BS 25777 ICT Continuity Management und seine Beziehung zum Business Continuity Management

Am 30.8.2008 wurde der British Standard 25777 publiziert. Er stellt die Ergänzung zum 25999 dar, die auf ICT Continuity Management bezogen ist, was von vielen IT-Fachkräften öfters salopp mit “Desaster Recovery” bezeichnet wird. Desaster Recovery spielt innerhalb dieses Standards eine Rolle, doch bitte Vorsicht, der BS 25777 gehört zur Reihe des BCM, wie sein großer Bruder, der BS 25999. Wir stellen ihn an dieser Stelle noch einmal vor, da wir durch Umfragen merken, dass die Verfügbarkeit doch noch nicht überall durchgedrungen ist.

Das Dokument ist eine hilfreiche Ergänzung zu dem sehr geschäftsprozessbezogenen BS 25999, der ICT im Fokus hat. Das Wörtchen ICT zieht sich wie ein goldener Faden durch das gesamte Dokument. Aufgebaut ist der BS 25777 wie folgt:

– Scope
– Terms and Definitions
– ICT continuity programme management
– Understanding the ICT requirements for business continuity
– Determining ICT continuity strategies
– Developing and implementing ICT strategies
– Exercising and Testing
– Maintenance, review and improvement
– Annex (ICT continuity management milestones)
– Bibliography
– Figures

Das Dokument beginnt mit einer Einleitung, warum das ICT Continuity Management ernst genommen werden sollte, und dass es dem Grunde nach das ganzheitliche BCM unterstützt. Dem ICT Continuity Management wird eine Priorität im gesamten BCM Prozess zugeordnet.
ICT Continuity Management stellt sicher, dass die benötigten Informationen, Kommunikationstechnologien und Dienste unverwüstlich sind und in vordefinierten Stufen innerhalb abgestimmter Zeitspannen erneut zur Verfügung gestellt werden können. Damit soll sicher gestellt werden, dass eine Organisation oder ein Unternehmen, seine Ziele durchweg erfüllen kann, auch in Zeiten, in denen Störungen massiv auftreten.

Dabei stellt das Dokument dar, was zu einem guten ICT Continuity Management gehört:

– Verständnis von Bedrohungen und Risiken
– Zusammenarbeit der ICT Service Provider und den Managern der Fachabteilungen
– Aufbau von Kompetenzen in ICT durch Übungen in ICT Continuity Situationen / Testen
– Dem Management die Zuversicht zu geben, sich in Situationen einer Störung auf die Stabilität und Einsatzbereitschaft der Dienste und Ersatzdienste verlassen zu können
– uvm.

Im Anschluss werden die Prinzipien des ICT Continuity Managements dargestellt. Diese sind schütze, erkenne, reagiere, stelle wieder her, betreibe und kehre zum Alltag zurück, sozusagen der komplette Lifecycle des ICT Continuity Managements ab Fehlerfall bis zum Übergang in den ordentlichen Betrieb.
Die Elemente des ICT Dienstes sind die Ressourcen, die man dazu benötigt. Zu diesen gehören laut dem BS 25777 Leute, Gebäude, Technologien, Daten, Prozesse und Zulieferer.

Auf Seite 5 des Standards steht sehr klar beschrieben, welche Zielsetzung der Standard hat.” This British Standard gives recommendations for information and communications technology (ICT) continuity management within the framework of business continuity management provided by BS 25999. “Within the framework…” zeigt uns genau, wo es lang geht, er bewegt sich im Rahmen des BS 25999.

Kapitel 2 erklärt die terminologischen Fachbegriffe. In Kapitel 3 geht es dann etwas deutlicher zur Sache. In diesem Kapitel wird beschrieben, wie man in seiner Organisation ICT Continuity Management aufbaut, wie man seine Zielsetzung genauer erreicht, wie man eine eigene ICT Continuity Management Richtlinie als Teil der gesamten BCM Richtlinie etabliert. Ebenfalls wird dargestellt wie man Ressourcen zur Verfügung stellt für die gesamten Aktivitäten. Es folgen Vorschläge, wie man ICT Continuity Management in eine bestehende Unternehmenskultur einführt, wie man Bewusstsein dafür schafft, wie man für kompetentes Personal sorgt, das Ganze dokumentiert, es regelmäßig überarbeitet und dabei immer besser wird.

Kapitel 4 legt fest, wie ICT Continuity Management Anforderungen festgelegt werden sollten, damit die ganzheitlichen BCM Anforderungen erfüllt werden können. Dabei gibt Kapitel 4.3 Aufschluss über kritische ICT Continuity Management Dienste (wie z.B. Datenbankdienste, Anwendungen, Netzwerk). Kapitel 4.3 fordert dazu auf Abweichungen zwischen dem ICT Continuity Management und dem BCM zu identifizieren.

In Kapitel 5 befasst sich der Standard damit, durch Auswertung und Empfehlung die Akzeptanz des Managements zu gewinnen. Die Fragestellung lautet, wie man eine ganzheitliche ICT Continuity Management Strategie und eine ICT Continuity Management Strategie per ICT Dienst hinbekommt, der die Lücke schließt zwischen ICT Continuity Möglichkeiten und Business Continuity Anforderungen. Dabei geht der Standard als Vorschlag auf alle Ressourcen ein.

Kapitel 6 befasst sich ausführlich mit der Implementierung des ICT Continuity Managements, und berücksichtigt dabei die Organisationsstruktur, Pläne und Prozeduren, die eine Implementierung unterstützen. Ab Kapitel 6.7.3 beginnt die Beschreibung, was zu einem Plan gehört.

In Kapitel 7 sind Vorgehensweise und Anregungen dargestellt, wie man sein ICT Continuity Management testen sollte (ähnlich eines Desaster Recovery Tests). Darunter sind folgende Punkte aufgeführt:

-Übungsprogramm
 o Zielsetzung der Übung
 o Elemente der Dienste-Wiederherstellung
-Planung
-Durchführung der Übung
-Review, Bericht und Überarbeitung

Kapitel 8 befasst sich mit Wartung, Überarbeitung und Verbesserung des ICT Continuity Managements. Dabei legt der BS 25777 Wert auf Change Management, d.h. welche Anpassungen im gesamten ICT Continuity Management notwendig werden können.

Ich finde den Standard, da er sich in den Rahmen des BS 25999 einfügt, ganz gut gelungen. Er stößt die Planer auf die wesentlichsten Punkte, die für ein ICT Continuity Management benötigt werden, und lässt so der Vergesslichkeit in der Planung keine Chance.

Wer jedoch denkt, er könnte den BS 25777 verwenden ohne auf die Basis des BS 25999 zurück zu greifen, der begeht einen Fehler. Ohne den großen Bruder, den BS 25999 im Rücken, ist der BS 25777 zu allgemein gehalten. Ich finde, dass sich der BS 25777 wunderbar in den Gesamtkatalog der BSI-Reihe einfügt, in spezieller Hinsicht auf den BS 25999.

Einziger Kritikpunkt: Da der Standard am Anfang darauf eingeht, dass er für die eigenen ICT-Dienste und die externen ICT-Dienste (für Service Provider) verwendet werden kann, fehlt mir doch ein wenig die Unterscheidung beider Szenarien (internes ICT Continuity Management versus externes ICT Continuity Management (z.B. bei Outsourcing)). Vor allem bei festgezurrten vertraglichen Änderungen mit Service-Providern, die sich nicht so leicht ändern lassen, gibt er keinen Anhaltspunkt dazu, “was muß ich tun”, oder wenigstens in Bezug auf die Menge an Dingen, die man berücksichtigen sollte, bzw. was man sich näher anschauen sollte. So geht er beim Testen auch nicht darauf ein, oder gibt Hinweise, wie es sich verhält, wenn man outsourct, und der Provider einzelne Dienste an Unterauftragnehmer weitervergibt. Hier fehlt ein wenig das Detail.

Man merkt den Unterschied zum BS 25999 sehr stark. Beim BS 25999 hat das BSI vor der Veröffentlichung viele interessierte DRAFT-Reviewer und potentielle Nutzer mitwirken lassen. Ich meine, es wären zwischen 5000 und 6000 Reviewer der richtigen Zielgruppe an der Zahl gewesen. Das war sehr hilfreich, und nicht zuletzt deshalb ist der BS 25999 auch so ein Erfolgsmodell. Das fehlt dem kleinen Bruder ein klein wenig.

Dennoch halte ich diese Version des Standards für einen sehr guten Beginn, um das ICT Continutiy Management zu standardisieren. Für “Beginners from Scratch” in jedem Fall eine Pflichtlektüre. Für alle anderen ebenfalls eine gute Bereicherung.

Danke an Herrn K. Laverty und Lucy vom BSI UK in London für das zur Verfügungstellen des Standards und weiterhin viel Erfolg dem BSI UK in der Etablierung von weiteren guten Standards.

Schade allerdings, dass man auf der Webseite der BSI-Gruppe in Deutschland noch nicht so viel über diesen Standard erfahren kann, ist er doch schon seit dem 30.08.2008 veröffentlicht

27.7.2010
Alexander Tsolkas




Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .