Österreich

ISO 22301 - Business continuity statt "blackout"

 

Getestete Notfall- und Desaster-Recovery-Pläne können lebensrettend sein:

Der internationale Standard ISO 22301 für Business Continuity Management

leitet weltweit einen neuen Trend ein.

 

Das Bewusstsein in den Riegen der Führungskräfte steigt – Zertifizierungen für Business Continuity Management zeichnen sich weltweit als neuer Trend ab. Nach der Veröffentlichung des internationalen Standards ISO 22301 im Jahr 2012, auf der Grundlage der britischen Vorgängernorm BS 25999, gibt es in Österreich seit Anfang 2015 auch die dazugehörige und textgleiche ÖNORM EN ISO 22301 mit dem Titel: „Sicherheit und Schutz des Gemeinwesens – Business Continuity Management System – Anforderungen“. Von seinem Inhalt her ist der BCM-Standard kompakt. Auf 34 Seiten Umfang legt das Regelwerk die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, umzusetzen, zu betreiben, zu überprüfen, aufrechtzuerhalten und ständig zu verbessern. Die Norm-Anforderungen der ISO 22301 sind von den Autoren bewusst rettungsring_iStock_cogal_fkallgemein gehalten, so dass Organisationen aller Größen und Branchen diese anwenden können. Das sowohl im Qualitätsmanagement als auch in der Informationssicherheit bewährte Prozessverbesserungsmodell Plan-Do-Check-Act ist auch für den Betrieb von BCM-Systemen ein zentrales Element.


Scope: auch Produkte sind zertifizierbar
Die Hauptkapitel der ISO 22301 beschreiben die notwendigen

Schritte zum Implementieren und Betreiben eines BCM-Systems: Zunächst gilt es in einem ersten Schritt gemäß Kapitel 4 den Kontext der Organisation mit ihren Anforderungen an Compliance und erforderliche Ressourcen – Services, Rohstoffe, Personal – zu beleuchten und den Geltungsbereich der Zertifizierung festzulegen. Anders als bei EN ISO 9001 und ISO/IEC 27001 können bei ISO 22301 nicht nur Unternehmensbereiche, sondern auch Produkte, Services oder Prozesse zertifiziert werden.


Business Impact Analyse
In einem nächsten Schritt folgt die Business Impact Analyse mit einer Risikobewertung gemäß Kapitel 8.2-3. Dabei werden die Folgen eines Ausfalls oder Notfalls abgeschätzt, bewertet und jener kritische Schwellenwert eruiert, ab wann eine Situation exististenzbedrohend werden kann. Bei der Risikoanalyse referenziert die BCM-Norm auf den internationalen Risikomanagement-Standard ISO 31000. Inhaltlich ergibt sich hier auch eine Überschneidung mit ISO 27001 für Informationssicherheit, wo Riskmanagement ebenfalls eine zentrale Rolle spielt.


Maßnehmen setzen, testen, bewerten
Als nächster Schritt folgt gemäß Kapitel 8.4 die Einführung und Umsetzung von Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit. Damit untrennbar verbunden ist das Testen und Trainieren der erarbeiteten Notfall- und Desaster-Recovery-Pläne, woraus sich der letzte Schritt gemäß Kapitel 9 ergibt: Die Überwachung, Messung, Analyse und Bewertung der umgesetzten Maßnahmen sowie die stepstones_istockphoto chromatica_WEBDurchführung von internen Audits und Reviews ermöglicht schließlich die Feststellung von Abweichungen, Einleitung von Korrekturmaßnahmen und eine kontinuierliche Systemverbesserung.

 

Die Hauptkapitel der ISO 22301:

  • Kontext: Organisation, Stakeholder, Geltungsbereich
  • Führung: Selbstverpflichtung, Leitlinien, Funktionen
  • Planung: Maßnahmen, Zielsetzungen, Zielerreichung
  • Unterstützung: Ressourcen, Kommunikation, Dokumentation
  • Betrieb: Business Impact Analyse, Risikobewertung, Maßnahmen, Übungen
  • Überprüfung: Überwachung, Messung, Bewertung, Audits, Management Review
  • Verbesserung: Abweichungen und Korrekturmaßnahmen


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB