notfallmanagement - nrw.units...notfallmanagement ermöglichen initiierung • leitlinie konzeption...
Post on 28-Jan-2021
6 Views
Preview:
TRANSCRIPT
-
Notfallmanagement Resilienz in Organisationen schaffen
-
„Krise ist ein produktiverZustand, man muss
ihm nur den Beigeschmack der Katastrophe nehmen.“
Max Frisch
2
-
3OSYSCON GmbH 2018
Organisationen in der modernen Welt
-
4OSYSCON GmbH 2018
Warum Notfallmanagement
Ausfallszenarien
Ausfall Gebäude/ Infrastruktur Ausfall IT
Ausfall Personal Ausfall Dienstleister
• Stromausfall• Bombendrohung• Hochwasser• Rohrbruch
• Personalausfall• Insolvenz• Ausfall
Infrastruktur
• Längerer Systemausfall
• Feuer / Wasser• Internet (Cloud-
Dienste)
• Krankheit• Streik• Unfälle / Todesfälle
-
5
Rechtliche Rahmenbedingungen
-
6Stand 2018
Weitere Normen und Gesetze
KonTraG
Basel II / III
Verpflichtung zur Einrichtung eines Risikomanagementsystems.
Berücksichtigung operationeller Risiken bei der Eigenkapitalausstattung von Banken.
Aktiengesetz
Garantenpflicht der Vorstände, Schaden von der Gesellschaft abzuwenden.
ISAE 3402
Berücksichtigung operationeller und IT-Risiken bei Versicherungen.
-
7Stand 2018
Regulatorische Rahmenbedinungen
-
ManagementsystemeDefinition
Instrument zur systematischen Organisationsführung und Steuerung.
Durch eine Aufbauorganisation (Beauftragte, Koordinatoren) werden, von der Unternehmensleitung, vorgegebene Ziele systematisch mit Hilfe einer Ablauforganisation (Prozesse, Verfahren) erreicht.
Die Zielerreichung wird mit Hilfe von internen Audits, Kennzahlen und regelmäßigen Berichtengemessen.
Die Weiterentwicklung wird durch Anweisungen der Leitung an die Aufbauorganisation vorangetrieben.
04.04.2018 Stand 2018 8
-
Plan – Do – Check - ActKreislauf eines Managementsystems
Planung und Konzeption
Optimierung und Verbesserung
Erfolgskontrolle und Überprüfung
Umsetzung und Implementierung
04.04.2018 Stand 2018 9
-
10Stand 2018
Notfallmanagement nach BSI 100-4
Initiierung Konzeption Umsetzung Notfall-bewältigungÜbungen und
Tests Verbesserung
-
11Stand 2018
Praktische UmsetzungUMRA – Rahmenwerk für die Umsetzung des Notfallmanagements
-
12Stand 2018
Stufe INotfallmanagement ermöglichen
Initiierung
•Leitlinie
Konzeption
•Business Impact Analyse
•Strategie-entwicklung
Notfallbewältigung
Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan
•Geschäfts-fortführungsplan
•Krisen-kommunikation
Übungen und Tests
•Plan-Review•Alarmierungs-übungen
Verbesserung
•Schulung und Sensibilisierung
-
13Stand 2018
Stufe II + Stufe IIINotfallprävention und Weiterentwicklung
Initiierung
•Leitlinie
Konzeption
•Business Impact Analyse
•Strategie-entwicklung
•Risikoanalyse•Notfallvorsorge-konzept
Notfallbewältigung
Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan
•Geschäfts-fortführungsplan
•Krisen-kommunikation
Übungen und Tests
•Plan-Review•Alarmierungs-übungen
•Übungsplan•Übungskonzept•Übungsbericht•Drehbücher
Verbesserung
•Schulung und Sensibilisierung
• Interner Audit•Kontinuierliche Verbesserung
-
14Stand 2018
InitiierungRahmenbedingungen schaffen
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Leitlinie Zeit
Personal Finanzen
-
15Stand 2018
Rollen und Verantwortlichkeiten
-
16Stand 2018
Konzeption
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Business Impact Analyse Strategieentwicklung
-
17Stand 2018
Business Impact AnalyseKritische Geschäftsprozesse analysieren und bewerten
Einkauf Lager Produktion Lager Verkauf Service
Wareneingang
Schaden Ressourcen Kritische Termine
4h 24h 96h 144h
niedrig normal hoch Sehr hoch
Sommer Weihnachtsgeschäft
-
18OSYSCON GmbH 2018
Eskalation eines Notfalls
Störung
Notfall
Krise
Katastrophe
-
19Stand 2018
Parameter Die Ausfallzeit ist nicht alles
-
20Stand 2018
Beispiel aus der Praxis
-
21Stand 2018
Strategieentwicklung
-
22Stand 2018
Strategieoptionen
Redundante Standorte Ausweichstandorte Telearbeit
Schulung Dienstleister Dokumentation
Backups SLA / CarePacks Redundanz
-
23Stand 2018
Beispiel RechenzentrumKosten im Vergleich zu den Basiskosten / Wiederherstellungszeiten
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0h 72h
Act
ive/
Act
ive
Hot
Sta
ndby
War
m S
tand
by
Col
d S
tand
y
-
24Stand 2018
Die „kleinen“ Lösungen
Backup in die Cloud Mobiles Notfallrechenzentrum
VPN loka
l
-
25Stand 2018
Umsetzung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
-
26Stand 2018
Notfallbewältigung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Krisenstab Infrastruktur
-
27Stand 2018
Krisenstab
KrisenentscheidungsgremiumGeschäftsleitung
Leiter KrisenstabNotfallbeauftragter
Öffentlichkeitsarbeit
Kernteam erweitert
IT-Sicherheit
Physische Sicherheit
Notfallteams
Leiter IT Standort-sicherheit
Recht
Personal Fach-abteilungen
Datenschutz
Infrastruktur IT Recht
-
28Stand 2018
Infrastruktur
-
29Stand 2018
Übungen und Tests
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
-
30Stand 2018
Übungsarten
Bezeichnung Inhalt Beteiligte Frequenz Aufwand
Schreibtischtest Der Notfallbeauftragte geht mit allen Beteiligten das Notfallkonzept am Schreibtisch durch.
Interne Mitglieder der Notfallorganisation
Strukturiertes Durchgehen
Theoretisches Durcharbeiten eines Szenarios mit allen Beteiligten
Alle für das Szenario notwendigen Führungspersonen
Simulation Ein Ausfall wird durch Festlegung simuliert
Alle betroffenen Mitarbeiter und Dienstleister
Livetest Benötigte Ressourcen stehen nicht mehr zur Verfügung (Mitarbeiter beurlauben, Abschaltung Strom, Trennung Netzwerk etc. )
s.o
oft hoch
selten niedrig
-
31Stand 2018
ÜbungszenarienNotfälle kommen auf leisen Sohlen
Ein Mitarbeiter aus dem Marketing meldet sich um 14 Uhr mit plötzlicher Übelkeit krank. Er hat in der Pause eine Currywurst Pommes in der Kantine verzehrt. Diese war heute im Sonderangebot. Er isst sonst eher immer das vegetarische Gericht aber heute haben alle die Currywurst bestellt.
Eine Email wird vom Abteilungsleiter 3 an den Helpdesk gesendet, mit der Bitte um Überprüfung, ob es sich um einen Trojaner handeln könnte. Im Anhang soll eine Bewerbung sein. Der Abteilungsleiter hat nicht auf den Anhang gedrückt, weil es ihm komisch vorkam, dass eine Bewerbungs-Email von einem Unbekannten direkt an ihn adressiert worden ist.
In der Stadt findet ein großer internationaler Gipfel statt. Es werden mehrere hundert Teilnehmer und mehrere Tausend Demonstranten erwartet. Bereits am ersten Tag kommt es zwischen den Demonstranten und der Polizei zu gewaltsamen Auseinandersetzungen. In der Folge muss die Polizei die Straße, in der die ABC GmbH ihren einzigen Sitz hat, für drei Tage komplett sperren.
-
32Stand 2018
Übungsablauf Planbesprechung
Der Übungsdurchführende stellt die Lage oder Lageentwicklung vor und gibt ein Zeitlimit für eine Entscheidung.
Die Teilnehmer besprechen die Handlungsoptionen und und stellen sie dem Entscheidungsgremium vor.
Das Entscheidungsgremium wählt eine der Optionen ausund weist die Umsetzung durch den Krisenstab oder dieNotfallteams an.
-
33Stand 2018
Verbesserung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
-
34Stand 2018
Lessons Learned
• Notwendige Dokumentation komplettieren
• Vollständigkeit überprüfen
• Durchführung innerhalb von zwei Wochen nach dem Vorfall
• Teilnahme von allenBeteiligten
• Vorfall diskutieren• Prozess diskutieren• Maßnahmen
Konkrete Ursachenermittlung vor Verursacherermittlung
-
04.04.2018 Stand 2018
Ishikawa-DiagrammUrsachenermittlung durchführen
Vorfälle können nicht behandelt werden
Führungspersonal kennt Anforderungen nicht
Funktionen inNebenaufgaben
Veraltete Systeme
Beschaffung von Werkzeugen langwierig
Kein Behandlungsprozessdefiniert
Kein Sicherheitskonzept Geringes Sicherheitsbudget
Qualifizierte Mitarbeiteraußerhalb des Besoldungsrahmens
Keine dedizierten Werkzeuge zur Erkennung
Hohe Arbeitsbelastungder Mitarbeiter
-
Fragen?
36Stand 2018
-
Vielen Dank für Ihre AufmerksamkeitStefan LorenzGeschäftsführerOSYSCON GmbHMax-Planck-Straße 7-9D- 27721 RitterhudePhone: 04292 / 5625 684 0Mail: sl@osyscon.de
Gerd-Jürgen PeterKey Account Manager ML Consulting Schulung, Service & Support GmbHMax-Planck-Straße 39D- 50858 KölnPhone: 02234 / 92 03 - 261Mail: g.peter@mlgruppe.de
mailto:sl@osyscon.demailto:g.peter@mlgruppe.de
-
Stefan Lorenz
38OSYSCON GmbH 2018
Geschäftsführer OSYSCON GmbH
Berater IT-Sicherheitsmanagement und Business ContinuityExterner Datenschutzbeauftragter
ZertifizierungenISO 27001 Lead AuditorISO 27001 Lead ImplementerDatenschutzbeauftragter nach DSGVO
StudiumMaster of Business AdministrationMagister Artium Geschichtswissenschaften
��Notfallmanagement „Krise ist ein produktiver�Zustand, man muss�ihm nur den Beigeschmack der Katastrophe nehmen.“Organisationen in der modernen Welt Warum NotfallmanagementRechtliche RahmenbedingungenWeitere Normen und GesetzeRegulatorische RahmenbedinungenManagementsystemePlan – Do – Check - ActNotfallmanagement nach BSI 100-4Praktische UmsetzungStufe IStufe II + Stufe IIIInitiierungRollen und VerantwortlichkeitenKonzeptionBusiness Impact AnalyseEskalation eines Notfalls Parameter Beispiel aus der PraxisStrategieentwicklungStrategieoptionenBeispiel RechenzentrumDie „kleinen“ LösungenUmsetzungNotfallbewältigungKrisenstabInfrastrukturÜbungen und TestsÜbungsartenÜbungszenarienÜbungsablauf PlanbesprechungVerbesserungLessons LearnedIshikawa-DiagrammFragen?Vielen Dank für Ihre AufmerksamkeitStefan Lorenz
top related