Business Continuity Management - All-About

white paper:
business continuity
Business Continuity Management
Wie Sie Ihre IT-Infrastruktur absolut zuverlässig machen
Das Thema Business Continuity hat aufgrund der Ereignisse der letzten Jahre, wie des Tsunami
in Asien und der Hurrikane an der amerikanischen Golfküste, große Aufmerksamkeit bekommen.
Es handelt sich um ein vielschichtiges Thema, das gut zwischen erforderlichen Investitionen
und geduldetem Geschäftsrisiko ausbalanciert sein will. Verizon Business musste seine globale
Netzinfrastruktur auch über diese größten Katastrophen der Menschheit der letzten Jahren
hinweg managen und hat dabei viel Erfahrung sammeln können. Verizon Business hat daraus viele
Verfahren für Business Continuity Management weiterentwickelt. In diesem Dokument werden die
wichtigsten Punkte für Business Continuity aufgelistet und diskutiert. Verizon Business hat dabei
einen Paradigmentwechsel vom Ansatz der ereignisabhängigen Disaster Recovery hin zum Business
Continuity Management vollzogen. Wir beginnen mit einer Überprüfung der potentiellen Gefahren für
den fortlaufenden Betrieb und der Anforderungen der jüngsten regulatorischen Entwicklung.
Von Disaster Recovery zu Business Continuity in einer
Echtzeit-Geschäftskultur
Das Unternehmen in Real-Time ist Wirklichkeit geworden. Vom Wettbewerb zu ständig wachsender
Effizienz, Produktivität und Flexibilität angetrieben, nutzen die Unternehmen neue Geschäftsprozesse
und -technologien, um dieser dynamischen Umgebung gerecht zu werden. Lieferketten
werden verschlankt, um Lagerbestände und Transaktionszeiten zu minimieren. Die Puffer in der
Wertschöpfungskette sind weitgehend aufgebraucht, und die Geschäfte reagieren mehr denn je
anfällig auf kürzeste Geschäftsunterbrechungen.
Historisch betrachtet sahen Unternehmen das Problem als ein Disaster Recovery-Problem an:
Erstellung eines Plans zur Wiederherstellung des Geschäftsbetriebs nach einer Katastrophe, wie
z.B. ein Hurrikan, ein Erdbeben oder ein Brand. Ein Disaster Recovery-Plan bezog häufig auch
Außendienststellen mit ein, in denen weniger geschäftskritische Systeme arbeiteten, so dass eine
Sicherungskopie der letzten Geschäftsdaten immer verfügbar war. Das Backup wurde eingespielt,
und das System konnte wieder arbeiten; typischerweise dauerte dies 24 bis 48 Stunden, manchmal
sogar bis zu 72 Stunden, je nachdem, wie komplex die Umgebung und der Schaden war.
Dieses Modell funktioniert in der heutigen Echtzeit-Kultur nicht mehr. Die Unternehmen können
es sich nicht leisten, den Betrieb für ein paar Tage einzustellen, während die IT die kritischen
Systeme wiederherstellt. Heute liegt der Fokus auf dem Business Continuity Management (BCM);
laufend werden die Geschäftsanforderungen geprüft, ein akzeptables Risikoniveau bestimmt
und die Definiton der Geschäftsprozesse angepasst, um die Infrastruktur zu optimieren. Das
BCM konzentriert sich auf das Management der Mitarbeiter, Prozesse und Systeme, um ein
Betriebsmodell zu erzeugen, das die Fortführung aller kritischen Geschäftsprozesse auch während
außergewöhnlicher Ereignisse sichert.
Erfolgreiche Business Continuity-Lösungen haben viele Facetten, die auf eine große Bandbreite von
Alternativen zurückzuführen sind, und finden den Mittelweg zwischen den Risiken und den Kosten,
die für jedes Unternehmen angemessen sind. Kurz gesagt, eine Größe passt nicht allen. Allerdings
Seite von 7
Von Chip Freund
business continuity
gehören zu allen erfolgreichen Business Continuity Management-Lösungen
mehrere Schlüsselkomponenten:
• Unternehmensbewertung. Ein klarer Blick auf alle geschäftskritischen Informationsflüsse
• Ausmaß. Ende-zu-Ende-Sicht einschließlich aller Mitarbeiter, Prozesse und Systeme
• Risikobewertung. Potentielle Risiken und Toleranz des Unternehmens im Hinblick auf Unsicherheiten
• Business Continuity Management Team aus verschiedenen Bereichen. Business
Continuity ist nicht nur eine Technologielösung aus dem IT-/Netzwerkbereich. Das Business
Management muss an dem Prozess zur Identifizierung der wichtigsten zu erhaltenden
Prozessflüsse beteiligt sein.
