Operationelles Risikomanagement und Business Continuity - Sap ...
Operationelles Risikomanagement und Business Continuity - Sap ...
Operationelles Risikomanagement und Business Continuity - Sap ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong><br />
<strong>Business</strong> <strong>Continuity</strong><br />
Vodafone D2 GmbH<br />
Dr. Rolf Reinema
Gesetzlicher Versorgungsauftrag<br />
§§ Gesetz zu Sicherstellung des Postwesens <strong>und</strong> der Telekommunikation (PTSG)<br />
§§ Telekommunikationsgesetz (TKG)<br />
§§ Verordnung zur Sicherstellung von Telekommunikationsdienstleistungen<br />
sowie zur Einräumung von Vorrechten bei deren Inanspruchnahme (TKSiV)<br />
§§ …<br />
Forderungen an den Netzbetreiber (Auszug):<br />
• Bereitstellung eines flächendeckenden Mobilfunknetzes<br />
• Sicherstellung der Gr<strong>und</strong>versorgung mit Universaldienstleistungen<br />
• Planung <strong>und</strong> Implementierung von Sicherheits- <strong>und</strong> Notfallkonzepten<br />
12bruar 2009<br />
Folie 2 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Vorsorgekonzept des Netzbetreibers<br />
Maßnahmen zur „Erhöhung der Ausfallsicherheit im Netzbetrieb“<br />
• Absicherung der Infrastruktur gegen Brand<br />
• Absicherung der Infrastruktur gegen Stromausfall<br />
• Härtung der Vermittlungstechnik<br />
• Red<strong>und</strong>anz im Funknetz<br />
• Sicherheitskonzept gem. §109 TKG<br />
• <strong>Business</strong> <strong>Continuity</strong> Management<br />
12. Februar 2009 Folie 3 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Sicherheitskonzept gem. §109 TKG<br />
§ 109 TKG – Technische Schutzmaßnahmen:<br />
(1) Jeder Dienstanbieter hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum<br />
Schutz […] gegen unerlaubte Zugriffe zu treffen.<br />
(2) Wer Telekommunikationsanlagen betreibt, die dem Erbringen von Telekommunikationsdienstleistungen<br />
für die Öffentlichkeit dienen, hat darüber hinaus […] technische Vorkehrungen oder<br />
sonstige Maßnahmen zum Schutze gegen Störungen, die zu erheblichen Beeinträchtigungen von<br />
Telekommunikationsnetzen führen, <strong>und</strong> gegen äußere Angriffe <strong>und</strong> Einwirkungen von<br />
Katastrophen zu treffen. […]<br />
(3) Wer Telekommunikationsanlagen betreibt […] hat einen Sicherheitsbeauftragten […] zu benennen<br />
<strong>und</strong> ein Sicherheitskonzept zu erstellen […]<br />
• Wiederholende Risikoanalyse <strong>und</strong> –studien aller Technikstandorte<br />
• Fortentwicklung eines standardisierten Sicherheitskonzeptes<br />
• Regelmäßige Auditierung <strong>und</strong> Überprüfung<br />
• Berücksichtigung der Analysen bei Neu-/Umbauprojekten von Technikstandorten<br />
12. Februar 2009 Folie 4 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Es ist unser Ziel Risiken bewusst zu managen!<br />
<br />
Nationale <strong>und</strong> internationale Gesetze fordern dies<br />
(bspw. KonTrAG, Basel II)<br />
<br />
Bedrohungen nehmen zu<br />
(bspw. Pandemie, kritische Infrastrukturen,<br />
Unwetter, Sabotage, Kriminalität)<br />
<br />
<strong>Business</strong> <strong>Continuity</strong> Management stärkt<br />
das Vertrauen bei Investoren <strong>und</strong> K<strong>und</strong>en.<br />
12. Februar 2009 Folie 5 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
<strong>Business</strong> <strong>Continuity</strong> Management<br />
„Durch ein effizientes BCM ist VF DE in der Lage, proaktiv die<br />
Auswirkungen <strong>und</strong> Risiken von Störungen auf<br />
unternehmenskritische Geschäftsprozesse zu ermitteln<br />
<strong>und</strong> wirkungsvolle Vorkehrungen zu treffen, um den Einfluss<br />
von Störungen auf ein tragbares Niveau zu reduzieren, die<br />
Geschäftstätigkeit beim Eintritt einer Störung<br />
aufrechtzuerhalten <strong>und</strong> den Normalbetrieb<br />
schnellstmöglich wiederherstellen zu können. Das<br />
zentrale Krisenmanagement ist Bestandteil des BCM.“<br />
(BCM Richtlinie von VF DE)<br />
12. Februar 2009 Folie 6 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
<strong>Business</strong> <strong>Continuity</strong> Management ….<br />
ist ein ganzheitlicher Managementprozess<br />
hat zum Ziel die Stabilität der Geschäftstätigkeit sicherzustellen<br />
gibt dem Unternehmen die Fähigkeit zur wirksameren Reaktion<br />
auf kritische Störungen<br />
schützt die Interessen der wichtigsten Anteilseigner, des<br />
Ansehens, des Markennamens <strong>und</strong> der wertschöpfenden<br />
Tätigkeiten<br />
betrachtet Geschäftsprozesse <strong>und</strong> Systeme<br />
12. Februar 2009 Folie 7 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Gr<strong>und</strong>konzept zum BCM<br />
<strong>Business</strong> <strong>Continuity</strong> Management<br />
Krisenmanagement<br />
zKM Plan<br />
zKM Plan<br />
Notfall- <strong>und</strong><br />
Wiederanlaufmanagement<br />
KM<br />
KM<br />
Plan<br />
Plan<br />
KM<br />
KM<br />
Plan<br />
Plan<br />
KM<br />
KM<br />
Plan<br />
Plan<br />
BCPlan<br />
BCPlan<br />
BCPlan<br />
BCPlan<br />
BC<br />
BC<br />
Plan<br />
Plan<br />
BCM Verfahrensanweisung<br />
BCM Richtlinie<br />
12. Februarr 2009 Folie 8 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Gr<strong>und</strong>lage Britische Standard BS25999<br />
Die BCM Prozesslandschaft bei VF D2 orientiert sich am BCM Lifecycle des BS 25999-1:2006<br />
12. Februar 2009 Folie 9 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Das BCM Regelwerk<br />
Ziele BCM<br />
Leitsätze<br />
Richtlinie (RL)<br />
Verantwortlichkeiten<br />
BCM Prozesslandschaft<br />
Abgrenzung zum<br />
<strong>Risikomanagement</strong><br />
Abgrenzung zum Incident<strong>und</strong><br />
Problemmanagement<br />
Verfahrensanweisung (VA)<br />
Verantwortlichkeiten<br />
BCM Organisation<br />
Detaillierte Beschreibung der<br />
BCM Regelprozesse<br />
Vorlagen zur VA<br />
BCM Glossar<br />
12. Februar 2009 Folie 10 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Verantwortungs- <strong>und</strong> Aufgabenpyramide<br />
Eskalations- <strong>und</strong> Berichtsweg<br />
Executive Committee<br />
Audit Committee<br />
BC Panel<br />
VRS<br />
BCM Koordinatoren<br />
Prozessmanager/<br />
Systemowner<br />
BCP Owner<br />
Umsetzungsvorgaben<br />
operative taktisch strategisch<br />
Gesamtverantwortung<br />
Umsetzungsvorgaben<br />
Umsetzungsverantwortung<br />
Umsetzung<br />
12. Februar 2009 Folie 11 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
BCM Organisation<br />
Group<br />
Group Audit Committee<br />
VF Deutschland<br />
Internal Audit<br />
FIA<br />
Audit Comittee<br />
Prozessowner<br />
BC Panel<br />
Risk Management<br />
& Compliance FRC<br />
Sicherheit &<br />
Datenschutz VRS<br />
BCP Owner<br />
BC Manager<br />
Prozessmanager<br />
BCM Koordinator<br />
VRSB<br />
BCP Owner<br />
BC Manager<br />
Systemowner<br />
Entwicklung & Betrieb<br />
BCM Fachbereichs Koordinator<br />
BC Management Team<br />
12. Februar 2009 Folie 12 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Gr<strong>und</strong>konzept - Eskalationsstufen<br />
3. Eskalationsstufe<br />
Krise<br />
Krisenmanagement<br />
Krisenmanager<br />
2. EskalationsstufeFebrua<br />
Notfall<br />
Krise<br />
<strong>Business</strong> <strong>Continuity</strong><br />
Management<br />
BC Manager<br />
1. Eskalationsstufe<br />
Störung Krise<br />
Störungsbehebung<br />
Linienorganisation<br />
Störung<br />
Normalbetrieb Ereignis Normalbetrieb<br />
12. Februar 2009 Folie 13 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
BCM Prozesslandschaft<br />
C7.2.1<br />
C7.2.1<br />
<strong>Business</strong><br />
<strong>Business</strong><br />
Impact<br />
Impact<br />
Analyse<br />
Analyse<br />
C7.2.2 BCM<br />
C7.2.2 BCM<br />
Risk<br />
Risk<br />
Assessment<br />
Assessment<br />
C7.2.3 BCM<br />
C7.2.3 BCM<br />
Strategie<br />
Strategie<br />
C7.2.4 Entwicklung<br />
<strong>und</strong> Implementierung<br />
C7.2.5.2<br />
Aktualisierung<br />
BCP<br />
C7.2.6<br />
Aktualisierung<br />
KMP<br />
C7.2.5.1<br />
Erstellen BC<br />
Test- <strong>und</strong><br />
Auditplan<br />
C7.2.5.3 Testen<br />
C7.2.5.5<br />
Erstellen Test<strong>und</strong><br />
Auditbericht<br />
C7.2.5.4 Audit<br />
C7.1 BCM Management Prozess<br />
C7.1 BCM Management Prozess<br />
12. Februar 2009 Folie 14 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Ablauf einer schwerwiegenden Störung<br />
Ereignis<br />
RTO<br />
MTPD<br />
Zeit<br />
Sofortmaßnahmen<br />
Schadensfeststellung<br />
letzte<br />
Datensicherung<br />
(RPO)<br />
Wiederanlauf<br />
Notbetrieb<br />
Wiederherstellungsmaßnahmen<br />
Normalbetrieb<br />
RPO<br />
Normalbetrieb<br />
Ausrufung des<br />
Notfalls oder der<br />
Krise<br />
Beenden des<br />
Notfalls oder der<br />
Krise<br />
12. Februar 2009 Folie 15 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Definition von BC Kennzahlen <strong>und</strong> Phasen<br />
Recovery Point Objective<br />
Maximale Zeitspanne zwischen letzter Datensicherung <strong>und</strong> Ausfall, d.h.<br />
tolerierbarer Datenverlust.<br />
RPO<br />
Recovery Time Objective<br />
Maximale Zeitspanne zwischen Störung bis Aufnahme des Notbetriebes.<br />
RTO<br />
Maximum Tolerable Period of Disruption<br />
MTPD<br />
Maximale Zeitspanne zwischen Störung bis Aufnahme des Normalbetriebes, so<br />
dass der Fortbestand des Unternehmens nicht gefährdet ist.<br />
12. Februar 2009 Folie 16 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Definition von BC Kennzahlen <strong>und</strong> Phasen<br />
Wiederanlauf<br />
Ziel des Wiederanlaufs ist es so schnell wie möglich den Notbetrieb<br />
herzustellen. Die Dauer für den Wiederanlauf darf nicht größer als der RTO<br />
sein.<br />
Notbetrieb<br />
Ziel des Notbetriebs ist es den Geschäftsprozess meist bei geringerer Leistung<br />
oder mit erhöhten Aufwand weiter fortzusetzen.<br />
Wiederherstellung<br />
Ziel der Wiederherstellung ist es vor erreichen der MTPD den Normalbetrieb<br />
wieder herzustellen. Die Dauer der Wiederherstellung muss kleiner als MTPD<br />
sein.<br />
12. Februar 2009 Folie 17 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Möglicher Verlauf einer Störung<br />
Getestetes<br />
effektives<br />
BCM<br />
Leistungsfähigkeit<br />
A<br />
B<br />
Kein BCM,<br />
glücklicher<br />
Verlauf<br />
Kein BCM,<br />
typischer<br />
Verlauf<br />
C<br />
Critcal recovery point<br />
(MTPD)!<br />
Zeit<br />
12. Februar 2009 Folie 18 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Herausforderung zur Festlegung der Strategie<br />
Je später der Wiederanlauf,<br />
desto höher der Schaden!<br />
Investitionen / Schaden<br />
Je schneller der Wiederanlauf,<br />
desto höher die Investitionen!<br />
Zeit<br />
12. Februar 2009 Folie 19 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Optimierung der Wiederherstellung<br />
optimiert!<br />
12. Februar 2009 Folie 20 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Aufgaben der Prozessowner/ -manager<br />
<strong>Business</strong> Impact Analyse<br />
- Prozessspezifikation erstellen<br />
BCM Risk Assessment<br />
- BCM-RA für Prozesse erstellen<br />
BCM Strategie<br />
- BCM Strategie entwickeln<br />
BC Pläne entwickeln <strong>und</strong> implementieren<br />
Testpläne erstellen + planen<br />
BC Pläne testen<br />
Audits begleiten<br />
12. Februar 2009 Folie 21 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Inhalte der Prozessspezifikation<br />
Prozessdaten<br />
- Frequenz der Prozessdurchführung<br />
- Prozessabhängigkeiten<br />
- Notwendige Dienstleister<br />
- RPO, RTO, MTPD<br />
Auswirkungen<br />
- Umsatzverlust<br />
- Endk<strong>und</strong>en, Partneragenturen u.s.w.<br />
- gesetzliche/vertragliche Anforderungen<br />
- Mehrkosten durch den Ausfall (Überst<strong>und</strong>en, Schadensforderungen)<br />
Anforderungen für den Normal <strong>und</strong> Notbetrieb<br />
- Mitarbeiter<br />
- Systeme<br />
- Infrastruktur<br />
12. Februar 2009 Folie 22 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
BCM Risiko-Matrix<br />
12. Februar 2009 Folie 23 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Pläne im BCM<br />
BC Plan<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess BC Plan A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess A<br />
für geschäftskritische Prozesse<br />
Beschreibt die operative Behandlung des Notfalls im Fachbereich<br />
BC Plan<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
System XY<br />
für geschäftskritische Systeme<br />
Beschreibt die operative Behandlung des Notfalls im Fachbereich<br />
12. Februar 2009 Folie 24 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Prinzip <strong>Business</strong> <strong>Continuity</strong> Pläne<br />
BC Plan<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess BC Plan A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess A<br />
BC Plan je kritischer Prozess<br />
(verantw: Prozessmanager/ BC Plan Owner)<br />
Beschreibt die operative Behandlung des Notfalls in den Fachbereichen<br />
d.h.: Definition wann eine Notfall besteht, wann das Krisenmanagement zu<br />
informieren ist, Zusammenrufen des Notfallteams, Prozessbeschreibung zum<br />
Wiederanlauf, Prozessbeschreibung zum Notbetrieb, Prozessbeschreibung<br />
zur Wiederherstellung des Normalbetriebs u.s.w.<br />
BC Plan<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
Prozess<br />
BC Plan<br />
A<br />
System XY<br />
BC Plan je kritisches System bei dem die Infrastruktur bei VF DE betrieben<br />
wird<br />
(verantw: Systemowner/ BC Plan Owner)<br />
d.h.: Definition wann eine Notfall besteht, wann das Krisenmanagement zu<br />
informieren ist, Zusammenrufen des Notfallteams, Prozessbeschreibung zum<br />
Wiederanlauf, Prozessbeschreibung zum Notbetrieb, Prozessbeschreibung<br />
zur Wiederherstellung des Normalbetriebs u.s.w.<br />
Für Systeme, die beim Dienstleister betrieben werden, werden<br />
BCM Parameter in den SLAs vereinbart.<br />
12. Februar 2009 Folie 25 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
BC Management Alignments<br />
BCA<br />
mit der<br />
VF GO<br />
BCA<br />
mit …<br />
<strong>Business</strong> <strong>Continuity</strong> Alignment<br />
Vereinbarung zwischen Dienstleister <strong>und</strong> VF DE für den Krisen- oder Notfall. Diese BCAs<br />
sind bei einer Krise oder im Notfall zu beachten.<br />
Hinweis:<br />
Seitens VF GO werden diese Dokumente CMA (Crisis Management Alignment) genannt.<br />
12. Februar 2009 Folie 26 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Abgrenzung von Störungen<br />
Störung (engl. incident) eine Störung/ Unterbrechung, die in den<br />
