Business Continuity Plan-Checkliste

Tutorials

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Das Vorhandensein eines robusten Business Continuity Plans (BCP) als Teil Ihrer Risikomanagementstrategie ermöglicht es Ihnen, kritische Funktionen aufrechtzuerhalten oder schnell wiederherzustellen, falls es zu einer Störung kommt. Ein BCP schützt auch die Infrastruktur des Unternehmens und dient als Leitfaden, dem Sie folgen können, um angemessen auf einen Vorfall zu reagieren.

Dieser Beitrag listet die wesentlichen Elemente der Checkliste für den Business Continuity Plan auf. Lesen Sie weiter, um den besten Handlungsverlauf zu entdecken, den Sie ergreifen sollten, um den Betrieb erfolgreich mit minimalen Auswirkungen wieder aufzunehmen.

Warum Sie einen Business Continuity Plan benötigen

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

Zweck des Business Continuity Plans ist es in erster Linie, die Notfallbereitschaft sicherzustellen, indem er Ihrem Reaktionsteam ermöglicht, methodisch die erforderlichen Schritte vor, während und nach einem disruptiven Szenario zu absolvieren. Unternehmen ohne diese Checkliste können Schwierigkeiten haben, normale Geschäftsprozesse aufrechtzuerhalten und riskieren den Verlust von Daten, Systemen oder Kunden, oft irreparabel.

Der 7-Schritte-Business Continuity Plan

Die 7-Schritte-Checkliste hilft Ihnen dabei, einen allgemeinen Rahmen von Prioritäten zu formulieren, auf dem Sie einen auf Ihre Organisation zugeschnittenen Business Continuity Plan aufbauen können. Sie können alle Verfahren einschließen, die Sie benötigen, um während einer Krise den Geschäftsbetrieb aufrechtzuerhalten. Beachten Sie, dass die genauen Details je nach Unternehmen auf unterschiedlichen Aspekten wie Unternehmensgröße, Branche und Art der Bedrohungen variieren.

Der Standard-Business Continuity Plan umfasst in der Regel die folgenden Schritte:

  1. Ein Katastrophenreaktionsteam erstellen
  2. Essenzielle Geschäftsdienste identifizieren
  3. Risikobewertung und Geschäftsauswirkungsanalyse durchführen
  4. Einen Wiederherstellungsplan entwickeln
  5. Wiederherstellungsziele festlegen und einen DR-Standort benennen
  6. Sichern, dass alle geschäftskritischen Workloads geschützt sind
  7. Den Geschäftskontinuitätsplan testen und aktualisieren

Werfen wir einen genaueren Blick auf jeden dieser Schritte, um zu verstehen, warum sie wichtige Elemente jeder BCP-Checkliste sind.

1. Ein Katastrophenreaktionsteam erstellen

Der erste Schritt bei der Formulierung eines Geschäftskontinuitätsplans besteht darin, das Team zusammenzustellen, das dafür verantwortlich ist, das Unternehmen im Notfall am Laufen zu halten. Das BCP-Team sollte Mitglieder aus jeder Abteilung umfassen, die an den täglichen Betriebsabläufen beteiligt sind, und es sollte einen Manager geben, der die Bemühungen zur Geschäftskontinuitätsplanung leitet.

Bei der Identifizierung wichtiger BCP-Personen müssen Sie eine umfangreiche Liste von Katastrophen erstellen, die die größte Bedrohung für Ihre Organisation darstellen, damit Sie die richtigen Personen rekrutieren können. Unterschiedliche Arten von Notfällen wie IT-Systemausfälle, Stromausfälle oder Anlagenbeschädigungen erfordern Mitarbeiter mit spezifischem Wissen und Fachkenntnissen, um sie ordnungsgemäß und schnell zu bewältigen.

Erstellen Sie eine Tabelle, um die benötigten Informationen über die Mitglieder des Einsatzteams zu erfassen, damit Sie sie bei Bedarf leicht erreichen können. Ihre Tabelle kann den Namen, die Position, die Rolle im Einsatzteam und die Kontaktinformationen enthalten. Denken Sie daran, dass Sie für jede Rolle im Team mindestens einen Stellvertreter zuweisen sollten. Dies ermöglicht es Ihnen, Engpässe zu vermeiden, falls die Hauptdelegierten ihre Verantwortlichkeiten nicht erfüllen können.

