bcm standards 11.2014
DESCRIPTION
Überblick über relevante Standards für Business Coninuity Management (deutsch und international).TRANSCRIPT
Überblick über BCM-relevante Standards
BCM Standards
Matthias Hämmerle MBCI
November 2014
Alle Rechte bei BCM-News, keine Veröffentlichung ohne ausdrückliche Genehmigung
Standards und Good Practices für BCM
2
Gesetzliche und regulatorische
Anforderungen
Internationale und nationale
StandardsGood Practices
© BCM-News
AktG
3
AktG:
§ 91: Organisation, Buchführung:(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den
Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
§ 93: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder:(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften
Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information
zum Wohle der Gesellschaft zu handeln. (…)
§ 116: Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder:Für die Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder gilt § 93 mit Ausnahme des Absatzes 2 Satz 3
über die Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder sinngemäß.
© BCM-News
AktG
4
AktG
§ 317: Gegenstand und Umfang der Prüfung:(4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen,
ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine
Aufgaben erfüllen kann.
§ 321: Prüfungsbericht:
(4) Ist im Rahmen der Prüfung eine Beurteilung nach § 317 Abs. 4 abgegeben worden, so ist deren Ergebnis in einem besonderen Teil des Prüfungsberichts darzustellen. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern.
© BCM-News
GmbHG
5
GmbHG
§ 43: Haftung der Geschäftsführer:(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines
ordentlichen Geschäftsmannes anzuwenden.(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den
entstandenen Schaden.(3) Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des §30 zuwider
Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft
gemacht oder den Bestimmungen des §33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind. Auf den Ersatzanspruch finden die Bestimmungen des § 9b Abs.1
entsprechende Anwendung. Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.
(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in fünf Jahren.
© BCM-News
MaRisk des BaFin
6
Mindestanforderungen für das Risikomanagement (MaRisk)*
AT 7.3 Abs. 1 Notfallkonzept
„Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die
im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher
Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch
Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen
mitzuteilen.
Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut
und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.“
AT 7.3 Abs. 2 Notfallkonzept
„Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die
Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur
Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die
Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind
festzulegen.
Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.“
*(Rundschreiben 15/2009 des BaFin auf der Grundlage des § 25a Abs. 1 (Besondere organisatorische Pflichten von Instituten)
des Kreditwesengesetzes (KWG), Fassung vom 14.08.2009 © BCM-News
BCI Good Practice Guidelines
7
© BCM-News
bci Good Practice Guidelines 2013 Herausgeber
Business Continuity Institute bci (UK)
Englisch (GPG 2013), Deutsch (GPG 2013)
Bezug über die Homepage des bci ,
Preis: 23 Euro, www.thebci.org
Inhalte
6 Phasen des BCM Lebenszyklus:
Management Practices
Policy & Programm Management
Einbettung in die Unternehmenskultur
Technical Practices
Verständnis des Geschäfts (BIA, RIA)
BCM Strategie
Notfallplanung
Tests, Maintenance, Monitoring
BS 25999-1:2006
8
© BCM-News
BS 25999-1:2006 Code of Practice Herausgeber
British Standards (2006)
Englisch und Deutsch
Veröffentlichung: November 2006
Bezug über die Homepage von British Standards
(www.bsigroup.com)
Inhalte
Business Continuity Management Lifecycle:
BCM Programm Management
Verständnis des Geschäfts / BIA
Business Continuity Strategie
Notfallplanung
Tests, Maintenance, Monitoring
Einbettung in die Unternehmenskultur
Zertifizierung
Keine Zertifizierung nach BS 25999-1 möglich
BS 25999-2:2007
9
© BCM-News
BS 25999-2:2007 Specification Herausgeber
British Standards
Englisch und Deutsch
Veröffentlichung: 20. November 2007
Inhalte
Anforderungen an ein Business Continuity
Management System für eine Zertifizierung
Business Continuity Management System BCMS
Implementierung und Betrieb des BCMS nach
BCM-Lebenszyklus
BCMS-Dokumentationen
Überwachung und Audit des BCMS
Weiterentwicklung und Verbesserung des BCMS
Zertifizierung
Zertifizierung eines BCMS nach BS 25999-2
während der Übergangsperiode zum ISO 22301
(November 2012)
ISO 22301:2012
10
ISO/IEC 22301 Herausgeber
International Organization for Standardization ISO
Englisch
Technical Committee ISO/TC 223
Veröffentlichung: 15. Mai 2012
Inhalte
Teil einer ISO-Familie zu Societal Security
Anforderungen an ein BCMS
Leadership, Planning, Support, Operation,
Performance evaluation, Improvement
Zertifizierung
Zertifizierung nach ISO 22301 möglich
© BCM-News
ISO 22313:2012
11
ISO/IEC 22313 BCMS Guidance Herausgeber
International Organization for Standardization ISO
Englisch
Technical Committee ISO/TC 223
Veröffentlichung: Dezember 2012
Inhalte
Teil einer ISO-Familie zu Societal Security
Guidance zum ISO 22301
Leadership, Planning, Support, Operation,
Performance evaluation, Improvement
Zertifizierung
Zertifizierung nach ISO 22301 möglich
© BCM-News
Gliederung von ISO 22301 und ISO 22313
12
© BCM-News
BSI 100-4
13
BSI 100-4 Herausgeber
Bundesamt für Sicherheit in der
Informationstechnik
Deutsch
Veröffentlichung: 2008
Bezug kostenfrei über die Homepage des BSI
www.bsi.bund.de
Inhalte
Initiierung des Notfallmanagements (Organisation,
Rollen)
Notfallmanagement-Prozess
Konzeption einer Business Impact Analyse
Tests und Übungen
Krisenmanagement
Gliederungsbeispiele für Notfallhandbuch und
Geschäftsfortführungsplan
Zertifizierung
Keine Zertifizierung nach BSI 100-4 möglich
© BCM-News
ISO 27031:2011
14
ISO/IEC 27031:2011 Herausgeber
ISO (the International Organization for
Standardization)
IEC (the International Electrotechnical
Commission)
Veröffentlichung: 31. März 2011
Inhalte
Plan – Do – Check – Act für die Implementierung
der Notfallvorsorge für Informations- und
Kommunikationstechnologie
Schnittstellen zum BCM
Plan: (Policy, Gap-Analyse, Strategie)
Do: IRBC Plan
Check: Monitoring, Review
Act: Management Review
Zertifizierung
Keine Zertifizierung möglich
© BCM-News
ISO 24762:2008
15
ISO/IEC 24762:2008 Herausgeber
ISO (the International Organization for
Standardization)
IEC (the International Electrotechnical
Commission)
Veröffentlichung: 01. Februar 2008
Inhalte
Anforderungen an interne und externe Service
Provider für Disaster Recovery Services
Anforderungen an Implementierung, Betrieb,
Überwachung sowie Wartung und Aktualisierung
von DR Services
Zertifizierung
Zertifizierung nach ISO/IEC 24762:2008 möglich
© BCM-News
ITIL
16
ITIL 2011 edition Herausgeber
TSO und itSMF Deutschland e.V.
www.itil-officialsite.com
Inhalte
Service Level Management
Service Catalogue Management
Information Security Management
Supplier Management
IT Service Continuity Management
Availability Management
Capacity Management
Zertifizierung
Zertifizierung nach ISO/IEC 20000-1:2011
© BCM-News
BS 11000-1,-2
17
BS 11000-1:2010, BS 11000-2:2011 Herausgeber
BSi (2010, 2011)
Standard
Englisch
Bezug über die Homepage des BSi
Inhalte
awareness
knowledge
Internal assessment
partner selection
working together
value creation
staying together
exit strategy
© BCM-News
PD 25222:2011
18
PD 25222:2011 Herausgeber
BSi (Dezember 2011)
Published Document (PD)
Englisch
Bezug über die Homepage des BSi
Inhalte
Why is supply chain important?
Analysis of the supply chain
Considering options: developing strategies
Operational considerations
Assurance, ongoing management and review
© BCM-News
Internationale BCM-Standards (unvollständig)
19
ISO 22301:2011
BCM-Standards
National Fire Protection Association: NFPA 1600:2013
ASIS International: ASIS SPC.1-2009
ASIS International: Organizational Resilience Maturity Model ANSI Standard (ANSI/ASIS.SPC.4-2012)
Australia/New Zealand Standard: AS/ZS 5050:2010
Business Continuity – Managing disruption-related risk
Singapore Standard SS540:2008
Canadian Standard CSA Z1600 Emergency Management and Business Continuity Programs
Japanese Corporate Code – BC Guidelines 2005 by Ministry of Economy, Trade and Industry
National Institute of Standards and Technology: NIST SP 80034 – Contingency Planning Guide for Information Technology (IT) Systems; NIST SP 800-53 Rev. 3 Contingency Planning (CP) controls
New York Stock Exchange: NYSE Rule 446