Notfall- und Desaster Recovery Pläne können bei disruptiven Ereignissen für den operativen Betrieb von immenser Bedeutung sein. Das jedoch nur, wenn sie den tatsächlichen Bedarf abdecken, aktuell sind und auch regelmäßig auf Wirksamkeit überprüft wurden – ein gelebtes Business Continuity Management System (BCMS) nach ISO 22301 stellt das sicher.
Das Bewusstsein in den Riegen der Führungskräfte steigt – Zertifizierungen für Business Continuity Management zeichnen sich weltweit als Trend ab. Nach der Veröffentlichung der Erstausgabe des internationalen Standards ISO 22301 im Jahr 2012 liegt nun seit 2019 die zweite Ausgabe vor.
In Bezug auf den Inhalt ist der BCM-Standard noch kompakter geworden. Auf nunmehr 21 Seiten Umfang in der aktuellen zweiten Ausgabe (in der Erstausgabe waren es lt. der als ÖNORM herausgegeben Fassung noch 34 Seiten) legt das Regelwerk die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, umzusetzen, zu betreiben, zu überprüfen, aufrechtzuerhalten und ständig zu verbessern.
Die Norm-Anforderungen der ISO 22301 sind von den Autoren bewusst allgemein gehalten, sodass Organisationen aller Größen und Branchen diese anwenden können. Das sowohl im Qualitätsmanagement als auch in der Informationssicherheit bewährte Prozessverbesserungsmodell Plan-Do-Check-Act ist auch für den Betrieb von BCM-Systemen ein zentrales Element.
- Vorbereitung auf betriebsunterbrechende Ereignisse
- Vermeidung von Produktionsausfall und Stillstand
- Nachweis von Schutzmaßnahmen zur Aufrechterhaltung der Geschäftsprozesse als Wettbewerbsvorteil
Zunächst müssen die relevanten internen und externen Themen sowie die interessierten Parteien und deren Anforderungen bestimmt werden, aus welchen sich der Anwendungsbereich, die Ziele und die Strategien des BCMS ableiten lassen.
Führung
Wie bei anderen Managementsystemen ist die Übernahme der Führungsverantwortung und die Gestaltung einer für die Organisation angemessenen und passenden sowie kommunizierten BCM-Politik durch die oberste Leitung der Organisation von essentieller Bedeutung, mit darin enthaltenen Grundwerten und Zielen. Auch die Bestimmung und Zuweisung von Rollen mit entsprechenden Aufgaben und Befugnissen muss berücksichtigt werden, nicht zuletzt auch für das Reporting an die oberste Leitung.
Planung
Für die Einführung und kontinuierliche Weiterentwicklung des BCMS müssen bereits eruierte interne und externe Themen, die Anforderungen der interessierten Parteien sowie die Risiken und Chancen für das BCMS bestimmt und adressiert werden, damit das Managementsystem den beabsichtigen Zweck erfüllen kann. Für alle relevanten Funktionen und Ebenen der Organisation müssen Ziele für das Business Continuity formuliert werden, deren Erreichung überwacht und im Bedarfsfall angepasst werden.
Unterstützung
Für die Erreichung der festgelegten Ziele für das BCMS müssen von der Organisation ausreichende Ressourcen bestimmt und bereitgestellt sowie für den Teil der personellen Ressourcen die erforderlichen Kompetenzen sichergestellt werden.
Die Mitarbeiter und relevante externe Dienstleister müssen ein angemessenes Bewusstsein für die Business Continuity-Politik der Organisation vermittelt bekommen sowie deren Beitrag für die Erreichung der Business Continuity-Ziele. Die für das Business Continuity Management erforderliche Kommunikation sowie der Umfang und die Lenkung der erforderlichen dokumentierten Information muss ebenso sichergestellt sein.
Betrieb
Die benötigten Prozesse für den Betrieb des BCMS müssen geplant, eingeführt und gesteuert werden. Ein Nachweis darüber muss als dokumentierte Information vorhanden sein. Ausgelagerte Prozesse des operativen Betriebs müssen dabei miteinbezogen werden. Die Prozesse für den Betrieb des BCMS umfassen dabei:
- Durchführung von Business Impact Analysen und Risikobewertungen
- Identifizierung und Auswahl von Business Continuity Strategien, die Optionen vor, während und nach disruptiven Ereignissen berücksichtigen
- Ausarbeitung von Business Continuity Plänen und Maßnahmen auf Basis der ausgewählten Business Continuity Strategien
- Erstellen und Steuern von Programmen für regelmäßig geplante Business Continuity Übungen
- Regelmäßige Evaluierung und Aktualisierung der Business Impact Analysen und Risikobewertungen, der ausgewählten BCM-Strategien und der ausgearbeiteten BCM-Pläne und BCM-Lösungen
Bewertung der Performance des BCMS
Wie bei anderen Managementsystemen erfolgt die Bewertung der Performance für das BCMS über:
- Überwachung von etablierten Kennzahlen zum Business Continuity Management
- Interne Audits im Bereich der etablierten Prozesse für das BCMS
- Review des BCMS durch die oberste Leitung
Verbesserung des BCMS
Ständige Verbesserung und die Korrektur von festgestellten Abweichungen sind ein immanenter Bestandteil des Business Continuity Management Systems nach ISO 22301.
Mit der staatlichen Akkreditierung für Systemzertifizierungen nach ISO 22301 ist die CIS Vorreiter in Österreich und gehört auch international zu den ersten Global Playern, die Zertifizierungen für Business Continuity Managementsysteme durchführen können. Der Ablauf einer Zertifizierung nach ISO 22301 ist konform mit der Struktur von Zertifizierungsprojekten nach ISO/IEC 27001 für Informationssicherheit und ISO/IEC 20000 für Service Management, so dass eine Systemintegration nahtlos möglich ist und durch kombinierte Zertifizierungsaudits sinnvolle Synergien nutzbar werden.
Informationen zu den Projektphasen und dem Ablauf der Zertifizierung finden Sie hier.
Die Internationale Organisation für Normung (ISO) und das International Accreditation Forum (IAF) haben aufgrund der Klimakrise und deren Auswirkungen ein gemeinsames Kommuniqué veröffentlicht. Diese Anforderungen sind seit dem 23. Februar 2024 gültig.
In diesem Kommuniqué sind Änderungen angeführt, welche sicherstellen sollen, dass sich Unternehmen und Organisationen genau diesen Themen widmen. Diese Änderungen sind in folgenden Kapiteln der Norm verankert:
Kapitel 4.1: ‚Die Organisation muss bestimmen, ob Klimawandel ein relevantes Thema ist.‘
Originaltext: ‘The organization shall determine whether climate change is a relevant issue.’
Kapitel 4.2.1: ‚Anmerkung: Relevante interessierte Parteien können Anforderungen im Zusammenhang mit Klimawandel haben.‘
Originaltext: ‘NOTE: Relevant interested parties can have requirements related to climate change.’