Strukturierte Workflows für Business-Impact-Analyse

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Die Business-Impact-Analyse hilft Ihnen, die Folgen einer Störung für einen Geschäftsprozess oder eine Geschäftsfunktion vorherzusagen.

    Ein Geschäftsprozess ist eine Reihe von Aufgaben, die von einer Geschäftsorganisation ausgeführt werden, um Kunden einen Business Service oder ein Produkt bereitzustellen. Wenn ein Geschäftsprozess unterbrochen wird, können die Auswirkungen für die Organisation in Bezug auf Umsatz und Reputation enorm sein. Die Business-Impact-Analyse (BIA) wird durchgeführt, um kritische Prozesse zu identifizieren und zu priorisieren, die Auswirkungen zu quantifizieren oder zu qualifizieren und Wiederherstellungsabhängigkeiten zu identifizieren. Idealerweise muss die Business-Impact-Analyse für kritische Prozesse jährlich durchgeführt werden.

    Die Bewertung einer geschäftskritischen Prozessunterbrechung hilft Ihnen, die Auswirkungen auf Ihren Geschäftsumsatz, rechtliche Probleme, Personalunterbrechungen oder den Ruf Ihres Unternehmens abzuschätzen. Sie können damit auch die Abhängigkeiten Ihres Geschäftsprozesses von Geschäftsanwendungen, Technologien oder Lieferanten identifizieren, die möglicherweise betroffen sind. Diese Analyse erfasst die Informationen, die für die Entwicklung von Wiederherstellungsstrategien erforderlich sind.

    Abbildung : 1. Business-Impact-Analyse – Übersicht
    Business-Impact-Analyse – Übersicht

    Auswirkungsbewertungen für Ihre Business-Impact-Analyse

    Der Business Continuity Management (BCM)-Administrator Ihrer Organisation definiert die Auswirkungsbewertungen für Ihre Business-Impact-Analyse (BIA) und entscheidet, ob die Auswirkung für Ihren Geschäftsprozess tolerierbar ist. Weitere Informationen zu Auswirkungsbewertungen finden Sie unter . Gemäß der vom BCM-Administrator eingerichteten Konfiguration werden die Fragen auf der Registerkarte RTO-Auswirkungsbewertung angezeigt.

    Betrachten Sie das folgende Beispiel, in dem der BCM-Administrator eine nicht tolerierbare Auswirkungsbewertung für die Auswirkungskategorie „Umsatz“ konfiguriert hat. Der BCM-Administrator hat definiert, was als nicht tolerierbare Auswirkung gilt. Als BIA-Besitzer müssen Sie den Zeitpunkt identifizieren, zu dem die Auswirkungen auf den Umsatz 1 Mio. USD überschreiten können.BIA-Auswirkungsbewertung.

    Mehrere Auswirkungsbewertungen für eine Auswirkungskategorie

    Wenn Ihr BCM-Administrator den Bewertungsfragebogen so konfiguriert hat, dass er mehrere Auswirkungsbewertungen für eine Auswirkungskategorie enthält, werden die Auswirkungskategoriebewertungen in der Ansicht „Auswirkungskategorie“ angezeigt, wie im folgenden Beispiel gezeigt.Administratoransicht für die Auswirkungskategorie.

    Der BCM-Administrator kann pro Auswirkungskategorie einen Schwellenwert der Nichttoleranz für die Auswirkungsbewertungen angeben. Die Unterbrechungsdauer für die erste nicht tolerierbare Auswirkungskategorie wird für das Wiederherstellungszeitziel (Recovery Time Objective, RTO) ausgewählt. Die Auswirkungsbewertungen haben die folgenden angegebenen Werte:
    • Niedrig = 1
    • Mittel = 2
    • Hoch = 3
    Im folgenden Beispiel sehen Sie die RTO-Beispielberechnung.
    Abbildung : 2. Beispiel für die Berechnung der Auswirkungskategorie
    Ein Beispiel zur Veranschaulichung der Berechnung der Auswirkungskategorieergebnisse.
    Tabelle : 1. RTO-Beispielberechnung
    Szenario Nicht tolerierbare Auswirkung Beschreibung
    Szenario 1 In der Tabelle „Auswirkungsbewertungen“ wird das Feld Tolerierbar auf falsegesetzt.

    Wenn der Administrator angegeben hat, dass geringe regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als RTO (Recovery Time Objective) festgelegt.