vereinbarten SLAs zur Störungsbehebung behoben werden kann.<br />
Incidentmanagement<br />
Schwerwiegende Störung (engl. severe incident) eine Störung/<br />
Unterbrechung von unternehmenskritischen Prozessen oder<br />
Diensten, die mit höchster Priorität eingestuft ist <strong>und</strong> in den<br />
vereinbarten SLAs zur Störungsbehebung (Incident-management)<br />
nicht behoben werden kann.<br />
BCM<br />
12. Februar 2009 Folie 27 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Abgrenzung Notfall <strong>und</strong> Krisenfall im BCM<br />
Notfall …………wenn<br />
• für einen unternehmenskritischen Prozess eine schwerwiegende Störung vorliegt, die nur durch<br />
den lokal verantwortlichen BC Manager mit Hilfe des BC Plans behoben werden kann<br />
• <strong>und</strong> kein Krisenfall ausgerufen wurde.<br />
Krisenfall ……wenn<br />
• die Services an Endk<strong>und</strong>en schwerwiegend gestört sind<br />
• oder eine schwerwiegende Schädigung des Images durch die Störung zu erwarten ist<br />
• oder mehrere von einander abhängige unternehmenskritische Geschäftsprozesse schwerwiegend<br />
gestört sind<br />
• oder Bedrohungen, wie Pandemien, Terroranschläge, Sabotage, Umweltkatastrophen, die zu<br />
einer schwerwiegenden Störung führen können oder bereits geführt haben<br />
• <strong>und</strong> der Krisenfall erklärt wurde.<br />
Im Krisenfall greifen KM Pläne<br />
<strong>und</strong> die entsprechenden BC Pläne<br />
12. Februar 2009 Folie 28 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Verlauf von der Störung zum BC Krisemanagement<br />
Beschreibung<br />
Beispiel<br />
Störung<br />
schwerwiegende<br />
Störung<br />
BC Krisenmanagement<br />
Incidentmanagement<br />
BC Notfallmanagement<br />
Störung des Produktionsbetriebs,<br />
temporäre Unterschreitung der<br />
Verfügbarkeit<br />
tolerierbare Auswirkungen auf den<br />
Geschäftsbetrieb, Kompensierung möglich<br />
Unterschreitung der vereinbarten<br />
Verfügbarkeit für einen längeren Zeitraum<br />
Auswirkung begrenzt auf ein oder<br />
wenige IT-System, Komplettausfall eines<br />
Geschäftsprozesse, der sich evtl.<br />
unternehmenskritisch entwickelt<br />
Verfügbarkeit für einen langen Zeitraum<br />
nicht mehr gegeben<br />
Auswirkung auf große Teile des<br />
Unternehmens, umfassende Störung des<br />
gesamten Geschäftsbetriebs<br />
Zugriff auf einzelne<br />
Laufwerke für wenige<br />
St<strong>und</strong>en nicht möglich<br />
Ausfall eines der<br />
zentralen Systeme<br />
Verlust oder<br />
Totalausfall eines<br />
Rechenzentrums<br />
12. Februar 2009 Folie 29 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Was ist eine „Krise“ ?<br />
• Definition richtet sich im wesentlichen nach den<br />
individuellen Auswirkungen <strong>und</strong> deren Bewertung<br />
von Ursachen möglicher Störungen<br />
• Störszenarien im TK-Umfeld können sich individuell<br />
zur Krise entwickeln.<br />
• Mögliche Ursachen von Störungen im Netzbetrieb:<br />
• Technische Fehler<br />
• Menschliches Fehlverhalten<br />
• Unfall<br />
• Unwetter<br />
• Naturkatastrophen<br />
• Sabotage<br />
• Diebstahl<br />
• Terror<br />
• Pandemie (indirekt)<br />
12. Februar 2009 Folie 30 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Krise (Definition)<br />
Eine ungewollte schwerwiegende Störung<br />
von unbekannter Dauer,<br />
die den Fortbestand des Unternehmens substantiell <strong>und</strong><br />
nachhaltig gefährdet,<br />
die nur durch die Inkraftsetzung einer szenario-spezifischen<br />
temporären Führungsorganisation (Krisenstab) behoben werden<br />
kann.<br />
Der Krisenfall muss explizit erklärt werden.<br />