• Regelmäßige Prüfungen und Erneuerungen. Das BCM ist eine dynamische Disziplin, die sich
weiterentwickelt und an veränderte Geschäftsumgebungen anpasst.
Compliance: Bestimmung der Tagesordnung — Business Continuity ist nicht
länger nur eine Option
Man muss sich nur die Schlagzeilen der heutigen Geschäftsveröffentlichungen ansehen, um zu
wissen, dass die Tagesordnungen vieler Unternehmensleitungsteams in den Sitzungssälen auf der
ganzen Welt durch das Thema Compliance bestimmt werden. Business Continuity ist mittlerweile in
zweifacher Hinsicht eng verbunden mit der Compliance der Regulierungsvorschriften. Zunächst
haben eine Reihe von Industrieverordnungen Business Continuity- oder Disaster RecoveryAnforderungen aufgenommen, wie z.B. Datensicherung / Datenerhalt und Zweitstandorte für ITOperationen. Nachfolgend finden Sie nur ein paar der Punkte hinsichtlich Compliance bzw.
Regulierungsvorschriften, die sich auf der Tagesordnung der Geschäftsleitung befinden:
Betroffene
Branchen
Hauptfokus
Auswirkungen auf die
Business Continuity
Sarbanes-Oxley
Alle Gesellschaften,
die an den US-Börsen
gehandelt werden
Verwaltungsstruktur des
Unternehmens
Langfristige
Datenspeicherung/archivierung
Gramm-Leach-Bliley
(GLB)
Finanzdienstleistungen
Informationserhalt/und sicherung
Datenreplikation –
langfristige Speicherung/
Archivierung
HIPAA
Gesundheitswesen
Standardisierung von Geschäftsvorgängen im
Gesundheitswesen und
der Vertraulichkeit der
Patientenakten
Erfordert Disaster
Recovery-Plan, einen
betrieblichen Krisenplan
und Datensicherung
FISMA
US-Regierung
Informationssicherheit
Erfordert, dass die
Regierung während einer
Krise offen und
betriebsfähig ist
Basel II
Übereinkommen
Finanz-/Bankwesen
Erstellt vom Baseler
Ausschuss für
Bankenaufsicht
und vernünftige
Verfahrensweisen
für Management und
Aufsicht, 2003
FERC RM01-12-00
(Anhang G)
Energieversorgung/
Öffentliche
Versorgungsbetriebe
Die Regulierung
Erfordert Disaster
konzentriert sich
Recovery-Plan
auf großstädtische
Versorgungsbetriebe.
Ländliche Versorgungsbetriebe sind befreit.
Erfordert Business
Continuity-Plan und
Verlustbegrenzung
Tabelle 1: Beispiel für Industrieverordnungen, die Auswirkungen auf die Business Continuity haben
Seite von 7
business continuity
Zweitens ist die Aufrechterhaltung bestimmter Zertifizierungen (SAS-70, FIPS, etc.) und
ordnungspolitischer Compliance erforderlich, um die in vielen Branchen benötigten Genehmigungen
zu erhalten. Verizon Business versteht diese Verbindung und arbeitet mit den Unternehmen
zusammen, um sie in ihrem Bemühen zu unterstützen, die Compliance aufrechtzuerhalten.
Ausmaß der Business Continuity
Um der Diskussion um die Business Continuity einen Rahmen zu geben, ist es sinnvoll, mit einer
Bestandsaufnahme der Arten von Ereignissen zu beginnen, die Auswirkungen auf das Unternehmen
haben können. Dann kann man damit beginnen, die Auswirkungen eines jeden zu bewerten
und eine Strategie zur Abmilderung der Auswirkungen möglicher Gefahren zu formulieren. Die
Gefahren können in drei Grundkategorien aufgeteilt werden: einrichtungsbezogene Ereignisse,
mitarbeiterbezogene Ereignisse und IT-infrastrukturbezogene Ereignisse.
Ereignisse mit möglichen Auswirkungen
Einrichtungsbezogene Ereignisse
• Durch Naturkatastrophen verursachte Ereignisse (Überschwemmungen, Schneestürme,
Hurrikane, Waldbrände, Erdbeben, etc.)
• Durch Menschen verursachte Ereignisse (Stromunterbrechung, Verschütten von Chemikalien,
entgleiste Züge, terroristische Angriffe, Bürgerunruhen, etc.)
