ISO 22301, der weltweit erste internationale Standard für Business Continuity Management (BCM), ist entwickelt worden, um Organisationen zu helfen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu minimieren. ISO hat offiziell ISO 22301, “Societal security - Business continuity management systems – Requirements”, lanciert, den neuen internationalen Standard für Business Continuity Management Systems (BCMS). Dieser Standard ersetzt den aktuellen Britischen Standard BS25999.
ISO 22301 spezifiziert die Anforderungen, um ein dokumentiertes Managementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen vorzubereiten, auf diese zu reagieren oder um sich von Unterbrechungen zu erholen.
Die in ISO 22301 spezifizierten Anforderungen sind allgemein gehalten und gedacht anwendbar zu sein auf Organisationen (oder Teilen davon) jeglicher Art, ohne Rücksicht auf die Grösse oder die Eigenschaft der Organisation. Der Umfang der Anwendbarkeit dieser Anforderungen hängt von den Betriebsumgebung und der Komplexität der Organisation ab.
Die Standardisierung von Business Continuity entwickelt sich mit ISO 22301 weiter durch das Zufügen von:- Grösserer Betonung auf die Festlegung von Zielen, auf die Überwachung der Leistung und auf Leistungsmetriken;
- Klarere Erwartungen an das Management;
- Sorgfältigere Planung und die Bereitstellung der erforderlichen Ressourcen, um Business Continuity sicherzustellen
ISO 22301 ist anwendbar auf alle Typen und Grössen von Organisationen, die:
- ein BCMS einrichten, implementieren, unterhalten und verbessern möchten;
- Konformität mit der Business Continuity Politik der Organisation sicherstellen möchten;
- Konformität Fremden gegenüber demonstrieren möchten;
- eine Zertifizierung/Registrierung ihres BCMS durch/bei einer akkreditierten Zertifizierungsstelle suchen; oder
- eine Selbsbestimmung und Selbstdeklaration der Konformität mit diesen internationalen Standard machen möchten.
Schlüsselklauseln von ISO 22301:2012
Following the new structure of the ISO guide 83, the ISO 22301 Specification is organized into the following main clauses:
Klausel 4: Kontext der Organisation
Klausel 5: Führung
Klausel 6: Planung
Klausel 7: Unterstützung
Klausel 8: Betrieb
Klausel 9: Leistungsbewertung
Klausel 10: Verbesserung
Jede dieser Hauptklauseln wird nachfolgend beschrieben.
Klausel 4: Kontext der Organisation
Bestimme die externen und internen Sachverhalte, die für den Zweck der Organisation wichtig sind und welche ihre Fähigkeit beeinflusst, die erwarteten Ergebnisses ihres BCMS zu erreichen, wie etwa:
- die Aktivitäten, Aufgaben, Dienstleistungen, Produkte, Partnerschaften, Lieferketten, Beziehungen mit Interessenten der Organisation und die potentielle Auswirkung einer Betriebsunterbrechung;
- Verknüpfungen zwischen der Business Continuity Politik und den Zielen der Organisation und anderen Richtlinien, inklusive der übergreifenden Risikomanagementstrategie;
- der Risikoappetit der Organization;
- die Bedürfnisse und Erwartungen von wichtigen Interessenten;
- anwendbare gesetzliche, regulatorische und andere Anforderungen, zu denen sich die Organisation verpflichtet.
Ebenfalls Teil dieser Klausel ist die Bestimmung des Geltungsbereichs des BCMS. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden.
Klausel 5: Führung
Das Top Management muss seine Verpflichtung zum BCMS fortlaufend demonstrieren. Durch Führung und Tätigkeiten kann das Management eine Umgebung schaffen, in das die verschiedenen Akteure voll involviert sind und in dem das Managementsystem in Synergie mit den Zielen der
Organisation wirksam betrieben werden kann. Das Management ist verantwortlich:- sicherzustellen, dass das BCMS kompatibel ist mit der strategischen Ausrichtung der Organisation;
- die BCMS Anforderungen in die Geschäftsprozesse der Organisation zu integrieren;
- die notwendigen Ressourcen für das BCMS bereitzustellen;
- die Bedeutung eines wirksamen Business Continuity Managements zu kommunizieren;
- sicherzustellen, dass das BCMS die erwarteten Ergebnisse erreicht;
- die kontinuierliche Verbesserung zu leiten und zu unterstützen;
- eine Business Continuity Politik zu erstellen und zu kommunizieren;
- sicherzustellen, dass die BCMS Ziele und Pläne erstellt werden;
- sicherzustellen, dass die Verantwortlichkeiten und Befugnisse für wichtige Rollen zugeordnet werden.
Klausel 6: Planung
Dies is eine kritische Phase, weil es die Erstellung der strategischen Ziele und Leitprinzipien für das BCMS als Ganzes betrifft. Die Ziele eines BCMS sind es, die Absichten der Organisation zur Behandlung der identifizierten Risiken auszudrücken und/oder die Anforderungen der organisatorischen Bedürfnisse zu erfüllen.
Die Business Continuity Ziele müssen:- konsistent sein mir der Business Continuity Politik;
- das minimale Niveau an Produkten und Dienstleistungen beachten, das für die Organisation akzeptabel ist um ihre Ziele zu erreichen;
- messbar sein;
- anwendbare Anforderungen beachten;
- überwacht und gegebenenfalls aktualisiert werden.
Klausel 7: Unterstützung
Das tägliche Management eines wirksamen BCMS beruht auf der Nutzung von angemessenen Ressourcen für jede Aufgabe. Diese beinhalten kompetentes Personal mit passendem (und nachweisbarem) Training und unterstützende Dienstleistungen, Bewusstsein und Kommunikation. Dies muss durch geeignet verwaltete dokumentierte Information unterstützt werden.
Sowohl die interne wir auch die externe Kommunikation muss in diesem Bereich betrachtet werden, einschliesslich des Formats, des Inhalts und der passenden Terminierung derartiger Kommunikation.
Die Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle von dokumentierter Information sind ebenfalls in dieser Klausel spezifiziertKlausel 8: Betrieb
Nach der Planung des BCMS muss eine Organisation es in Betrieb nehmen. Diese Klausel umfasst:
Business Impact Analysis (BIA):Diese Aktivität erlaubt es einer Organisation die kritischen Prozesse, welche die Schlüsselprodukte und -dienstleistungen unterstützen, die Abhängigkeiten zwischen Prozessen und die erforderlichen Ressourcen, um die Prozesse auf einem minimal-akzeptablen Niveau zu betreiben, zu identifizieren.
- Risikobeurteilung: ISO 22301 schlägt vor, auf den ISO 31000 Standard Bezug zu nehmen, um diesen Prozess zu implementieren. Das Ziel dieser Anforderung ist es, einen formalen dokumentierten Risikobeurteilungsprozess einzurichten, zu implementieren und zu unterhalten, der das Risiko von Betriebsunterbrechungen für die Organisation systematisch identifiziert, analysiert und bewertet
- Business Continuity Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, können Strategien entwickelt werden, um Massnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrung und bewährte Praktiken weisen deutlich darauf hin, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Die Business Continuity Strategie sollte ein integraler Bestandteil der Unternehmensstrategie sein.
- Business Continuity Verfahren: Die Organisation muss Verfahren dokumentieren (inklusive der notwendigen Absprachen), um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:
- einen angemessenen Plan für die interne und externe Kommunikation festsetzen;
- spezifisch sein hinsichtlich der unmittelbaren Schritte, die anlässlich einer Betriebsunterbrechung zu erfolgen haben;
- flexibel sein, um auf unerwartete Bedrohungen und sich verändernde interne und externe Bedingungen antworten zu können;
- auf Auswirkungen von Ereignissen fokussieren, die möglicherweise den Betrieb unterbrechen könnten;
- entwickelt werden auf der Basis genannter Annahmen und der Analyse von Wechselwirkungen; und
- wirksam sein bei der Minimierung von Folgen durch die Implementierung von angemessenen Strategien zur Schadensminderung.
Üben und Testen: Um sicherzustellen, dass die Business Continuity Verfahren mit den Business Continuity Zielen konsistent sind, hat eine Organisation sie regelmässig zu testen. Üben und Testen sind die Prozesse zur Bestätigung von Business Continuity Plänen, um zu gewährleisten, dass die gewählten Strategien fähig sind, innerhalb der durch das Management bestimmten Zeitfenster Antworten und Wiederherstellungsergebnisse zu liefern.
Klausel 9: Leistungsbewertung
Sobald das BCMS implementiert ist, verlangt ISO 22301, dass das System ständig überwacht und periodisch überprüft wird, um seinen Betrieb zu verbessern:- Überwachung des Umfangs mit dem die Business Continuity Politik, Ziele und Zielvorgaben erfüllt werden;
- Messen der Leistung von Prozessen, Verfahren und Funktionen, die priorisierte Aktivitäten schützen;
- Überwachung der Übereinstimmung mit diesem Standard und den Business Continuity Zielen;
- Überwachung der historischen Evidence einer mangelhaften BCMS’ Leistung;
- Ausführung von internen Audits in geplanten Intervallen; und
- Bewertung von all dies in Management reviews in geplanten Intervallen.
Die kontinuierliche Verbesserung kann definiert werden als all die Massnahmen, die in der ganzen Organisation getroffen werden, um die Wirksamkeit (Erreichung der Ziele) und Effizienz (ein optimales Kosten/Nutzen Verhältnis) von Sicherheitsprozessen und -massnahmen zu erhöhen, um für die Organisation und ihre Anspruchsberechtigten erhöhten Nutzen zu bringen. Eine Organisation kann die Wirksamkeit ihres Managementsystems durch den Gebrauch der Business Continuity Politik, Business Continuity Ziele, Auditergebnisse, Analyse von überwachten Ereignissen, Indikatoren, korrigierenden und vorbeugenden Tätigkeiten und Management Reviews kontinuierlich verbessern.