    In diesem Beispiel wird die Unterbrechungsdauer für die Auswirkungsbewertung 01 - Low auf 4 Stunden festgelegt. Daher liegt das Wiederherstellungszeitziel (Recovery Time Objective, RTO) für die Auswirkungskategorie über 4 Stunden.

    Auch wenn die Dauer der Unterbrechung mit mäßiger Auswirkung kürzer ist, wird bei der Berechnung der Wert aus der ersten alphanumerisch sortierten Auswirkungsbewertung ausgewählt, für die das Feld Tolerierbar auf falsegesetzt ist.
    Szenario 2 In der Tabelle „Auswirkungsbewertungen“ wird das Feld Tolerierbar auf falsegesetzt.

    Wenn der Administrator angegeben hat, dass moderate regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als RTO (Recovery Time Objective) festgelegt.

    In diesem Beispiel wird die Unterbrechungsdauer für 02 - Moderate Auswirkung auf 24 Stunden festgelegt. Daher liegt die maximale Wiederherstellungszeit nach einem Ausfall (RTO) für die Auswirkungskategorie über 24 Stunden.
    Szenario 3 In der Tabelle „Auswirkungsbewertungen“ wird das Feld Tolerierbar auf falsegesetzt.

    Wenn der Administrator angegeben hat, dass hohe regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als Wiederherstellungszeitziel (Recovery Time Objective, RTO) festgelegt, wie im folgenden Beispiel gezeigt. Administratoransicht für die Auswirkungskategorie.

    Im tabellarischen Beispiel wird die Unterbrechungsdauer für 03 – Hohe Auswirkung auf 72 Stunden festgelegt. Daher liegt die maximale Wiederherstellungszeit nach einem Ausfall für die Auswirkungskategorie über 72 Stunden.
    Szenario 4 Das Feld Tolerierbar für die Auswirkungsbewertungen Niedrig, Mittel und Hoch wird auf truegesetzt.

    Wenn der Administrator alle Auswirkungsbewertungen als tolerierbar festgelegt hat, wird der im Feld Maximaler RTO-Wert in der Vorlage angegebene Wert als Wiederherstellungszeitziel (Recovery Time Objective, RTO) ausgewählt.

    Im folgenden Beispiel hat der Administrator alle Auswirkungsbewertungen als tolerierbar festgelegt. Daher beträgt die maximale Wiederherstellungszeit (RTO) einen Monat gemäß dem im Feld Maximaler RTO-Wert angegebenen Wert.Maximaler RTO-Wert.
    Berechnung der Kategoriepunktzahl aus Auswirkungsanalysefragen für eine Auswirkungskategorie, die zum RPO (Recovery Point Objective) beiträgt

    Wenn die Auswirkungskategorie zu RPObeiträgt, bewerten Sie jede Auswirkungsanalysefrage in dieser RPO-Kategorie basierend auf dem Wert Ihrer Daten wie „geschäftskritisch“, „vorgangskritisch“, „geschäftswichtig“ oder „vorgangskritisch“. Der maximale Wert unter allen Fragen dieses RPO wird als Kategoriepunktzahl dieser Auswirkungskategorie betrachtet und in der Tabelle „Auswirkungskategorieergebnisse“ [sn_bia_category_result] gespeichert.

    Berechnung des Gesamtergebnisses der Auswirkungsbewertung für eine BIA

    Wenn Sie die Unterbrechungsdauer einer Auswirkungskategorie aktualisieren, wird der RTO der BIA automatisch aktualisiert. Die RTO der BIA wird als niedrigste tolerierbare Ausfallzeit für jede Auswirkungskategorie festgelegt.

    Betrachten Sie beispielsweise eine BIA mit vier Auswirkungskategorien: Rechtsabteilung, Reputation, Personal und Regulatory. Wenn Sie den Unterbrechungsdauerwert der rechtlichen Auswirkungskategorie aktualisieren, wird der RTO-Wert der BIA basierend auf der niedrigsten tolerierbaren Unterbrechungsdauer aus jeder Auswirkungskategorie neu berechnet. Die Wiederherstellungsstufe variiert von Organisation zu Organisation und wird basierend auf dem neu berechneten RTO-Wert festgelegt.

    RTO-Wert Wiederherstellungsstufe
    Sofort Missionskritisch
    1 Stunde Missionskritisch
    4 Stunden Missionskritisch
    8 Stunden Geschäftskritisch
    24 Stunden Geschäftskritisch
    72 Stunden Unverzichtbar
    1 Woche Unverzichtbar
    2 Wochen Nicht wesentlich
    1 Monat Nicht wesentlich