Strukturierte Workflows für Geschäftsauswirkungsanalyse

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Mithilfe einer Geschäftsauswirkungsanalyse können Sie die Auswirkungen einer Störung auf einen Geschäftsprozess oder eine Geschäftsfunktion vorhersagen.

    Ein Geschäftsprozess ist eine Reihe von Aufgaben, die von einer Unternehmensorganisation ausgeführt werden, um Kunden einen Business-Service oder ein Produkt bereitzustellen. Wenn ein Geschäftsprozess unterbrochen wird, können die Auswirkungen für das Unternehmen in Bezug auf Umsatz und Reputation erheblich sein. Eine Geschäftsauswirkungsanalyse (BIA) wird durchgeführt, um kritische Prozesse zu identifizieren und zu priorisieren, die Auswirkungen zu quantifizieren oder zu qualifizieren und Wiederherstellungsabhängigkeiten zu identifizieren. Idealerweise sollte die Geschäftsauswirkungsanalyse für kritische Prozesse jährlich durchgeführt werden.

    Die Bewertung einer geschäftskritischen Prozessunterbrechung hilft Ihnen, die negativen Auswirkungen auf Ihre Geschäftsumsätze, Rechtsprobleme, Personalunterbrechungen oder den Ruf des Unternehmens abzuschätzen. Sie können damit auch die Abhängigkeiten Ihres Geschäftsprozesses von Geschäftsanwendungen, Technologien oder Lieferanten identifizieren, die möglicherweise betroffen sind. Diese Analyse sammelt die Informationen, die zur Entwicklung von Wiederherstellungsstrategien erforderlich sind.

    Abbildung : 1. Geschäftsauswirkungsanalyse – Übersicht
    Geschäftsauswirkungsanalyse – Übersicht

    Auswirkungsbewertungen für Ihre Geschäftsauswirkungsanalyse

    Der Betriebliches Kontinuitätsmanagement (BCM)-Administrator Ihrer Organisation definiert die Auswirkungsbewertungen für Ihre Geschäftsauswirkungsanalyse (BIA) und entscheidet, ob die Auswirkung für Ihren Geschäftsprozess tolerierbar ist. Weitere Informationen zu den Auswirkungsbewertungen finden Sie unter Konfigurieren Sie eine Auswirkungsbewertung, um eine Auswirkungskategorie zu bewerten. Je nach der vom BCM-Administrator eingerichteten Konfiguration werden die Fragen auf der Registerkarte RTO Impact Assessment (RTO-Auswirkungsbewertung) angezeigt.

    Betrachten Sie das folgende Beispiel, in dem der BCM-Administrator eine nicht zu tolerierende Auswirkung für die Kategorie der Auswirkungen auf den Umsatz konfiguriert hat. Der BCM-Administrator hat definiert, was als nicht zu tolerierende Auswirkung gilt. Als BIA-Besitzer müssen Sie die Zeitleiste identifizieren, zu der die Umsatzauswirkung über 1 Mio. USD hinausgehen kann.BIA-Auswirkungsbewertung.

    Mehrere Auswirkungsbewertungen für eine Auswirkungskategorie

    Wenn Ihr BCM-Administrator den Bewertungsfragebogen so konfiguriert hat, dass er mehrere Auswirkungsbewertungen für eine Auswirkungskategorie enthält, werden die Auswirkungskategoriebewertungen in der Ansicht Impact Category (Auswirkungskategorie) angezeigt (siehe folgendes Beispiel).Administratoransicht für die Auswirkungskategorie.

    Der BCM-Administrator kann einen Schwellenwert für die Nichttoleranz für die Auswirkungsbewertungen pro Auswirkungskategorie festlegen. Die Unterbrechungsdauer für die erste nicht tolerierbare Auswirkungskategorie wird für die maximale Wiederherstellungszeit nach einem Ausfall (Recovery Time Objective, RTO) ausgewählt. Die Auswirkungsbewertungen haben die folgenden angegebenen Werte:
    • Niedrig = 1
    • Mittel = 2
    • Hoch = 3
    Im folgenden Beispiel finden Sie eine RTO-Beispielberechnung.
    Abbildung : 2. Beispiel für die Berechnung der Auswirkungskategorie
    Ein Beispiel zur Darstellung der Berechnung von Auswirkungskategorieergebnissen.
    Tabelle : 1. RTO-Beispielberechnung
    Szenario Nicht tolerierbare Auswirkung Beschreibung
    Szenario 1 In der Tabelle „Auswirkungsbewertungen“ ist das Feld Tolerierbar auf falsefestgelegt.

    Wenn der Administrator festgelegt hat, dass geringe regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als Ziel für die Wiederherstellungszeit (Recovery Time Objective, RTO) festgelegt.