Identifizieren Sie wesentliche Geschäftsdienste

Einer der Hauptzwecke des Geschäftskontinuitätsplans besteht darin, Ihnen zu helfen, die Prozesse, Geräte und Ressourcen zu identifizieren, die für die Funktionsfähigkeit Ihrer Organisation entscheidend sind. Dies sind die wichtigen Infrastrukturfunktionen und -dienste, um die Sie Ihren BCP aufbauen sollten.

Diese Schlüsseldienste und Infrastrukturelemente umfassen höchstwahrscheinlich:

  • Stromversorgungssysteme und Generatoren
  • Telekommunikationsgeräte – WAN, LAN, Telefone, Computer
  • IT-Systeme und Server
  • Gebäudeinfrastruktur und Einrichtungen
  • Spezielle Ausrüstung oder geschäftskritische Vorräte

Es ist entscheidend, diese Elemente im Falle einer Störung so schnell wie möglich wiederherzustellen, um Ihren Betrieb fortzusetzen und Ihre Vermögenswerte zu schützen.

Führen Sie eine Risikobewertung und eine Analyse der Geschäftsauswirkungen durch

Nach Identifizierung wichtiger Geschäftsdienste sollten Sie eine Risikoauswirkungsbeurteilung durchführen, um die mit wesentlichen Systemen, Aktivitäten und Ressourcen verbundenen Schwachstellen zu entdecken. Die Risikobewertung schätzt die Wahrscheinlichkeit jeder Bedrohung ab und spiegelt die Wahrscheinlichkeit des Eintretens des Desasters wider.

Die Geschäftsauswirkungsanalyse (BIA), die normalerweise neben der Risikobewertung durchgeführt wird, ermöglicht es Ihnen, die Kritikalität und Schwere der Auswirkungen auf Ihre Geschäftsabläufe zu bewerten. Das Hauptziel der BIA besteht darin, die finanziellen und betrieblichen Kosten zu analysieren, die Ihnen entstehen würden, wenn das Risiko realisiert wird. Es hilft Ihnen dabei, das Toleranzniveau wichtiger Prozesse und Abhängigkeiten, wie Kunden und Partner, zu bestimmen, wenn wichtige Geschäftsfunktionen beeinträchtigt, gestört oder vollständig eingestellt werden.

Hier ist eine vereinfachte Tabelle, die Sie als Vorlage verwenden können, um mit dem Entwurf Ihrer eigenen Analyse zu beginnen:

Geschäftsprozess Auswirkungskategorie Schweregrad Maximale tolerierbare Ausfallzeit (MTD) Geschätzte Kosten Abhängigkeiten

Beachten Sie, dass Organisationen mit mehreren Standorten eine separate Risikobewertung und eine BIA für jeden Standort durchführen müssen. Wenn diese Standorte geografisch weit voneinander entfernt sind, können sich die Herausforderungen und Risiken unterscheiden. Ein robustes Geschäftskontinuitätsplan berücksichtigt auch die Beziehungen und Abhängigkeiten zwischen den verschiedenen Standorten.

4. Entwickeln Sie einen Wiederherstellungsplan

Es ist Zeit, einen Wiederherstellungsplan zu erstellen, der sich darauf konzentriert, Ihre Operationen nach einem Disaster wiederherzustellen. Geschäftskontinuität und Katastrophenwiederherstellung gehen Hand in Hand, insbesondere da der Katastrophenwiederherstellungsplan (DR) ein wesentlicher Bestandteil des Geschäftskontinuitätsplans ist. Für detailliertere Vorlagen zur Katastrophenwiederherstellung laden Sie unser kostenloses Whitepaper Katastrophenwiederherstellungshandbuch und Vorlagen herunter.

Der DR-Plan umreißt die technischen Schritte, die Sie durchführen müssen, um Ihre Kernservices so schnell wie möglich wiederherzustellen. Beachten Sie, dass der Wiederherstellungsplan nicht nur auf Daten beschränkt ist, da er auch Maschinen, Workloads und Prozesse umfassen sollte.

Ihr Wiederherstellungsplan kann unter anderem auf folgende Strategien zurückgreifen:

  • Alternative Geschäftsverfahren – beispielsweise manuelle Workarounds für mechanisierte oder automatisierte Prozesse, bis die Systeme wieder einsatzbereit sind
  • A secondary or alternate site to resume business operations
  • Failover auf Netzwerk- und Serversite-Ebene
  • Wiederherstellung von Offsite-Backups von geschäftskritischen Daten
  • „Hot-Spare“ oder Standby-Ressourcen, die sofort in Betrieb genommen werden können, wenn die primären Komponenten ausfallen

Das folgende Video erläutert, wie Sie eine vollständige Katastrophenwiederherstellung mit NAKIVO Backup & Replikation durchführen können.

Setzen Sie Wiederherstellungsziele und bestimmen Sie einen DR-Standort

Wiederherstellungszeitziel oder RTO bestimmt, wie viel IT-Systemausfallzeit ein Unternehmen vernünftigerweise tolerieren kann, bevor Prozesse oder Dienste wiederhergestellt werden. Das Wiederherstellungspunktziel oder RPO definiert, wie viel Datenverlust ein Unternehmen tolerieren kann. Sowohl RTO als auch RPO sind wichtige Kennzahlen in jedem Geschäftskontinuitätsplan.

Die Benennung eines Notfallwiederherstellungs (DR)-Standorts für Netzwerk-/Datenfehler ist entscheidend, da er im Falle eines Ausfalls Ihres primären Produktionsstandorts einen sofortigen Ersatz bietet. Darüber hinaus hilft es Ihnen, sicherzustellen, dass Ihre Wiederherstellungsziele erreicht werden.

Die sich an einem anderen geografischen Ort befindliche DR-Einrichtung fungiert als „Warmstandby“-Kopie Ihrer Ressourcen wie virtuelle Maschinen (VMs). Im Falle eines standortweiten Ausfalls, der Ihr Produktionsnetzwerk zum Erliegen bringt, kann der Verkehr an den DR-Standort umgeleitet werden. Die „Warmstandby“-VMs werden im Wesentlichen zu Produktions-Workloads, stellen Geschäftsabläufe wieder her und gewährleisten die Geschäftskontinuität effizient.

Sie können fortgeschrittene Lösungen zur Datensicherung von Drittanbietern verwenden, um Produktions-VMs an einen entfernten DR-Standort zu replizieren und das Replikationsintervall so festzulegen, dass es mit Ihrem RPO übereinstimmt. Die replizierte VM ist eine exakte Kopie der Originalmaschine und kann bei der Umsetzung Ihres Notfallwiederherstellungsplans in einem automatisierten Failover-Prozess verwendet werden.

6. Stellen Sie sicher, dass alle geschäftskritischen Workloads geschützt sind

Der Einfluss einer Katastrophe kann durch eine ordnungsgemäße Sicherung Ihrer geschäftskritischen Daten erheblich gemindert werden. Machen Sie Ihre Backups widerstandsfähig, indem Sie die 3-2-1-Regel anwenden: Mindestens 3 Backups auf 2 verschiedenen Arten von Speichermedien haben, wobei mindestens 1 Kopie extern gespeichert wird.

Führen Sie eine geschäftliche Datensicherung nach der 3-2-1-Backup-Methode durch, um möglichst kurze RPOs und RTOs zu erreichen. Dies ermöglicht es Ihnen auch sicherzustellen, dass dieselbe Katastrophe, die Ihr Produktionsnetzwerk beeinträchtigt hat, sich auch nicht auf Ihre Backup-Daten auswirken kann.

Testen und aktualisieren Sie Ihren Geschäftskontinuitätsplan

Nachdem Ihr Geschäftskontinuitätsplan fertiggestellt ist, ist eine gründliche Prüfung erforderlich. Der beste Weg, dies zu tun, besteht darin, Ihre Mitarbeiter zu schulen, um sicherzustellen, dass sie ihre Rollen und Verantwortlichkeiten vollständig verstehen. Ohne regelmäßige Schulungen und Übungen können Sie keine Notfallbereitschaft garantieren. Noch wichtiger ist, dass Sie durch die Durchführung vollständiger Simulationen Schwachstellen in Ihrem Plan identifizieren und beheben können.

Vergewissern Sie sich, dass Sie alle Verfahren durchführen, um den Ablauf eines tatsächlichen Katastrophenszenarios nachzuahmen. Diese Art von Tests sollten am besten vierteljährlich durchgeführt werden, da Schlüsselmitglieder des Teams mit dem Prozess vertraut bleiben. Darüber hinaus können Änderungen an Ihrer Infrastruktur, Umgebung, Protokollen, Arbeitslasten und/oder Arbeitskräften Komplikationen im Plan mit sich bringen. Diese potenziellen Probleme werden oft erst im Rahmen vollständiger Durchläufe entdeckt.

Die Simulationen sollten von einem unabhängigen Beobachter beobachtet werden, der alle Schwachstellen festhalten kann. Nach jedem Durchlauf sollten Debriefings stattfinden, dann können Sie einen Bericht entwerfen, der die festgestellten Schwächen und die vorgeschlagenen Aktualisierungen dokumentiert. Die Berichte sowie der aktualisierte Geschäftskontinuitätsplan sollten allen Teammitgliedern zur Verfügung gestellt werden.

Die Checkliste für den Geschäftskontinuitätsplan

Hier ist eine vereinfachte BCP-Checkliste, die es Ihnen ermöglicht, die notwendigen Phasen durchzugehen, um die Notfallbereitschaft sicherzustellen.

Ein Notfallteam erstellen

  • Einen BCP-Senior-Manager zuweisen
  • Einen Geschäftskontinuitätsausschuss einrichten
  • Response-Teammitglieder auswählen
  • Rollen und Verantwortlichkeiten definieren
  • Sekundäre Delegierte für jedes Teammitglied auswählen
  • Klare Kommunikation zwischen allen Mitgliedern herstellen

Identifizieren Sie wesentliche Geschäftsdienste

  • Alle Stromsysteme kartieren
  • Telekommunikationsgeräte identifizieren
  • IT-Systeme und Server identifizieren
  • Einrichtungen und spezialisierte Ausrüstung identifizieren
  • Abhängigkeiten zwischen den Diensten identifizieren
  • Notfalldienste überprüfen

Risikobewertung und Analyse der Geschäftsauswirkungen durchführen

  • Bedrohungen und Schwachstellen identifizieren
  • Risikotoleranz festlegen
  • Kritische Geschäftsprozesse bestimmen
  • Die maximal tolerierbare Ausfallzeit für jeden Dienst berechnen
  • Analysieren Sie finanzielle, rechtliche, regulatorische und kundenbezogene Auswirkungen
  • Identifizieren Sie die Wechselwirkungen zwischen kritischen Geschäftsfunktionen

Entwickeln Sie einen Wiederherstellungsplan

  • Erstellen Sie Ihren Kontinuitätsplan für den Betrieb (COOP)
  • Entwerfen Sie manuelle Workarounds für automatisierte Prozesse
  • Bereiten Sie sich auf Netzwerk- und Serverausfälle auf Standortebene vor
  • Testen Sie die Wiederherstellung von Offsite-Backups für kritische Daten
  • Stellen Sie sicher, dass Ersatzressourcen verfügbar sind

Legen Sie Wiederherstellungsziele fest und benennen Sie einen DR-Standort

  • Weisen Sie einen sekundären Standort zur Wiederaufnahme der Geschäftstätigkeit zu
  • Legen Sie Wiederherstellungspunktziele (RPO) fest
  • Legen Sie Wiederherstellungszeitziele (RTO) fest
  • Verwalten Sie die Prozesse für die Katastrophenwiederherstellung

Schützen Sie geschäftskritische Daten

  • Führen Sie Backups für geschäftskritische Daten durch
  • Speichern Sie Daten auf lokalen und externen Speichergeräten
  • Speichern Sie luftisolierte Backups
  • Aktivieren Sie die Unveränderlichkeit für spezifische Backups

Testen und aktualisieren Sie Ihren Geschäftskontinuitätsplan

  • Führen Sie jährliche, halbjährliche, quartalsweise Tests durch
  • Führen Sie jährlich vollständige BCP-Simulationen durch
  • Erstellen Sie einen Auditprozess
  • Identifizieren Sie Schwachstellen und aktualisieren Sie den Plan
  • Schulen Sie Ihre Mitarbeiter

Schlussfolgerung

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Diese Checkliste bietet das Rahmenwerk für einen wirksamen Geschäftskontinuitätsplan, der Ihnen helfen kann, selbst die schlimmsten Szenarien zu überstehen. Bedenken Sie, dass ein GKPlan nicht vollständig sein kann ohne eine fortschrittliche Datensicherungslösung wie NAKIVO Backup & Replication. Die NAKIVO-Lösung umfasst alle Tools, die Sie benötigen, um Backup- und Wiederherstellungsprozesse durchzuführen, DR-Workflows zu automatisieren und nicht störende DR-Tests durchzuführen, um sicherzustellen, dass Ihre Wiederherstellungsziele erreicht werden

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/