Business Continuity Management

BCM & BIA

Im QSEC® Modul BCM (Business Continuity Management) werden die Anforderungen der ISO 22301 bzw. des BSI IT-Grundschutz 100-4 umgesetzt. Beginnend bei der Analyse der Geschäftsprozesse durch eine BIA (Business Impact Analyse), mit der Fortführung der GAP-Analyse der verbundenen Assets und endend mit der Verwaltung der Dokumente zur Notfallplanung.

 

Impact Analyse – Ermittlung des Risiko-Akzeptanzniveaus

Für jeden in QSEC erfassten Prozess kann eine Impact Analyse nach den Impact-Kategorie (Finanziell, Image, Recht etc.) durchgeführt werden. Der Zeitraum für die Impact Beurteilung (maximale Prozessausfalldauer nach Stunden/Tage) wird für alle Prozesse vom Prozess Owner bewertet. Es werden nicht nur die Ausfallzeiten der Prozesse bewertet, sondern auch die Mitarbeiterverfügbarkeit mit Arbeitsplatzangaben und ggf. benötigte Dienstleister. Die Skalierung ist abhängig von den typischen Schadensverläufen der Geschäftsprozesse der Branche des betrachteten Unternehmens.

Aufgrund der Angaben des Prozess Owners können die Assets (Infrastruktur, IT-Systeme etc.) einer GAP-Analyse (IST/SOLL RTO/RPO) unterzogen werden.

Mit der QSEC BCM Funktion werden die Festlegungen der Geschäftsprozesse und der Assets für die Notfallplanung und Notfalltests mit der zugehörige Notfall-Dokumentation beschrieben.

QSEC®: Business Continuity Management – BIA Prozessbewertung

Features (Auszug)

 
  • Anzeige der Prozesse für die BIA Bewertung
  • Erfassung der Vorgaben für MTPD, RTO, RPO etc.
  • Bewertung der Geschäftsprozesse hinsichtlich der zeitlichen Auswirkungen von RTO, RPO für die Kriterien Finanziell, Reputation, Steuerung, Recht (individuell einstellbar)
  • Bewertung der Geschäftsprozesse hinsichtlich der zeitlichen Auswirkungen für Mitarbeiteranzahl, Arbeitsplatzanforderungen, Dienstleister
  • Berechnung der Kritikalität der Prozesse
  • Darstellung der GAP-Analyse (Soll-/IST RTO; RPO) und Maßnahmenerstellung je Asset-Gruppe
  • Festlegung der Notfallplanung und Notfalltests für kritische Geschäftsprozesse
  • Überprüfung und Bewertung der Dokumentation für kritische Asset-Gruppen (IT-Notfallplan, Betriebshandbuch, Wiederanlaufplan) mit den ggf. durchgeführten Testergebnissen (individuell einstellbar)

QSEC® GRC kann Compliance-, IT-Risk-, Security Incident- und Business Continuity Management in einem System umsetzen und verwalten.