Beschreibungen der erforderlichen Maßnahmen. Das Notfallhandbuch liegt in der Verantwortung des unternehmensweiten Notfallmanagements. Es wird durch Geschäftsfortführungspläne, Wiederanlaufpläne und Wiederherstellungspläne ergänzt.

Inwieweit die Erstellung und Pflege eines gesonderten IT-Notfallhandbuchs sinnvoll bzw. erforderlich ist, muss unternehmensspezifisch betrachtet werden. Sofern die Themen nicht im unternehmensweiten Notfallhandbuch behandelt sind, muss ein IT spezifische Notfallhandbuch sicherstellen, dass der  IT-Betrieb im geforderten Maß nach Notfällen aufrechterhalten werden kann bzw. die Services zur Unterstützung der Geschäftsprozesse in der definierten Zeit wiederhergestellt werden können.

Notfallmanagement

Gemäß BSI umfasst das unternehmensweite Notfallmanagement die Bereiche der Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen und Krisen sowie die Planung der Notfallbewältigung mit der Wiederherstellung von Geschäftsprozessen. Ziel des Notfallmanagements ist es, sicherzustellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz der Institution auch bei einem größeren Schadensereignis gesichert bleibt. Eine ganzheitliche Betrachtung ist daher ausschlaggebend.

Die Notfallbewältigung beinhaltet die Ausweichplanung einschließlich Planung des Notbetriebs sowie das Krisenmanagement zur Bewältigung des Notfalls oder der Krise. Die hierfür erforderliche Notfalldokumentation muss dafür neben dem Notfallhandbuch u.a. Geschäftsfortführungspläne und Wiederanlauf- und  Wiederherstellungspläne beinhalten.

Sofortmaßnahmenplan

Als erste Schritte bei der Notfallbewältigung sind die Sicherheit und Unversehrtheit von Personen zu gewährleisten. Daher ist es wichtig für spezifische Notfälle Sofortmaßnahmen zu definieren und zu dokumentieren. Zusätzlich zu den Maßnahmen sind die Rollen zu beschreiben und es ist festzulegen, wer Sofortmaßnahmen einleiten und wer sie durchführen darf.

Wiederanlaufpläne

Wiederanlaufpläne ergänzen die Geschäftsfortführungspläne. Im Gegensatz zu den Geschäftsfortführungsplänen, die die Prozess­­ebene abbilden, beschreiben Wiederanlaufpläne auf operativer Ebene für einzelne Ressourcen, was in welcher Reihenfolge zu tun ist, um nach dem Ausfall einer Ressource die Wiederaufnahme und Fortführung der Betriebsfunktion in einem Notbetrieb zu ermöglichen. Auch sollte definiert werden, welche Maßnahmen die Wiederherstellung abschließen und welche Bedingungen erfüllt sein müssen, damit der Notbetrieb bzw. der Normalbetrieb als wieder aufgenommen gilt.

 

Wiederherstellungspläne

Wiederherstellungspläne ergänzen die Geschäftsfortführungspläne. Sie beschreiben die Wiederherstellung ausgefallener Systeme. Ziel ist es, einen vergleichbaren Zustand wie vor Eintreten eines Schadensereignisses zu erreichen.