Österreich

Business Continuity
statt „Blackout“

 

Zertifizierungen nach ISO 22301 für Business Continuity zeichnen
sich als weltweiter Trend ab. Seit Mai ist die CIS dafür akkreditiert.

 

 

(CIS-Newsletter Juni 2015) - An einem kalten Februarabend gehen in Italien die Lichter aus. In Europa brechen Stromnetze zusammen, Kraftwerke schalten sich ab, Fahrstühle und U-Bahnen bleiben stecken. Der italienische Ex-Hacker und Informatiker Piero Manzano ortet Angriffe auf die Steuerungssysteme von Kraftwerken. Was Erfolgsautor Marc Elsberg in seinem Techno-Thriller „Blackout“ so packend beschreibt, trifft direkt ins Schwarze: Business Continuity Management (BCM) ist nur so lange ein unterschätztes Thema, wie noch nichts passiert ist. Spätestens bei Eintreten einer Katastrophe, eines Produktions- oder Systemausfalls wird deutlich, dass gut vorbereitete und getestete Notfallpläne zur Wiederherstellung des Normalbetriebs den zuvor betriebenen Aufwand wert sind. Das Bewusstsein in den Riegen der Führungskräfte in diese Richtung steigt – Zertifizierungen für Business Continuity ze02_chains-istockphoto faberfoto_WEBichnen sich weltweit als neuer Trend ab. Nach der Veröffentlichung des internationalen Standards ISO 22301 im Jahr 2012, auf der Grundlage der britischen Vorgängernorm BS 25999, gibt es nun in Österreich seit Jahresbeginn die dazugehörige und textgleiche ÖNORM EN ISO 22301. Ihr Titel lautet selbsterklärend: „Sicherheit und Schutz des Gemeinwesens – Business Continuity Management System – Anforderungen“.

 

Liefertreue bringt zufriedene Kunden
„BCM ist ein Schlüsselthema für alle Unternehmen und Organisationen, die eine kritische Versorgerrolle für die Gesellschaft einnehmen. Dazu gehören Stromversorger, Banken, Transportunternehmen, IT- und Telekom-Anbieter oder Gesundheitsdienstleister. Ebenso aber auch produzierende Unternehmen, die mit einem Unfall die Umwelt gefährden könnten, wie etwa Chemiehersteller“, erklärt Peter Wörgötter, Auditor der Zertifizierungsorganisation CIS. Insgesamt sei das Thema aber auch für jeden Betrieb interessant, für den Liefertreue, Verfügbarkeit von Waren und Services sowie Kundenzufriedenheit wichtige Erfolgsfaktoren sind – betont der Normen-Experte. Seit Ende April ist die CIS für die Durchführung von Zertifizierungen nach ISO 22301 staatlich akkreditiert und somit Vorreiter in Österreich.


Kompakter Inhalt auf 34 Seiten
Von seinem Inhalt her ist der BCM-Standard „kurz und knackig“ gehalten. Auf 34 Seiten Umfang legt das Werk die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, umzusetzen, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und ständig zu verbessern. Mit dem Ziel sich gegen Zwischenfälle mit Betriebsunterbrechung zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, sich auf diese vorzubereiten, auf diese zu reagieren – und sich von diesen so rasch wie möglich zu erholen, wann immer sie auftreten. Die Norm-Anforderungen der ISO 22301 sind von den Autoren bewusst allgemein gehalten, so dass Organisationen aller Größen und Branchen diese anwenden können. „Das im Qualitätsmanagement und in der Informationssicherheit bewährte Prozessverbesserungsmodell Plan-Do-Check-Act ist auch für den Betrieb von BCM-Systemen nach ISO 22301 ein zentrales Element“, erklärt CIS-Auditor Peter Wörgötter, der als Prüfer auf das Thema spezialisiert ist.

 

Schritte zum BCM-System
Die Hauptkapitel der ISO 22301 beschreiben die notwendigen Schritte zum Implementieren und Betreiben eines BCM-Systems: Zunächst gilt es in einem ersten Schritt gemäß Kapitel 4 den Kontext der Organisation mit ihren Anforderungen an Compliance und erforderliche Ressourcen – Services, Rohstoffe, Personal – zu beleuchten und den Geltungsbereich der Zertifizierung festzulegen. „Anders als bei ISO 9001 und ISO 27001 können bei ISO 22301 nicht nur Unternehmensbereiche, sondern auch Produkte, Services oder Prozesse zertifiziert werden“, erläutert Peter Wörgötter. In einem nächsten Schritt folgt die Business Impact Analyse mit einer Risikobewertung gemäß Kapitel 8.2-3. Dabei werden die Folgen eines Ausfalls oder Notfalls abgeschätzt, bewertet und jener kritische Schwellenwert eruiert, ab wann eine Situation exististenzbedrohend werden kann. Bei der Risikoanalyse referenziert die BCM-Norm auf den internationalen Risikomanagement-Standard ISO 31000. „Inhaltlich ergibt sich hier auch eine Überschneidung mit ISO 27001 für Informationssicherheit, wo Riskmanagement ebenfalls eine zentrale Rolle spielt. Viele Unternehmen haben in den vergangenen Jahren bereits fundiertes Know-how dazu aufbauen können“, führt der CIS-Auditor aus. Als nächster Schritt folgt gemäß Kapitel 8.4 die Einführung und Umsetzung von Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit. Ganz wichtig ist daraufhin auch das Testen und Trainieren der Notfall- und Desaster-Recovery-Pläne, woraus sich der letzte Schritt gemäß Kapitel 9 logisch ergibt: Die Überwachung, Messung, Analyse und Bewertung der umgesetzten Maßnahmen sowie die Durchführung von internen Audits und Reviews ermöglicht schließlich die Feststellung von Abweichungen, Einleitung von Korrekturmaßnahmen und die kontinuierliche Systemverbesserung.

 

Integration: BCM + Security + Quality
Insgesamt gilt die ISO 22301 als gut integrierbar mit ISO 9001 für Qualitätsmanagement und ISO 27001 für Informationssicherheit. Während Business Continuity in der Vorgängerversion ISO 27001:2005 noch ein eigenes Kapitel gefüllt und über die hohen Anforderungen in der Informationssicherheit Eingang in die Köpfe der Manager gefunden hat, konnte sich BCM mittlerweile zu einem eigenständigen Thema mit eigener ISO Norm weiterentwickeln. In der aktuellen ISO-27001-Version wurde das Thema deshalb rein auf die „information security aspects of business continuity management“ reduziert. Wörgötter: „Die neue ISO 27001:2013 verweist anstelle detaillierter Ausführungen zu BCM nun sozusagen einfach auf die ISO 22301. Auch das unterstreicht den Stellenwert des noch relativ jungen ISO-Standards für Business Continuity Management.“

 

Informationen zum Zertifizierungsablauf


_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB