Ein BCP hilft Organisationen dabei, sich auf unvorhergesehene Ereignisse vorzubereiten und möglichst effektiv und schnell auf solche Ereignisse zu reagieren. Oft geht es dabei um relativ einfache Massnahmen, um die Anwendung des «gesunden Menschenverstands». Die wichtigste Frage, die Sie sich bei der Einrichtung eines BCP stellen sollten, lautet: Welche spezifischen Massnahmen würden Sie ergreifen, um sich auf ein solches Ereignisse vorzubereiten?
Konkret besteht der erste Schritt eines BCP in der Erstellung einer internen Richtlinie, d. h. eines kurzen schriftlichen Dokuments, in dem die Ziele des BCP dargelegt werden. Denn je nach Kontext, Grösse, Geschäftstätigkeit usw. des Unternehmens sind die Risiken unterschiedlich ausgestaltet. Ebenso wie die Massnahmen, mit denen man diesen Risiken begegnen muss. Brände, IT-Störungen, Cyberangriffe, Stromausfälle: Alle Risiken müssen bewertet, alle Szenarien entwickelt (Wahrscheinlichkeit, Auswirkungen) und spezifische Antworten in Betracht gezogen und angesprochen werden.
Die Festlegung der Ziele ist das Herzstück eines jeden BCP. Es ist entscheidend, alle Beteiligten zusammenzubringen und mit ihnen über Risiken und Reaktionsmöglichkeiten zu reflektieren. Wenn diese Begriffe erst einmal qualifiziert und quantifiziert sind, muss sichergestellt werden, dass auch wirklich alle sie verstehen und akzeptieren. Nur so können Meinungsverschiedenheiten vermieden werden.
Als nächstes folgt die Definition des RPO und des RTO. Das RPO (Recovery Point Objective) legt fest, wie lange die Zeitspanne, in dem Daten verloren gehen, maximal sein darf, ohne dass dem Unternehmen nicht hinnehmbare Verluste entstehen. Welche Datenverluste sind hinnehmbar? Muss ein Backup alle 24 Stunden, alle 48 Stunden, einmal pro Woche durchgeführt werden? Das RTO (Recovery Time Objective) ist die Zeitspanne bis zur Wiederaufnahme der Geschäftstätigkeit, die das Unternehmen verkraften kann, ohne dass sein Überleben dadurch gefährdet wird: Rechnungen müssen bezahlt werden, rechtliche Veröffentlichungen müssen vorgenommen werden usw. Bestimmte Fristen kann ein Unternehmen einfach nicht ignorieren.