Österreich

Business Continuity statt Krise:
Wien ist ISO-22301-Pionier


Als erste Organisation in Österreich hat die Magistratsabteilung 14 der Stadt Wien ein Managementsystem für Business Continuity nach ISO 22301 implementiert und erreichte vor wenigen Wochen die Zertifizierung: Das BCM-System zielt darauf ab, sämtliche von der IT-Abteilung unterstützte Kommunikations- und Versorgungskanäle im Krisenfall funktionsfähig zu halten und dadurch rasch und professionell handeln zu können.


rathaus-sommer_Fotohinweis PID Schaub Walzer„Für die MA 14 als IT-Abteilung sind Krisenmanagement und Business Continuity besonders wichtige Themenbereiche – die moderne Verwaltung basiert auf dem Einsatz von IT für die Kommunikation zwischen BürgerInnen, Unternehmen und Verwaltung und der effizienten IT-Unterstützung von internen Geschäftsprozessen“, unterstreicht Ing. Dr. Johann Klar, Abteilungsleiter der MA 14 – Automationsunterstützte Datenverarbeitung, Informations- und Kommunikationstechnologie – die Bedeutung eines Managementsystems nach ISO 22301 und ergänzt: „Krisen kann man nicht vorhersehen, nicht planen und nicht mit Checklisten abarbeiten. Wir bereiten uns aber bestmöglich darauf vor, Krisensituationen mit erprobten Abläufen und Strukturen professionell zu bewältigen.“


Der im Jahr 2012 veröffentlichte internationale Standard ISO 22301 für „Societal security - Business continuity management systems“ dient der MA 14 als inhaltliches Rahmenwerk und Zertifizierungsstandard. „Von seinem Inhalt her ist der BCM-Standard kompakt und übersichtlich“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, die für die Durchführung von Zertifizierungen nach ISO 22301 staatlich akkreditiert ist und als Zertifizierungspartner der MA 14 fungiert. Die Norm legt die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, zu betreiben und ständig zu verbessern. Die wichtigsten Ziele bestehen darin, eine Organisation gegen Zwischenfälle mit Betriebsunterbrechungen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, im Fall des Falles rasch und koordiniert zu reagieren – und so rasch wie möglich alle Leistungen wieder im gewohnten Umfang bereit zu stellen.

 

Schlüsselthema für Versorger
„BCM ist ein Schlüsselthema für alle Unternehmen und Organisationen, die eine wichtige Versorgerrolle für die Gesellschaft einnehmen und sogenannte kritische Infrastruktur bereit stellen. Dazu gehören neben Stromversorgern, Banken, IT-Anbietern oder Logistikunternehmen auch öffentliche Verwaltungen“, betont CIS-Chef Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Die IT-Abteilung des Magistrats der Stadt Wien wird in Kürze die erste Organisation in Österreich sein, die eine BCM-Zertifizierung nach ISO 22301 vorweisen kann. Normexperten gehen davon aus, dass sich das noch recht junge Thema Business Continuity in den kommenden Jahren zunehmend in der Unternehmenslandschaft verbreiten wird. Die Thematik hat sich in letzter Zeit stark in den IT-Bereich verlagert und mit der ISO 22301 zur Enterprise Business Continuity weiter entwickelt.


Methoden frei wählbar
Die generisch gehaltene Norm lässt die Methodenwahl zur Umsetzung der einzelnen BCM-Ziele offen. Daher wendet die MA 14 die Richtlinie für Staatliches Krisen- und Katastrophenschutzmanagement (SKKM) des Bundesministeriums für Inneres an, in der Methoden, Verfahren und Stabstrukturen zum Stecher_WebFühren im Katastrophenfall konkreter beschrieben werden. „Die Umsetzung der BCM-Inhalte brauchen wir als Teil der Stadtverwaltung deshalb, weil unsere Leistungen für das reibungslose Funktionieren der Verwaltungsabläufe unbedingt notwendig sind“, erklärt Mag. Manuel Stecher, verantwortlich für die Umsetzung der BCM-Zertifizierung in der MA 14. Der Geltungsbereich der Zertifizierung umfasst ebenso wie die bereits durchgeführte ISO-27001-Zertifizierung für Informationssicherheit die gesamte Magistratsabteilung 14, die für die IKT-Infrastruktur und -Services der Stadt Wien zuständig ist, sowie sämtliche IKT-Dienste, die von der MA 14 zur Verfügung gestellt werden. „In allen Bereichen der Verwaltung könnte ein Betriebsstillstand zu chaotischen Zuständen mit unabsehbaren Folgen führen“, berichtet Manuel Stecher.


