Ist der RTO immer kürzer als der MTPoD?

Vor Kurzem ist eine Berichtigung für den Standard BS 25999 erschienen. Die Berichtigung beinhaltete die Definitionen von Maximum Tolerable Period of Disruption (MTPoD) und RTO (Recovery Time Objective).

Nicht verändert hat sich nach meinem Verständnis die Vorgabe im Standard, dass der RTO kürzer zu sein hat als der MTPoD für einen Prozess.

BS 25999-2 Pkt 2.32 recovery time objective (in der geänderten Fassung):

target time set for:
resumption of product or service delivery after an incident, or
– resumption of performance of an activity after an incident, or
– resource recovery after an incident.

Note: the recovery time objective has to be less than the maximum tolerable period of downtime.

Ist diese Festlegung so korrekt oder bedarf auch dies einer Korrektur?

Nach meinem Verständnis kann ein RTO für die Ressource eines Prozesses sehr wohl länger sein als der MTPoD dieses Prozesses. Nämlich genau dann, wenn es zum Beispiel einen manuellen Workaround für diese Ressource (zum Beispiel eine IT-Anwendung) gibt und die Ressource erst zu einem späteren Zeitpunkt benötigt wird.

Das wirtschaftliche Ziel im Rahmen eines Business Continuity Managements sollte es sein, RTOs so lange als möglich und sinnvoll zu definieren, um die Kosten für die Notfallvorsorge möglichst wirtschaftlich zu halten. Die genannte Vorgabe im BS 25999 kann damit jedoch im Widerspruch stehen.

Im Better Practice Guide des Australian National Audit Office (ANAO) wird der RTO demzufolge auch anders definiert:

“If the recovery time objective for an IT system or application is greater than the maximum tolerable period of disruption determined by the business, the entity will need to design a manual processing capability to provide continuity during the time discrepancy. Alternatively, an additional investment of resources may be required to reduce the recovery time objective”.

Diese Definition lässt explizit einen längeren RTO als den MTPoD für einen Prozess in einer definierten Situation zu (Workaround ist vorhanden).

Aus meiner Sicht trifft diese Definition aus Down Under den Punkt – oder ticken dort die Uhren anders?

Mich würden Meinungen aus der BCM Community zu der Auslegung dieses Punktes sehr interessieren und vielleicht ergibt sich hier eine konstruktive Diskussion hierzu.

Immerhin ist dies Gegenstand des Zertifizierungs-Standards BS 25999-2 und damit auch Inhalt der (Zertifizierungs-) Audits.

Ich freue mich auf Ihre Kommentare!

Ergänzend hierzu habe ich einen Umfrage zu diesem Thema erstellt:

0 Responses

Schreibe einen Kommentar