COBIT und Business Continuity COBIT und Business ContinuityBusiness Continuity Management (BCM) ist zwar kein reines IT-Thema, sondern ein ganzheitlicher Managementprozess, um Risiken zu identifizieren und zu bewerten sowie entsprechende Vorsorge- und Notfallmaßnahmen zu organisieren. Geschäftsprozesse werden heutzutage jedoch zunehmend von der Informationstechnologie (IT) unterstützt. Eine hohe Verfügbarkeit der IT sowie schnelle Wiederherstellung nach Systemausfällen, gewinnen daher einen immer höheren Stellenwert.
Ziel von BCM ist neben dem Erhalt der geforderten Betriebsbereitschaft vor allem, den Wiederanlauf der Prozesse während und nach einem Schadensereignis und damit die Fortführung der Geschäftstätigkeit zu gewährleisten. Verpflichtungen aus Verträgen und die Erwartungen der Kunden lassen einen längeren Ausfall wichtiger Kerngeschäftsprozesse in der Regel nicht zu.
Auch hier sind die Control Objectives for Information and Related Technology (COBIT) als international akzeptiertes Modell von allgemein anwendbaren IT-prozessbezogenen Kontrollzielen ein guter Anknüpfungspunkt: Die Hilfestellung, die COBIT den IT-Sicherheitsmanagern in diesem Zusammenhang bietet, ist in den COBIT-Prozessen "Risiken beurteilen" (Assess Risks) sowie "Gewährleistung eines kontinuierlichen Betriebs" (Ensure Continuous Service) zusammengefasst.
Auch wenn COBIT keinen Prozess zur Einführung eines IT-Continuity-Managements vorgibt, so wird doch klar, dass die Identifikation von kritischen (IT-)Ressourcen am Anfang steht. Diese Phase könnte auf Unternehmensebene auch Business Impact Analyse (BIA) genannt werden und sollte vor allem die kritischen Geschäftsprozesse identifizieren. Eine Risikoanalyse kann zusätzlich die Eintrittswahrscheinlichkeit und die Schadensauswirkung von typischen Szenarien analysieren (z. B. bei Netzunterbrechungen, Naturkatastrophen oder Terrorismus). Die BIA sollte bei IT-gestützten Geschäftsprozessen vor allem in der Definition von zwei zentralen Kennzahlen münden:
Während die Wiederherstellungszeit auf IT-Ebene die spätere Entscheidung für das Notfallkonzept beeinflusst (z. B. Cold Backup, Warm Backup oder Hot Stand-by), ist der akzeptable Transaktionsverlust für die Auswahl der Zwischenspeicherung und Art der Transaktionsverarbeitung ausschlaggebend. In der Finanzindustrie können als typische Werte 48 Stunden für die Wiederherstellungszeit und 0 Stunden für den akzeptablen Transaktionsverlust gelten.
Als zentrales Dokument sieht COBIT den IT Continuity Plan vor. Er besteht in der Regel aus mehreren Modulen, als praxisnah hat sich die folgende Aufteilung erwiesen:
Während das Notfallmanagement versucht, die Funktionsfähigkeit eines betroffenen Systems in einer Ausnahmesituation soweit wie möglich zu erhalten, beschäftigt sich das Krisenmanagement mit der Wiederherstellung der Handlungsfähigkeit der verantwortlichen Personen, um die notwendigen Entscheidungen für einen zügigen Wiederanlauf zu treffen.
Insgesamt wird deutlich, dass COBIT die wesentlichen Elemente eines IT Continuity Managements berücksichtigt, aber für die Umsetzung weitere Hilfestellungen notwendig sind. (Markus Gaulke)
ISACA German Chapter e. V.
Eichenstrasse 7
46535 Dinslaken
![[externer Link]](../../../../images/link.gif)
www.isaca.de
Bernd Wojtyna
Vorstand Facharbeit
Tel.: +49 251 288-4253
E-Mail: Bernd.Wojtyna@extern.Sparkassen-Informatik.de
Markus Gaulke
Vorstand Konferenzen / CISM Koordinator
Tel.: +49 69 9587-2477
E-Mail: MGaulke@kpmg.com
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#4, Seite 38
| 