Wodurch kann die Geschäftskontinuität beeinträchtigt werden?
Ziel der Geschäftskontinuitätsplanung von Bondora ist es, sicherzustellen, dass die Geschäftsaktivitäten auch in Notfällen weitergeführt werden und dass die Geschäftsaktivitäten und IT-Systeme nach Notfällen wiederhergestellt werden. Dieser Abschnitt gibt einen Überblick über nicht-IT-bezogene Aktivitäten zur Sicherung der Geschäftskontinuität. IT-bezogene Fragen der Geschäftskontinuität werden im Abschnitt über IT-Risiken behandelt.
Notfälle sind alle Betriebsunterbrechungen, die unabhängig von Bondora auftreten, unter anderem der Verlust von Personal, Probleme im Zusammenhang mit dem physischen Standort oder der Infrastruktur von Bondora, Ausfälle oder ähnliche Probleme im Zusammenhang mit den Informationssystemen von Bondora und externe Unfälle (z.B. Brände).
Das Geschäftskontinuitätsverfahren von Bondora wird vom Vorstand in Übereinstimmung mit den für jeden Bereich entwickelten Geschäftskontinuitätsplänen gesteuert, die im Folgenden dargelegt werden:
- Kundenservice und -kanäle – umfasst Ereignisse, die sich auf die Kundenbetreuung und Kommunikationskanäle auswirken;
- Gebäude, physische Sicherheit und Transport – umfasst die Reaktion auf Brände, Überschwemmungen und andere derartige Ereignisse an Bondora-Standorten, sicherheitsbezogene Bedrohungen wie Raubüberfälle, Terrorismus und Betrug sowie den Transport von Mitarbeitern und Datenträgern;
- Informationssicherheit im Zusammenhang mit IT und Kommunikation – umfasst Vorfälle im Bereich der Informationssicherheit, IT-Unterstützung in Notfallsituationen, die nicht mit der IT zusammenhängen, und den Umgang mit Situationen, die Datenkommunikation und Telefonie betreffen;
- Personal – umfasst Situationen, die sich auf die personellen Kapazitäten auswirken, wie z.B. Verlust von Menschenleben, Massenerkrankungen usw., sowie die Organisation der Kommunikation mit Verwandten und anderen maßgeblichen Parteien;
- Kredit – betrifft den Umgang mit kreditprozessbezogenen Situationen;
- Recht – betrifft die Bereitstellung von rechtlichem Beistand unter außergewöhnlichen Umständen und Reaktionen auf rechtsbezogene Notsituationen;
- Abteilungsleiter – betrifft die Umsetzung von Plänen zur Geschäftskontinuität in den jeweiligen Bereichen; und
- Andere Bereiche, wie vom Vorstand bestimmt.
In jedem Geschäftskontinuitätsplan sind die Verantwortlichkeiten und Zuständigkeitsbereiche klar bestimmt. Änderungen der Geschäftsprozesse, des Personals und der Ressourcen (z.B. Informationssysteme, Softwareanwendungen) von Bondora werden in den entsprechenden Geschäftskontinuitätsplänen protokolliert.
Jeder Geschäftskontinuitätsplan enthält die folgenden Komponenten:
- Notfallverfahren zur Gewährleistung der Sicherheit des Personals
- Die Funktion von Informationsdiensten, die Rollen und Pflichten von Anbietern, die Wiederherstellungsdienste anbieten, und das administrative Unterstützungspersonal der Dienstbenutzer
- Kommunikationspläne zur Unterrichtung interessierter Parteien über ein außergewöhnliches Ereignis und den Stand der Wiederherstellung, darunter Mitarbeiter, Kunden und die estnische Finanzaufsichtsbehörde
- Liste der Systemressourcen, für die Alternativen erforderlich sein können, wie z.B. Hardware, externe Geräte, Software usw.
- Priorisierte Liste der Anwendungen, erforderliche Wiederherstellungszeiten und Normen für die erwartete Leistung
- Ausreichend detaillierte schrittweise Wiederherstellungsszenarien und angemessene Reaktionen, beginnend mit Situationen, bei denen ein begrenzter Schaden auftritt, und endend mit solchen, bei denen der Schaden wesentlich größer ist
- Beschreibung spezieller Geräte und Zubehörteile (z.B. Kommunikationsgeräte, Telefone usw.), die möglicherweise benötigt werden, sowie vorgesehene und alternative Quellen
- Zeitplan für Tests, frühere Testergebnisse und zusätzliche Maßnahmen, die als Ergebnis früherer Tests umgesetzt wurden
- Liste der Anbieter vertraglicher Dienstleistungen, der von ihnen erbrachten Dienstleistungen und der erwarteten Reaktionen
- Informationen über die Standorte wichtiger Ressourcen, einschließlich Backup-Standorte für kritische Vereinbarungen, Kundendateien, Betriebssysteme, Anwendungen, Datendateien, Benutzerhandbücher und Programme sowie System- und Benutzerdokumentation
- Aktuelle Informationen für Mitarbeiter in Schlüsselpositionen – Namen, Adressen, Telefonnummern, andere Kommunikationsmittel
- Alternativen für die Wiederaufnahme der Geschäftstätigkeit, z.B. wenn die Systeme an einem alternativen Standort wiederhergestellt wurden, die Arbeitsplätze der Mitarbeiter jedoch beschädigt sind
Pläne zur Geschäftskontinuität erfordern, dass Sicherungskopien von kritischen Daten, Ressourcen und anderen Materialien an geeigneten Orten aufbewahrt werden.
Der Vorstand, ein vom Vorstand benannter Mitarbeiter oder ein Dritter wird die im Geschäftskontinuitätsplan aufgeführten Personen darüber informieren, dass der Plan umgesetzt wurde. Der Vorstand ist für die Benachrichtigung der estnischen Finanzaufsichtsbehörde zuständig.
Spätestens innerhalb von drei Arbeitstagen, nachdem der reguläre Geschäftsbetrieb wieder aufgenommen wurde, muss der estnischen Finanzaufsichtsbehörde eine Beschreibung des Vorfalls einschließlich der folgenden Daten vorgelegt werden:
- Zeitpunkt der Störung
- Ausmaß und Auswirkungen der Störung
- Beschreibung der zur Behebung der Störung unternommenen Maßnahmen
- Ursache der Störung
- Maßnahmen, die umgesetzt werden, um ähnliche Störungen in Zukunft zu vermeiden
Der Vorstand prüft und genehmigt regelmäßig, mindestens einmal im Jahr, Pläne zur Geschäftskontinuität und Testergebnisse. Im Anschluss an die Einführung einer neuen kritischen Geschäftsprozess-Infrastrukturkomponente oder Software-Anwendung, nach wichtigen personellen Veränderungen oder nach anderen relevanten Entwicklungen überprüft der Vorstand die Geschäftskontinuitätspläne und Testergebnisse häufiger.
Geschäftskontinuitätspläne werden von einem internen Prüfer bewertet; bei Bedarf kann auch eine externe Prüfung durchgeführt werden.