Wie man globale Standards für Business Continuity einsetzt

IT-Manager sollten die eigenen Pläne hinsichtlich Disaster Recovery (DR) und Business Continuity (BC) mit verfügbaren Standards abgleichen.

Dieser Artikel behandelt

Sichere Datenspeicherung

In der IT-Community wird Governance für den Management-Prozess immer wichtiger. Eine verantwortungsbewusste Governance umfasst ein gewisses Maß an Compliance mit etablierten Prozessen, Kontroll-Mechanismen und Standards. Wie sieht es mit Governance allerdings aus, wenn es um das Thema Desaster geht?

Business-Continuity-Standards hinsichtlich der IT-Community

Frühere Standards für Disaster Recovery (DR) und Business Continuity (BC) wurden erstellt, um IT-Belange wie zum Beispiel Datenspeicher, Hardware-Schutz und Software, Security, Rechenzentrumbetrieb, Auswahl alternativer Standorte und Belegschaft zu adressieren. Die anfänglichen IT-Standards wurden von Instanzen wie ANSI (American National Standards Institute), ISO (International Organization for Standardization) und NIST (früher National Bureau of Standards, heute National Institute for Standards and Technology) entwickelt.

Die Regierung hat diverse Technologie-Standards unter der Flagge des FIPS (Federal Information Processing Standards) herausgegeben. Die meisten dieser Standards wurden von NIST aktualisiert. Das gilt vor allen Dingen für die 800er-Serie der Special Publications. Innerhalb des Banken- und Finanz-Sektors haben die Institute Federal Reserve Bank, Office of the Comptroller of the Currency und Securities and Exchange Commission Standards zur Verfügung gestellt, die sich mit Disaster Recovery beschäftigen. Viele davon sind heute immer noch gültig und stellen sicher, dass die Informationssysteme abgesichert sind. Diese Tabelle zählt die zehn Standards auf, die am häufigsten für IT-Disaster Recovery und Business Continuity eingesetzt werden.

Standards sind meist gesetzlich vorgeschrieben und beschreiben, wie Sie Ihren IT-Bestand am besten schützen, allerdings nicht genau wie dies durchzuführen ist. Zu den aufgelisteten Standards gehört NFPA 1600. Das ist der American National Standard für Business Continuity und Notfall-Management. BS 25999 ist der British National Standard und mauserte sich schnell zum führenden Dokument in diesem Land. In der IT-Welt ist der neue globale DR-Standard ISO 24762:2008. Dieser basiert auf den bekannten IT-Security-Standards ISO 27001 und 27002. Auch ISO 22301 ist zu beachten. Er kann bei der Aufrechterhaltung der IT-Security unterstützend sein.

Wie IT-Manager Business-Continuity-Standards effizient anwenden können

Die weit verbreitetsten IT-Standards für Business Continuity und Disaster Recovery sind kostenlos erhältlich. Dazu gehören NIST SP 800-34 und das FFIEC (Federal Financial Institutions Examination Council) Business Continuity Handbook. Aus diesem Grund ist es einfach, diese einzusehen und mit den eigenen Praktiken für DR und BC abzugleichen.

Bilden Sie einfach die Inhalte der Standards auf existieren Pläne und Prozessen ab. Danach identifizieren Sie, an welchen Stellen es Übereinstimmungen gibt und wo das nicht der Fall ist. Diese Methode ist nicht nur einfach, sondern auch zeitlich effizient. Oftmals können Sie die Formulierungen der Standards in eigene Pläne übernehmen. Das gilt vor allen Dingen für Policies und Prozesse. Natürlich sind die einzuleitenden Schritte nach einem Desaster in jeder IT-Abteilung anders und einzigartig. Ist der allgemeine Plan allerdings konsistent zu einem oder mehreren Standards, sollten diese Pläne einem Audit oder anderen genauen Prüfungen standhalten.

Erreichen Sie einen Standard, der sich auf ein Audit wie das ISACA-Dokument G32 (Information Systems Audit and Control Association) fokussiert, erhalten IT-Manager einen Leitfaden, wie die DR- und BC-Pläne geprüft werden. Somit stellt man sicher, dass die eigenen Pläne die Betriebs-Kontrolle angemessen adressieren. Das ist im Speziellen wichtig, um den Sarbanes-Oxley-Anforderungen zu entsprechen.

Die IT-Manager der heutigen Zeit können auf eine Vielzahl an Standards zurückgreifen, um die eigenen Disaster Recovery- und Business Continuity-Pläne zu bewerten. Wenn sich eine Firma die Absicherung der IT-Bestände und -Infrastrukutr auf die Fahnen geschrieben hat, sollten IT-Manager und System-Administratoren einen oder mehrere Standards als Grundlage verwenden. Somit garantiert man die notwendige Robustheit hinsichtlich Datensicherung.

Über den Autor:

Paul Kirvan, CISA und FBCI, bringt 24 Jahre Erfahrung in Sachen BCM (Business Continuity Management) mit sich. Er ist Consultant, Autor und Ausbilder. Er hat dutzende Schulungen und Betriebsprüfungen bezüglich BCMS (Business Continuity Management System) nach den internationalen Standards BS 25999 und ISO 22310 durchgeführt. Kirvan arbeitet derzeit als freier BCM-Consultant und -Betriebsprüfer. Weiterhin ist er Vorsitzender von Business Continuity Institute USA und ein Mitglied des BCI Global Membership Council. Sie können ihn unter pkirvan@msn.com erreichen.

Artikel wurde zuletzt im August 2008 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sichere Datenspeicherung

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close