ISO 22301:2012

Unternehmenssicherheit – Systeme für betriebliches Kontinuitätsmanagement – Anforderungen

Der ISO-Standard ISO 22301:2012 ist im Mai 2012 veröffentlicht worden. Es ist weltweit der erste internationalen Standard für Business Continuity Management (BCM). Er hilft Unternehmen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu minimieren. Der Standard ersetzt den Britischen Standard BS 25999-2.
ISO 22301 definiert die Anforderungen, ein dokumentiertes Kontinuitätsmanagementsystem zu planen, einzurichten, zu realisieren, zu betreiben, zu überwachen, zu überprüfen, zu unterhalten und kontinuierlich zu verbessern. Er dient dazu, sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren und sich von Betriebsunterbrechungen zu erholen.

Die in ISO 22301 spezifizierten Anforderungen sind – analog zur ISO/IEC 31000 Risk Management – allgemein gehalten, da sie ohne Beschränkung auf Unternehmensgrößen oder Branchen anwendbar sein soll. Der Umfang der Umsetzung kann den Betriebsumgebungen und der Komplexität von Unternehmen angepasst werden.

Die ISO 22301 ist auf alle Organisationen anwendbar, die:
• ein Kontinuitätsmanagement einrichten, implementieren, unterhalten und verbessern möchten,
• Konformität mit der Business-Continuity-Strategie der Organisation sicherstellen möchten,
• Konformität gegenüber Dritten, bspw. Zulieferern, belegen möchten,
• eine Zertifizierung ihres Business Continuity Managements durch eine akkreditierte Zertifizierungsstelle suchen oder
• eine Konformität mit diesen internationalen Standard selbst deklarieren möchten.

Für eine erfolgreiche Umsetzung eines betrieblichen Kontinuitätsmanagements definiert der ISO-Standard eine Reihe von Bausteinen.

Verständnis der Organisation und ihres Kontextes
Im ersten Schritt werden die externen und internen Sachverhalte analysiert, die für den Erfolg der Organisation wichtig sind (Erfolgspotenziale) und die durch eine Unterbrechung möglicherweise gefährdet werden.
Hierzu gehören beispielsweise die Analyse:
• der Aktivitäten, Aufgaben, Dienstleistungen, Produkte, Partnerschaften, Lieferketten (Supply Chain), sonstigen Stakeholder sowie der potenziellen Auswirkung einer Betriebsunterbrechung,
• der Verknüpfungen zwischen der Business- Continuity-Strategie und -Politik und den Unternehmenszielen der Organisation sowie die Abhängigkeit zu anderen Regelwerken. Hierzu gehört auch eine Analyse der unternehmensübergreifenden Risikomanagementstrategie,
• des Risikoappetits sowie der Risikotragfähigkeit der Organisation,
• der Bedürfnisse und Erwartungen von relevanten Stakeholdern,
• der Compliance-Anforderungen, d. h. relevanter gesetzlicher, regulatorischer und anderer Anforderungen.

Ebenfalls Teil dieser Tätigkeit ist die Bestimmung des Geltungsbereichs des betrieblichen Kontinuitätsmanagements. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, die Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden.

Führung
Im nächsten Abschnitt der ISO 22301 wird die Bedeutung der Unternehmensführung beschrieben. Analog zu allen Managementssystemen, wie dem Qualitätsmanagement, dem ISMS oder dem betrieblichen Risikomanagement, ist eine aktive Unterstützung und Vorbildfunktion des Unternehmensmanagements entscheidend für eine erfolgreiche Umsetzung („set the tone from the top“).
Das Top-Management muss die Relevanz und Verpflichtung eines BCM fortlaufend demonstrieren. Durch Führung kann das Management eine Risikokultur schaffen, so dass alle Akteure bzw. Mitarbeiter in dem Prozess involviert sind.
Das Management ist verantwortlich dafür:
• sicherzustellen, dass das BCM kompatibel ist mit der strategischen Ausrichtung der Organisation,
• die BCM-Anforderungen in die Geschäftsprozesse der Organisation zu integrieren,
• die notwendigen Ressourcen für das BCM bereitzustellen,
• die Bedeutung eines wirksamen BCM zu kommunizieren,
• sicherzustellen, dass das BCM die erwarteten Ergebnisse erzielt,
• die kontinuierliche Verbesserung (Continuous Improvement Process, CIP) des BCM zu leiten und zu unterstützen,
• eine Business-Continuity-Strategie bzw. -Politik zu erstellen und zu kommunizieren,
• sicherzustellen, dass die BCM-Ziele und -Pläne erstellt werden,
• sicherzustellen, dass klare Verantwortlichkeiten und Befugnisse für relevante Rollen zugeordnet werden.

Planung
Im nächsten Abschnitt geht es um die Planung des betrieblichen Kontinuitätsmanagements (Continuity Planning). Diese Phase wird als kritisch eingestuft, da die Definition der strategischen Ziele und Leitprinzipien das Fundament für das BCM bildet. Die Business-Continuity-Ziele müssen u. a.:
• konsistent mit der Business-Continuity-Strategie bzw. -Politik sein,
• messbar sein;
• anwendbare Anforderungen beachten;
• überwacht und gegebenenfalls aktualisiert werden.

Support
Der nächste Baustein beschäftigt sich mit der Unterstützung des BCM durch adäquate Ressourcen. Das erfolgreiche und kontinuierliche Management eines wirksamen BCM basiert auf einem soliden Fundament angemessener Ressourcen. Diese beinhalten u. a. qualifiziertes Personal, unterstützende Dienstleistungen, ein gelebtes Risikobewusstsein sowie eine adäquate Kommunikation.
In diesem Kontext spielt vor allem die interne wir auch die externe Kommunikation ein große Rolle. Auch die Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle der BCM-Dokumentation sind Bestandteil dieses Moduls.

Betrieb
Nach der Planung des betrieblichen Kontinuitätsmanagement muss eine Organisation das BCM-System in Betrieb nehmen. Das Modul Betrieb umfasst:
Business Impact Analysis (BIA): Hierbei handelt es sich um eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen. Des Weiteren können durch eine BIA wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen aufgezeigt, die Auswirkungen bei Ausfällen von Prozessen, die Kritikalität jedes Prozesses für den Gesamtkonzern und die benötigte Wiederanlaufzeit aufgedeckt werden.
Risikobeurteilung: Die ISO 22301 nimmt Bezug auf den internationalen Risikomanagement-Standard ISO 31000. Die ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassenden Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm.
Business-Continuity-Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, müssen Strategien entwickelt werden, um Maßnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz sowie Risikotragfähigkeit und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrungen aus der Praxis zeigen deutlich auf, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Hierbei sollte die Business-Continuity-Strategie ein integraler Bestandteil der Unternehmensstrategie sein.
Business-Continuity-Verfahren: Die Organisation muss Verfahren dokumentieren, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:
• einen angemessenen Plan für die interne und externe Kommunikation festlegen,
• spezifisch sein hinsichtlich der konkreten Schritte, die anlässlich einer Betriebsunterbrechung zu erfolgen haben,
• flexibel sein, um auf unerwartete Bedrohungen und sich verändernde interne und externe Bedingungen antworten zu können,
• auf Auswirkungen von Ereignissen fokussieren, die möglicherweise den Betrieb unterbrechen könnten,
• entwickelt werden auf der Basis der Analyse von Wechselwirkungen, und
• wirksam sein bei der Minimierung von Folgen durch die Implementierung von angemessenen Strategien zur Schadensminderung.

Üben und Testen: Um sicherzustellen, dass die Business-Continuity-Verfahren und -Prozesse mit den Business- Continuity-Zielen konsistent sind, hat die Organisation sie regelmäßig zu testen. Üben und Testen sind die Prozesse zur Bestätigung von Business-Continuity-Plänen, um zu gewährleisten, dass die gewählten Strategien sicherstellen, innerhalb der durch das Management bestimmten Zeitfenster Antworten und Wiederherstellungsergebnisse zu liefern.

Leistungsbewertung
Sobald das BCMS implementiert ist, verlangt ISO 22301, dass das System ständig überwacht und periodisch überprüft wird, um seinen Betrieb zu verbessern:
• Messen der Leistung von Prozessen, Verfahren und Funktionen, die priorisierte Aktivitäten schützen,
• Überwachung der Übereinstimmung mit dem Standard und den Business-Continuity-Zielen,
• Überwachung der historischen Erfahrungen einer mangelhaften Leistung des betrieblichen Kontinuitätsmanagements,
• Ausführung von regelmäßigen internen Audits.

Verbesserung
Unter kontinuierlicher Verbesserung (KVP) werden alle Maßnahmen zusammengefasst, die in der ganzen Organisation getroffen werden, um die Wirksamkeit (Erreichung der Ziele) und Effizienz (ein optimales Kosten/Nutzen Verhältnis) von Sicherheitsprozessen und -maßnahmen zu erhöhen.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s