• Physikalischer Einbruch und Vandalismus
Ereignisse, die Auswirkungen auf die Einrichtungen eines Unternehmens haben, gleichgültig ob
durch Naturkatastrophen oder Menschen verursacht, standen immer im Mittelpunkt der Disaster
Recovery-Diskussionen. Ereignisse, die Auswirkungen auf eine ganze Einrichtung haben, haben
typischerweise ein großes Ausmaß und entstehen ohne große Vorwarnung. Im Kontext des Business
Continuity Managements können Geschäftsunterbrechungen dieser Größe der Hauptantrieb der
Lösung sein, aber sie sind nicht der einzige Schwerpunkt der Lösung.
Mitarbeiterbezogene Ereignisse
• Grippepandemie
• Mitarbeiterverlust (Tod, Entlassung, Kündigung oder Krankheit)
Ereignisse, die Auswirkungen auf die Mitarbeiter eines Unternehmens und nicht auf seine
Infrastruktur haben, sind erst jüngst in dieses Paradigma mit aufgenommen worden. Wenn man die
Informationsflüsse innerhalb eines Unternehmens untersucht, stellen die Mitarbeiter eindeutig ein
entscheidendes Element dar. Mitarbeiterbezogene Auswirkungen können weit reichend sein, wie
im Fall eines immensen Grippeausbruchs. Selbst der Verlust eines einzelnen wichtigen Mitarbeiters
kann allerdings verheerend für ein Unternehmen sein, falls die betreffende Person die einzige ist,
die bestimmte wichtige Kenntnisse oder Qualifikationen besitzt. Ein effizientes Business Continuity
Management muss dafür sorgen, dass mehrere Mitarbeiter innerhalb der Organisation die gleichen
wichtigen Kenntnisse und Qualifikationen besitzen, damit die Betriebsfähigkeit aufrechterhalten wird,
wenn ein oder mehrere Mitarbeiter nicht verfügbar sind.
IT-infrastrukturbezogene Ereignisse
•
•
•
•
•
•
Hardwarefehler
Software Bug
Sicherheitsereignis (Virus, Wurm, Defense Denial of Service, Einbruch)
Leistungsrückgang oder Fehler der Netzwerkübertragung
Change Management-Fehler
Menschlicher Fehler
Die IT-Infrastruktur steht seit langem im Mittelpunkt der Diskussionen um das Disaster Recovery.
Dies ist ein Bereich, in dem die Technologie sowohl die Risiken als auch die zur Unterstützung von
Unternehmen im Echtzeitbetrieb erforderlichen Lösungen generiert. Zu den Gefahren für die ITInfrastruktur gehören u. a. physikalische Einflüsse wie z.B. Hardwarefehler und Kurzschlüsse, sowie
Seite von 7
business continuity
die weniger sichtbaren, aber sehr realen Auswirkungen von Software Bugs, Sicherheitsereignissen
und menschlichen Fehlern. Das BCM berücksichtigt den vollständigen Geschäftsinformationsfluss
und die gesamte kritische Infrastruktur, die diesen unterstützt.
Jede Gefahr, ob groß oder klein, birgt einzigartige Herausforderungen, die ein Unternehmen
berücksichtigen muss, wenn es seine BCM Strategie entwickelt. Natürlich ist eine Reihe von BCM
Komponenten nicht im IT-Umfang enthalten. Um z.B. den Einfluss eines immensen Grippeausbruchs
zu verhindern, bieten viele Unternehmen ihren Mitarbeitern kostenlose Grippeimpfungen an. Damit
mildern sie das Risiko eines beträchtlichen krankheitsbedingten Mitarbeiterausfalls aufgrund
saisonbedingter Erkrankungen.
Business Continuity Management
Das Business Continuity Management ist ein ständiger Prozess, der von den kritischen
Geschäftsanforderungen eines Unternehmens angetrieben wird. Eine vollständige Bewertung
des Geschäftsinformationsflusses muss mit Blick auf die Mitarbeiter, Prozesse und Systeme
erfolgen (einschließlich der Kommunikationsinfrastruktur), die an jedem Geschäftsinformationsfluss
beteiligt sind. Alle Informationsflüsse, intern im Unternehmen und extern zu den Lieferanten oder
Kunden, müssen untersucht werden. Die Unternehmensbewertung wird dann im Kontext der
Risikobewertung überprüft. Die Risikobewertung hilft, Compliance-Anforderungen, Gefahren
für die Brutto- und Nettoeinnahmen und mögliche entstandene Kosten zu identifizieren, falls ein
auswirkungsreiches Ereignis eintreten sollte.
Abbildung 1 unten zeigt den Lebenszyklus der Business Continuity. Durch die Anwendung einer
Lebenszyklusmethode auf ihr BCM sollten Unternehmen die erforderliche betriebliche Stabilität
beibehalten können, wenn sich ihre Umgebung verändert. Durch neue Anwendungen, Fusionen
und Käufe, sich verändernde ordnungspolitische Landschaften und technologische Fortschritte
kann sich die Geschäftsumgebung über Nacht ändern. Es ist entscheidend, dass das BCM in alle
wichtigen Geschäftsentscheidungen integriert wird um sicherzustellen, dass das Unternehmen
nicht nur die Compliance aufrechterhält, sondern auch ein akzeptables Risikolevel für seine
kritischen Informationsflüsse.
Abbildung 1: Lebenszyklus der Business Continuity
Seite von 7
business continuity
Verizon Business: Business Continuity-Lösungen
Verizon Business bietet eine große Bandbreite von Business Continuity-Lösungskomponenten, von
traditionellen stabilen Sprach- und Datendienstleistungen bis hin zu in das Netzwerk eingebetteten
Applikationen mit hoher Verfügbarkeit, die die Kunden in die Lage versetzen, eine äußerst stabile
Plattform zu einem Bruchteil der Kosten des hausinternen Aufbaus einer Plattform zu nutzen.
Abbildung 2 zeigt den Business Continuity-Ansatz von Verizon Business. Das Fundament liegt auf
den Kernkomponenten unserer stabilen Sprach- und Datendienste, Sicherheitsdienstleistungen,
IT-Lösungen und einer Auswahl von in das Netzwerk eingebetteten Applikationen. Verizon Business
kann darauf dann die Managed Services aufsetzen, um seine Kunden in die Lage zu versetzen,
ihre IT-Bemühungen auf den Betrieb ihres Geschäfts zu konzentrieren, anstatt Support für ihre
IT-Infrastruktur zu leisten. Schließlich kann Verizon Business SLAs für Customized Business
Outcome bieten, indem es die vollständige Ende-zu-Ende-Verantwortung für die wichtigsten
Geschäftsapplikationen übernimmt.
Verizon Business bindet sein Business Continuity-Portfolio in die professionellen Dienstleistungen
ein, die erforderlich sind, um den Kunden in allen Phasen des Business Continuity Managements
behilflich zu sein, von der anfänglichen Planung und Bewertung bis zur Implementierung und
Compliance-Sicherung.
In das Netzwerk eingebettete Applikationen
IT-Lösungen
Sicherheitsdienstleistungen
Datendienste
Managed Optionen
Stabile Sprach- und
Business Continuity-Planung
Customized Business Outcome
SLA-Optionen
Abbildung 2: Business Continuity-Ansatz von Verizon Business
Seite von 7
Compliance-Bescheinigung und Prüfung
Business Continuity Management ist eine Kernkompetenz von Verizon. Verizon hat seine
Kommunikationsinfrastruktur zu einer der Infrastrukturen mit dem höchsten Standard in
der Telekommunikationsbranche aufgebaut und auf diesem Stand gehalten. Verizon versetzt
Millionen von Unternehmen und Verbrauchern in die Lage, täglich und während vieler äußerst
schwerwiegender Ereignisse zu kommunizieren. Seine jahrelangen Erfahrungen im Aufbau und in
der Instandhaltung zuverlässiger Kommunikationsnetzwerke sind nun für seine Kunden verfügbar,
um jedem von ihnen die Möglichkeit zu geben, eine kostengünstige Kommunikationsinfrastruktur
zu nutzen, die für einen ununterbrochenen Unternehmensbetrieb in Echtzeit bereit ist.
business continuity
Zu den verfügbaren Dienstleistungen zur Erfüllung der wichtigsten Business Continuity
Anforderungen gehören die folgenden:
Serviceschwerpunkt
Service
Vorteil für den Kunden
Business Continuity
Professionelle
Dienstleistungen
Technology Consulting Services
Hilfe bei der Entwicklung oder
Erneuerung von Business
Continuity und ordnungspolitischen
Compliance-Plänen
Stabiles Sprach- und
Datennetzwerk
Enterprise Mobility - EVDO
Fähigkeit, die Verbindung über
Notebooks per Broadband
Wireless kombiniert mit dem
Verizon Enterprise Mobility
Management Service zu erhalten
IP VPN Broadband Wireless
Back-Up
IP VPN und Broadband Wireless
Backup-Lösung für den
traditionellen Leitungszugang
SIG Broadband Wireless Back-Up
Sicherung mit öffentlichem
Broadband Wireless-Zugang, um
öffentliche Standorte mit privaten
Netzwerken zu verbinden
Private IP - Disaster Recovery
Ports
Erschwinglicher privater IPNebenport und -Zugang zur
Nutzung als Backup-Zugang
Ethernet Private Line
Bietet im gesamten großstädtischen Bereich LAN/WAN
Netzwerkflexibilität
und -stabilität
Custom Redirect Service
Echtzeit-Umleitung von
eingehenden Anrufen zu vorher
konfigurierten Alternativnummern
auf der Grundlage eines
auslösenden Ereignisses
Denial of Service - Defense
Detection
Erweiterte Vorsichtsmaßnahmen
zum Schutz der Systeme vor
Ausfällen, die von DoS-Angriffen
verursacht werden
Managed Firewall Enterprise und
Managed Intrusion Protection
Erweiterte Vorsichtsmaßnahmen zum Schutz der
Systeme vor Ausfällen, die
von Viren und böswilligem
Hackern verursacht werden
IP Application Hosting
Teilweise und vollständig
ausgestaltete Failover-Optionen
zur Ermöglichung des fortlaufenden
Betriebs bei Auswirkungen eines
Ausfalls auf Haupteinrichtungen
und -systeme
Remote Backup und Restore
Datensicherung zu einem
entfernten, sicheren Standort, der
von Verizon verwaltet wird,
mit vollständiger Wiederherstellung
am Hauptdatenstandort, falls
erforderlich
Sicherheitsdienstleistungen
IT-Lösungen
Seite von 7
business continuity
Serviceschwerpunkt
Service
Vorteil für den Kunden
IT-Lösungen
Managed Storage
Vielzahl von Managed und Hosted
Speicherlösungen zur Integration
in den gesamten Business
Continuity-Plan
In das Netzwerk
eingebettete Applikationen
Hosted IP Centrex Back-Up
Flexibler VoIP-basierter
Anrufdienst mit netzwerkbasiertem
IP PBX, der es anrufenden
Standorten bei Bedarf ermöglicht,
zu jedem Standort mit
Internetzugang zu wechseln
Web Center
Flexible multimodale gehostete
Contact Center-Funktionalität, die
es dem Contact Center Agent
erlaubt, seinen Sitz überall zu
haben, wo es einen Internetzugang gibt
Integrated Communications
Package
Einheitliche Kommunikationsanwendung, die flexible Anrufs- und
alternative Kommunikationsoptionen bietet und keinen festen
Standort erfordert
Managed Netzwerk
Dienstleistungen
Managed Network Services
Eine Vielzahl von Managementoptionen für VerizonDienstleistungen, die einem
Unternehmen die täglichen
Operationen abnehmen und sie zu
Verizons stabilen Netzbetriebszentren verlagern
Customized Business
Outcome SLA
Customized Business
Outcome SLA
Auf das Erreichen bestimmter
Geschäftsergebnisse fokussierte
benutzerdefinierte Lösungen
für eine Anwendung gegenüber
den traditionellen Netzwerk- und
Datenzentrums-SLAs
*Nicht in jeder Region sind alle Dienstleistungen verfügbar.
Schlussfolgerung
Die wirtschaftlichen Zwänge des aktuellen Marktes haben die Diskussion von Disaster Recovery hin zu
Business Continuity verlagert. Unternehmen aller Größen müssen nach Lösungen suchen, damit ihr
Geschäft angesichts sowohl größerer als auch geringerer Auswirkungen weitergeführt werden kann.
Business Continuity Management ist eine fortlaufende Disziplin, die von den einzigartigen
Geschäftsanforderungen, Risikotoleranzen und den ordnungspolitischen Compliance-Anforderungen
jedes Unternehmens angetrieben wird. Verizon Business ist der bewährte globale Partner, auf dessen
Unterstützung zur Aufrechterhaltung des fortlaufenden Betriebs sich Unternehmen verlassen können.
© 2007 Verizon. Alle Rechte vorbehalten. WP_bcmanage_DE_0607
Namen und Logos von Verizon und Verizon Business sowie alle anderen Namen, Logos und Slogans, die sich auf Produkte und
Services von Verizon beziehen, sind Markenzeichen und Dienstleistungsmarken oder geschützte Marken und sonstige Kennzeichen bzw.
registrierteMarkenzeichen und Dienstleistungsmarken von Verizon Trademark Services LLC oder seiner verbundenen Unternehmen in den
VereinigtenStaaten und/oder anderen Ländern. Alle anderen Markenzeichen und Dienstleistungsmarken gehören ihren jeweiligen Eigentümern.
Seite von 7
Weitere Informationen
über das Produktportfolio
von Verizon Business
finden Sie unter
www.verizonbusiness.com/de