News

Business Continuity Management

Was steckt hinter der ISO 22301:2012?

Frank Romeike [Chefredakteur RiskNET]01.06.2012, 09:22

Der neue ISO-Standard ISO 22301:2012 ist planmäßig im Mai 2012 veröffentlicht worden. Hierbei handelt es sich um den weltweit ersten internationalen Standard für Business Continuity Management (BCM), um Organisationen zu helfen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren. Der internationale Standard ersetzt den aktuellen Britischen Standard BS 25999.

Der ISO-Standard 22301 spezifiziert die Anforderungen, um ein dokumentiertes Kontinuitätsmanagementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren oder um sich als Unternehmen von Betriebsunterbrechungen zu erholen.

Die in ISO 22301 spezifizierten Anforderungen sind – analog auch zur ISO 31000 – allgemein gehalten, denn sie sollen auf Organisationen (oder Teilen davon) jeglicher Art, ohne Rücksicht auf die Größe oder Branche anwendbar sein. Der Umfang der Anwendbarkeit der definierten Anforderungen hängt von den Betriebsumgebung und der Komplexität der Organisation ab.

Die ISO 22301 ist anwendbar auf alle Organisationen, die:

  • ein BCM einrichten, implementieren, unterhalten und verbessern möchten;
  • Konformität mit der Business-Continuity-Strategie der Organisation sicherstellen möchten;
  • Konformität gegenüber Dritten, bspw. Zulieferern, belegen möchten;
  • eine Zertifizierung/Registrierung ihres Business Continuity Managements durch/bei einer akkreditierten Zertifizierungsstelle suchen; oder
  • eine Konformität mit diesen internationalen Standard selbst deklarieren möchten.


Für eine erfolgreiche Umsetzung eines betrieblichen Kontinuitätsmanagements definiert der ISO-Standard eine Reihe von Bausteinen. Ein erstes Modul konzentriert sich auf die Organisation.

So ist es wichtig, dass die externen und internen Sachverhalte analysiert werden, die für den Erfolg der Organisation wichtig sind (Erfolgspotenziale) und die durch eine Unterbrechung möglicherweise gefährdet werden. Hierzu gehören beispielsweise die Analyse:

  • der Aktivitäten, Aufgaben, Dienstleistungen, Produkte, Partnerschaften, Lieferketten (Supply Chain), sonstigen Stakeholder sowie der potenziellen Auswirkung einer Betriebsunterbrechung;
  • der Verknüpfungen zwischen der Business- Continuity-Strategie und -Politik und den Unternehmenszielen der Organisation sowie die Abhängigkeit zu anderen Regelwerken. Hierzu gehört auch eine Analyse der unternehmensübergreifenden Risikomanagementstrategie;
  • des Risikoappetits sowie der Risikotragfähigkeit der Organisation;
  • der Bedürfnisse und Erwartungen von relevanten Stakeholdern;
  • der Compliance-Anforderungen, d. h. relevanter gesetzlicher, regulatorischer und anderer Anforderungen.

 

Ebenfalls Teil dieses Moduls ist die Bestimmung des Geltungsbereichs des betrieblichen Kontinuitätsmanagements. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, die Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden.

Im nächsten Modul der ISO 22301 geht es um die Führung. Analog zum betrieblichen Risikomanagement ist eine Vorbildfunktion des Top-Managements entscheidend für eine erfolgreiche Umsetzung ("set the tone from the top").

Das Top-Management muss die Relevanz und Verpflichtung eines BCM fortlaufend demonstrieren. Durch Führung kann das Management eine Risikokultur schaffen, so dass alle Akteure bzw. Mitarbeiter in dem Prozess involviert sind.

Das Management ist verantwortlich:

  • sicherzustellen, dass das BCM kompatibel ist mit der strategischen Ausrichtung der Organisation;
  • die BCM-Anforderungen in die Geschäftsprozesse der Organisation zu integrieren;
  • die notwendigen Ressourcen für das BCM bereitzustellen;
  • die Bedeutung eines wirksamen BCM zu kommunizieren;
  • sicherzustellen, dass das BCM die erwarteten Ergebnisse erzielt;
  • die kontinuierliche Verbesserung (Continuous Improvement Process, CIP) des BCM zu leiten und zu unterstützen;
  • eine Business-Continuity-Strategie bzw. -Politik zu erstellen und zu kommunizieren;
  • sicherzustellen, dass die BCM-Ziele und -Pläne erstellt werden;
  • sicherzustellen, dass klare Verantwortlichkeiten und Befugnisse für relevante Rollen zugeordnet werden.


In einem nächsten Modul geht es um die Planung des betrieblichen Kontinuitätsmanagements. Diese Phase wird als kritisch eingestuft, da die Definition der strategischen Ziele und Leitprinzipien das Fundament für das BCM bildet. Die Business-Continuity-Ziele müssen u. a.:

  • konsistent sein mir der Business-Continuity-Strategie bzw. -Politik;
  • messbar sein;
  • anwendbare Anforderungen beachten;
  • überwacht und gegebenenfalls aktualisiert werden.


Der nächste Baustein beschäftigt sich mit der Unterstützung des BCM durch adäquate Ressourcen. Das erfolgreiche und kontinuierliche Management eines wirksamen BCM basiert auf einem soliden Fundament angemessener Ressourcen. Diese beinhalten u. a. qualifiziertes Personal, unterstützende Dienstleistungen, ein gelebtes Risikobewusstsein sowie eine adäquate Kommunikation.

In diesem Kontext spielt vor allem die interne wir auch die externe Kommunikation ein große Rolle. Auch die  Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle der BCM-Dokumentation sind Bestandteil dieses Moduls.

Nach der Planung des betrieblichen Kontinuitätsmanagement muss eine Organisation das BCM-System in Betrieb nehmen. Das Modul Betrieb umfasst:

Business Impact Analysis (BIA): Hierbei handelt es sich um eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen. Des Weiteren können durch eine BIA wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen aufgezeigt, die Auswirkungen bei Ausfällen von Prozessen, die Kritikalität jedes Prozesses für den Gesamtkonzern und die benötigte Wiederanlaufzeit aufgedeckt werden.

Risikobeurteilung: Die ISO 22301 nimmt Bezug auf den internationalen Risikomanagement-Standard ISO 31000. Die ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassenden Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm.

Business-Continuity-Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, müssen Strategien entwickelt werden, um Maßnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz sowie Risikotragfähigkeit und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrungen aus der Praxis zeigen deutlich auf, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Hierbei sollte die Business-Continuity-Strategie ein integraler Bestandteil der Unternehmensstrategie sein.

Business-Continuity-Verfahren: Die Organisation muss Verfahren dokumentieren, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:

  • einen angemessenen Plan für die interne und externe Kommunikation festlegen;
  • spezifisch sein hinsichtlich der konkreten Schritte, die anlässlich einer Betriebsunterbrechung zu erfolgen haben;
  • flexibel sein, um auf unerwartete Bedrohungen und sich verändernde interne und externe Bedingungen antworten zu können;
  • auf Auswirkungen von Ereignissen fokussieren, die möglicherweise den Betrieb unterbrechen könnten;
  • entwickelt werden auf der Basis der Analyse von Wechselwirkungen; und
  • wirksam sein bei der Minimierung von Folgen durch die Implementierung von angemessenen Strategien zur Schadensminderung.

 

Üben und Testen: Um sicherzustellen, dass die Business-Continuity-Verfahren und -Prozesse mit den Business- Continuity-Zielen konsistent sind, hat die Organisation sie regelmäßig zu testen. Üben und Testen sind die Prozesse zur Bestätigung von Business-Continuity-Plänen, um zu gewährleisten, dass die gewählten Strategien sicherstellen, innerhalb der durch das Management bestimmten Zeitfenster Antworten und Wiederherstellungsergebnisse zu liefern.

Sobald das BCMS implementiert ist, verlangt ISO 22301, dass das System ständig überwacht und  periodisch überprüft wird (Leistungsbewertung), um seinen Betrieb zu verbessern:

  • Messen der Leistung von Prozessen, Verfahren und Funktionen, die priorisierte Aktivitäten schützen;
  • Überwachung der Übereinstimmung mit dem Standard und den Business-Continuity-Zielen;
  • Überwachung der historischen Erfahrungen einer mangelhaften Leistung des betrieblichen Kontinuitätsmanagements;
  • Ausführung von regelmäßigen internen Audits.


Unter kontinuierlicher Verbesserung (engl.: Continuous Improvement Process, CIP) werden alle Maßnahmen zusammengefasst, die in der ganzen Organisation getroffen werden, um die Wirksamkeit (Erreichung der Ziele) und Effizienz (ein optimales Kosten/Nutzen Verhältnis) von Sicherheitsprozessen und -maßnahmen zu erhöhen.


Weiterführende Literaturhinweise:

International Organization for Standardization (2012): ISO 22301:2012 (Societal security – Business continuity management systems – Requirements), 2012.

Romeike, Frank/Hager, Peter (2009): Erfolgsfaktor Risikomanagement 2.0 – Methoden, Beispiele, Checklisten – Praxishandbuch für Industrie und Handel, Wiesbaden 2009.

von Rössing, Rolf (2005): Betriebliches Kontinuitätsmanagement, Bonn 2005.

Wieczorek, Martin/Naujoks, Uwe/Bartlett, Bob [Hrsg.] (2002): Business Continuity. Notfallplanung für Geschäftsprozesse, Berlin u. a. 2002.

 

 

[Bildquelle: iStockPhoto]



Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Methoden im Risikomanagement

Komplex oder kompliziert – das ist die Frage

Frank Romeike | Herbert Saurugg06.10.2017, 11:02

Nachdem wir immer wieder auf die fälschliche Verwendung des Begriffs "Komplexität" stoßen, möchten wir mit diesem Beitrag eine einfach verständliche Erklärung liefern, was unter Komplexität...

Interview

Quo vadis Big Data?

Big Data und die Welt der Algorithmen und Analysen

Redaktion RiskNET22.09.2017, 12:52

Big Data ist en vogue. Vor allem die Wirtschaft trommelt seit Jahren für einen stärkeren Einsatz neuer Analysemethoden. Der Glaube: alles zu jeder Zeit im Blick haben und vorausschauend bestimmen zu...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...