    In diesem Beispiel ist die Unterbrechungsdauer für die Bewertung 01 - Geringe Auswirkung auf 4 Stunden festgelegt. Daher liegt die maximale Wiederherstellungszeit nach einem Ausfall (Recovery Time Objective, RTO) für die Auswirkungskategorie über 4 Stunden.

    Auch wenn die Dauer der moderaten Auswirkungsunterbrechung kürzer ist, wählt die Berechnung den Wert aus der ersten alphanumerisch sortierten Auswirkungsbewertung aus, für die das Feld Tolerierbar auf den Wert falsefestgelegt ist.
    Szenario 2 In der Tabelle „Auswirkungsbewertungen“ ist das Feld Tolerierbar auf falsefestgelegt.

    Wenn der Administrator angegeben hat, dass Moderate regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als Recovery Time Objective (RTO) festgelegt.

    In diesem Beispiel ist die Unterbrechungsdauer für 02 – Moderate Auswirkung auf 24 Stunden festgelegt. Daher liegt die maximale Wiederherstellungszeit nach einem Ausfall (Recovery Time Objective, RTO) für die Auswirkungskategorie über 24 Stunden.
    Szenario 3 In der Tabelle „Auswirkungsbewertungen“ ist das Feld Tolerierbar auf falsefestgelegt.

    Wenn der Administrator angegeben hat, dass hohe regulatorische Auswirkungen nicht tolerierbar sind, wird die entsprechende Unterbrechungsdauer als Ziel für die Wiederherstellungszeit (Recovery Time Objective, RTO) festgelegt (siehe folgendes Beispiel). Administratoransicht für die Auswirkungskategorie.

    Im tabellarischen Beispiel ist die Unterbrechungsdauer für 03 – Hohe Auswirkung auf 72 Stunden festgelegt. Daher liegt das Ziel für die Wiederherstellungszeit für die Auswirkungskategorie über 72 Stunden.
    Szenario 4 Das Feld Tolerierbar für die Auswirkungsbewertungen Niedrig, Mittel und Hoch ist auf wahrfestgelegt.

    Wenn der Administrator alle Auswirkungsbewertungen als tolerierbar festgelegt hat, wird der Wert, der im Feld RTO-Höchstwert in der Vorlage angegeben ist, als Ziel für die Wiederherstellungszeit (Recovery Time Objective, RTO) ausgewählt.

    Im folgenden Beispiel hat der Administrator alle Auswirkungsbewertungen als tolerierbar festgelegt. Daher beträgt die maximale Wiederherstellungszeit nach einem Ausfall (Recovery Time Objective, RTO) einen Monat gemäß dem im Feld RTO-Höchstwert angegebenen Wert.RTO-Höchstwert.
    Berechnung der Kategoriepunktzahl aus Auswirkungsanalysefragen für eine Auswirkungskategorie, die zum Recovery Point Objective (RPO) beiträgt

    Wenn die Auswirkungskategorie zur RPObeiträgt, werten Sie jede Auswirkungsanalysefrage in dieser RPO-Kategorie basierend auf dem Wert Ihrer Daten wie „geschäftskritisch“, „betriebskritisch“, „geschäftsrelevant“ oder „betrieblich wichtig“ aus. Der Höchstwert für alle Fragen dieser RPO wird als Kategoriepunktzahl dieser Auswirkungskategorie betrachtet und in der Tabelle „Auswirkungskategorieergebnisse“ [sn_bia_category_result] gespeichert.

    Berechnung des Gesamtergebnisses der Auswirkungsbewertung für eine BIA

    Wenn Sie die Unterbrechungsdauer einer Auswirkungskategorie aktualisieren, wird die RTO der BIA automatisch aktualisiert. Die RTO der BIA wird als die niedrigste tolerierbare Ausfallzeit für jede Auswirkungskategorie festgelegt.

    Betrachten Sie beispielsweise eine BIA mit vier Auswirkungskategorien: Recht, Reputation, Personal und Regulatorisch. Wenn Sie den Wert für die Unterbrechungsdauer der Kategorie mit rechtlichen Auswirkungen aktualisieren, wird der RTO-Wert der BIA basierend auf der niedrigsten tolerierbaren Unterbrechungsdauer für jede Auswirkungskategorie neu berechnet. Die Wiederherstellungsstufe variiert von Organisation zu Organisation und wird basierend auf dem neu berechneten RTO-Wert festgelegt.

    RTO-Wert Wiederherstellungsstufe
    Sofort Missionskritisch
    1 Stunde Missionskritisch
    4 Stunden Missionskritisch
    8 Stunden Geschäftskritisch
    24 Stunden Geschäftskritisch
    72 Stunden Unverzichtbar
    1 Woche Unverzichtbar
    2 Wochen Nicht unbedingt erforderlich
    1 Monat Nicht unbedingt erforderlich