12. Februar 2009 Folie 31 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Rahmenbedingungen zKMP<br />
Etablierung einer zentralen Meldestelle<br />
Implementierung eines zentral koordinierten Alarmierungsprozesses<br />
Implementierung eines Entscheidungsprozesses (zentrale Krise ja/nein)<br />
Festlegung der Krisenstab-Organisation <strong>und</strong> Infrastruktur<br />
Implementierung eines Prozesses zum Aufbau des Krisenstabes<br />
Sicherstellung der administrativen <strong>und</strong> unterstützenden Tätigkeiten (TK-<br />
Verbindungen, Informationsarbeit, Pressearbeit, Logistik etc.)<br />
Schnittstellendefinition zwischen zentralem <strong>und</strong> lokalen Krisenstäben<br />
Schnittstellendefinition zwischen VF DE <strong>und</strong> VF Group FRS<br />
Eine lokale Krise wird immer durch den lokalen Krisenstab gelöst.<br />
12. Februar 2009 Folie 32 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Elemente des zentralen Krisenstabes (zKS)<br />
ExCo<br />
zentraler<br />
Krisenmanager<br />
(*)<br />
Ständige Mitglieder<br />
Krisenstab<br />
Koordinierungsgruppe<br />
Ergänzende<br />
Mitglieder des zKS<br />
(*)<br />
(Leitung durch<br />
Krisenkoordinator)<br />
Unterstützungselemente<br />
(*) szenarioabhängige Festlegung<br />
12. Februar 2009 Folie 33 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Konzept zKMP<br />
zKMP 1<br />
Alarmierung<br />
zKMP 2<br />
Entscheidung<br />
Krisenstatus<br />
zKMP 3<br />
Sofortmaßnahmen<br />
zKMP 4.1<br />
Aufbau zKS<br />
zKMP 5.1<br />
Krisenarbeit<br />
zKS<br />
zKMP 6<br />
Beendigung<br />
Krisenstatus<br />
zKMP 7<br />
Rückbau<br />
Krisenstab<br />
oder<br />
zKMP 4.2<br />
Aufbau<br />
mobKS<br />
zKMP 5.2<br />
Krisenarbeit<br />
mobKS<br />
12. Februar 2009 Folie 34 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Prinzip Krisenmanagement Plan (KMP)<br />
zKMP<br />
VF DE<br />
Zentraler Krisenmanagementplan (zKMP)<br />
Festlegung des Eskalationsweges,<br />
Entscheidungskompetenz zur Erklärung einer<br />
Krise, Alarmierung des Krisenstabs, Festlegung<br />
des Krisenstabes u.s.w.<br />
KMP<br />
….<br />
KMP<br />
……<br />
ggf. weitere Krisenmanagementpläne (KMP)<br />
Spezifische KMP von Organisationseinheiten<br />
(z.B. Niederlassungen)<br />
Anlage A<br />
Pandemie<br />
Anlage B<br />
Terror<br />
Anlage C<br />
…<br />
Anlagen zum Krisenmanagementplan<br />
Besondere Vorgaben <strong>und</strong> Festlegungen bei<br />
spezifischen Szenarien.<br />
12. Februar 2009 Folie 35 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
KPIs zur Bewertung der Risikolage<br />
Zahl der gemeldeten Systemausfälle <strong>und</strong> Geschäftsprozessunterbrechungen<br />
<strong>und</strong> der jeweiligen Ursache<br />
Höhe des verursachten Schadens <strong>und</strong> der entstandenen Kosten<br />
KPIs zur Bewertung der Sicherheitslage<br />
Veränderung der Dauer <strong>und</strong> Häufigkeit von Systemausfällen <strong>und</strong><br />
Geschäftsprozessunterbrechungen<br />
Veränderung der Kosten für die Wiederherstellung<br />
Veränderung der Wiederherstellungszeiten<br />
12. Februar 2009 Folie 36 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>
Vielen Dank für Ihre Aufmerksamkeit!<br />
Fragen?<br />
Dr. Rolf Reinema<br />
Leiter Unternehmenssicherheit<br />
Sicherheits- <strong>und</strong> Datenschutzbeauftragter<br />
Vodafone D2 GmbH<br />
Abteilung Unternehmenssicherheit (VRS)<br />
Am Seestern 1<br />
40547 Düsseldorf<br />
rolf.reinema@vodafone.com<br />
12. Februar 2009 Folie 37 <strong>Operationelles</strong> <strong>Risikomanagement</strong> <strong>und</strong> <strong>Business</strong> <strong>Continuity</strong>