Incident Management als Basis
Das Fundament des BCM-Systems im Magistrat Wien bildet das Incident Management nach ITIL V3 sowie ISO 20000. Damit werden die nicht kritischen, technischen Störungen wie etwa der Ausfall eines PCs adressiert. Alle Vorfälle, die kritische Auswirkungen auf die Kernservices haben können, werden im Notfallmanagement behandelt. Das Notfallmanagement verfügt über erweiterte Kompetenzen, so dass selbständig ein Lösungsteam aufgrund definierter Rollenbeschreibungen zusammengestellt werden kann. Vorfälle mit potenziellen dramatischen Auswirkungen auf die Geschäftsprozesse werden im Krisenmanagement oder Krisenstab behandelt. Als Krise sind Situationen mit Merkmalen definiert wie: existenzbedrohend für die Kernprozesse, komplex, mit normalen Organisationsabläufen nicht lösbar. Das Betreiben des BCM-Systems nach ISO 22301 ist organisatorisch nahtlos mit dem Informationssicherheits-Managementsystem nach ISO 27001 verknüpft.


Krisenstab zur flexiblen Steuerung
Die Einrichtung eines Krisenstabs wird zwar von der Norm nicht explizit gefordert, erschien aber im Falle der Verantwortungsbereiche der MA 14 zielführend. Der Krisenstabsleiter hat im Ernstfall weitreichende Kompetenzen und kann frei entscheiden was wie wann durch wen zu tun ist. Dadurch werden rasche Entscheidungen und flexibles Handeln ermöglicht. Im Krisenstab gibt es für jede Funktion mehrere Mitarbeiterinnen und Mitarbeiter, die gleichwertig ausgebildet sind und sich gegenseitig ersetzen können. „Wir haben keine fertigen Krisen-Pläne in der Schublade, sondern wir haben drei Hauptkategorien an möglichen Krisenfällen entwickelt, zu denen unser Krisenstab 3-5 mal im Jahr an entsprechenden Übungen teilnimmt, um seine Funktions- und Reaktionsfähigkeit ständig zu testen und weiter zu entwickeln“, erklärt Manuel Stecher. Die drei Kategorien umfassen technisches Versagen, umweltbezogene sowie intentionale Gefahren. So wurde zum Beispiel unter der Annahme einer Pandemie eine Übung durchgeführt, in deren Rahmen sämtliche IKT-Kernprozesse mit halber Belegschaft aufrechterhalten werden mussten. Zusammenfassend betont Stecher: „Erst der Krisenstab macht uns auch wirklich krisenfest.“


HINTERGRUND-INFORMATION

Inhalte der BCM-Norm ISO 22301

Die Hauptkapitel der ISO 22301 beschreiben die notwendigen Schritte zum Implementieren und Betreiben eines BCM-Systems: Zunächst gilt es in einem ersten Schritt gemäß Kapitel 4 den Kontext der Organisation mit ihren Anforderungen an Compliance und erforderliche Ressourcen – Services, Rohstoffe, Personal – zu beleuchten und den Geltungsbereich der Zertifizierung festzulegen. „Anders als bei ISO 9001 und ISO 27001 können bei ISO 22301 nicht nur Unternehmensbereiche, sondern auch Produkte, Services oder Prozesse zertifiziert werden“, erläutert Peter Wörgötter, Auditor der 03_Peter_WoergoetterZertifizierungsorganisation CIS. In einem nächsten Schritt folgt die Business Impact Analyse mit einer Risikobewertung gemäß Kapitel 8.2-3. Dabei werden die Folgen eines Ausfalls oder Notfalls abgeschätzt, bewertet und jener kritische Schwellenwert eruiert, ab wann eine Situation exististenzbedrohend werden kann. Bei der Risikoanalyse referenziert die BCM-Norm auf den internationalen Risikomanagement-Standard ISO 31000. „Inhaltlich ergibt sich hier auch eine Überschneidung mit ISO 27001 für Informationssicherheit, wo Riskmanagement ebenfalls eine zentrale Rolle spielt. Viele Unternehmen haben in den vergangenen Jahren bereits fundiertes Know-how dazu aufbauen können“, führt der CIS-Auditor aus. Als nächster Schritt folgt gemäß Kapitel 8.4 die Einführung und Umsetzung von Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit. Ganz wichtig ist sodann das Testen und Trainieren der Notfall- und Desaster-Recovery-Pläne, woraus sich der letzte Schritt gemäß Kapitel 9 logisch ergibt: Die Überwachung, Messung, Analyse und Bewertung der umgesetzten Maßnahmen sowie die Durchführung von internen Audits und Reviews ermöglicht schließlich die Feststellung von Abweichungen, Einleitung von Korrekturmaßnahmen und die kontinuierliche Systemverbesserung.

  

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com



 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB