business continuity management nach iso 22301 - · pdf file83 gen, die definition der...
TRANSCRIPT
80
Unvorhergesehene betriebskritische Ereignisse
können für Unternehmen das Risiko eines Da
tenverlustes erhöhen oder das Versagen von
Diensten und im Extremfall den Ausfall von Kun
dendienstleistungen bedeuten. Insbesondere
können sich zeitweilig nicht verfügbare Produkte
oder Dienstleistungen schädigend auf die Repu
tation eines Unternehmens auswirken. Busi-ness Continuity Management (BCM), oder
betriebliches Kontinuitätsmanagement, stattet Unternehmen mit den notwendigen Fähig-keiten aus, um selbst bei geschäftsbedro-henden Störungen die kritischen Geschäfts-aktivitäten aufrechtzuerhalten und so die Existenz des Unternehmens sicherzustellen.
Mit der Veröffentlichung der internationalen
Norm ISO 22301 im vergangenen Jahr hat sich
das BCM von der britischen Norm BS 25999 und
anderen regionalen Normen weiterentwickelt,
was zu einer Konvergenz in den Methoden ge
führt hat. Für Unternehmen bringen die Ausrich
tung und der Erhalt einer Zertifizierung nach ISO
22301 durch das strukturierte Vorgehen bei der
Vorbereitung auf unvorhergesehene Zwischen
fälle einen geschäftlichen Mehrwert. Entscheider
zahlreicher Unternehmen erkennen den günsti
gen Zeitpunkt für die Einführung eines standard
basierten Business Continuity Managements.
Steigende Bedeutung von Business Continuity Management (BCM)
Getrieben vom technischen Fortschritt, der
stärkeren Vernetzung und dem höheren Globa
lisierungsgrad nimmt auch die Anzahl mögli
cher Bedrohungsszenarien für Unternehmen
zu. Diese reichen von strafbaren Handlungen,
wie beispielsweise Betrug, Diebstahl oder Spio
nage, über Softwarefehler und menschliches
Versagen bis hin zu Naturgewalten wie Überflu
tungen, Erdbeben oder Pandemien. Ohne ent-sprechende Vorkehrungen sind Unterneh-men diesen Szenarien und den damit oft einhergehenden Existenzbedrohungen schutzlos ausgeliefert.
Das Ziel des Business Continuity Managements
(BCM) liegt darin, bestehende Bedrohungen für
die Kontinuität von Geschäftsprozessen des
Unternehmens frühzeitig zu erkennen und die
Dauer und Auswirkung von Ausfällen kritischer
Geschäftsprozesse auf ein akzeptables Maß zu
reduzieren. BCM stellt sicher, dass das Unter
nehmen über eine ausreichende Ausfallsicher
heit und die erforderlichen Fähigkeiten verfügt,
wirksam auf Zwischenfälle zu reagieren. Ins
besondere unterstützt BCM das Unternehmen
dabei, nach einem Störvorfall Produkte oder
Dienstleistungen auf einem vordefinierten
Niveau bereitzustellen:
· Die Bedeutung eines standardbasierten
BCM hat sich durch die heute fast selbstver
ständlich gewordene internationale Präsenz
und Verflechtung von Unternehmen deutlich
erhöht.
· Die steigende Komplexität der Informations
technologie, zum Bespiel bei firmenübergrei
fender Vernetzung von Informationssyste
men oder dem Einsatz weltweit verteilter
WebServices, führt zu einer Zunahme po
tentieller Schwachstellen und steigert somit
das Risiko eines Zwischenfalls erheblich.
· Die Zunahme gesetzlicher Vorschriften und
regulatorischer Anforderungen erhöht insbe
sondere für Geschäftsführer, Vorstandsmit
glieder und Aufsichtsräte das persönliche
Haftungsrisiko.
· Steigende Anforderungen seitens der Kunden
an neue Produkte, Dienstleistungen und de
ren Verfügbarkeit und Lieferzeiten erlauben
keinen längeren Ausfall kritischer Prozesse
und der für ihren Betrieb erforderlichen Lie
ferketten, Informations und Kommunika
tionssysteme und personellen Ressourcen.
Entstehung des standardbasierten BCM
Bis in die 1970er Jahre verließ sich die Mehr
heit der Unternehmen hauptsächlich auf Versi
cherungen, um sich vor Schaden als Folge von
unerwarteten Ereignissen zu schützen. Daher
verfügten die meisten Unternehmen nicht über
eine detaillierte Notfall und Krisenplanung.
Als Folge der gestiegenen Abhängigkeit von
komplexen Informations und Kommunikati
onssystemen, unternehmensübergreifender
Lieferketten und der restriktiveren Bedingungen
von ITVersicherungen wurde für Unternehmen
ein methodisches Vorgehen zur Sicherstellung
der Kontinuität kritischer Geschäftsprozesse
Business Continuity Management nach ISO 22301Neuerungen und Vorteile eines standard basierten BCM
von Alexandre Horvath, Jakob Keller und Leo Niedermann
Business Continuity Management nach ISO 22301
81
immer wichtiger. In den folgenden Jahrzehn
ten etablierte sich das Credo der Notfall
planung in Unternehmen als Maßnahme zum
Umgang mit Risiken und entwickelte sich
schrittweise weiter.1
Zur Jahrtausendwende standen zahlreiche Unternehmen vor der Herausforderung, die erwarteten Auswirkungen des Jahr-2000-Problems (Y2K, Millennium Bug) auf
ihre Geschäftsaktivitäten zu beurteilen sowie er
forderliche Maßnahmen vorzubereiten und um
zusetzen. In vielen Fällen wurden Unternehmen
von ihren Kunden dazu verpflichtet, ihre „Y2K
Compliance“ nachzuweisen oder extern zertifi
zieren zu lassen. Dies wird heute allgemein als die Geburtsstunde des BCM-Ansatzes angesehen. Rasch stellte sich heraus, dass Un
ternehmen zwar problemlos unterschiedliche
QualitätsManagementSysteme verwenden
können, diese Wahlfreiheit jedoch nicht auf Busi
nessContinuityManagementSysteme, kurz
BCMSysteme, übertragbar ist. Unterschied-liche BCM-Ansätze führten unweigerlich zu Inkonsistenzen bei der Analyse von Risiken
und der Planung der entsprechenden Maß-nahmen. Gerade im Fall von Betriebsunterbre
chungen kommt es auf ein einheitliches und ab
gestimmtes Vorgehen der beteiligten Personen
und Organisationseinheiten an.
So wurde 2007 in Großbritannien von der
British Standards Institution (BSI) der BS
25999 Standard ins Leben gerufen, welcher
neben den Unternehmensanforderungen an ein BCM-System auch die Bedürfnisse von Kunden, des Regulators sowie weiterer in-volvierter Parteien umfasst. Dieser nationale
Standard fand weltweit Anerkennung und bilde
te die Basis für diverse weitere BCMStandards.
Auf dieser bewährten Grundlage wurden 2012
die Standards ISO 22301:2012, „Unterneh
menssicherheit – Systeme für betriebliches
Kontinuitätsmanagement – Anforderungen“2
und ISO 22313:2012, „Unternehmenssicherheit
– Systeme für betriebliches Kontinuitätsma
nagement – Anleitung“3 veröffentlicht, die als
international gültige Nachfolger der nationalen
Standards BS 259991:2006 und BS 25999
2:2007 gesehen werden können.
Business Continuity Management nach der neuen Norm ISO 22301
Die internationale Norm ISO 22301 spezifiziert
die neusten Anforderungen an die Einführung
und den Betrieb eines effektiven BCMSys
tems. Eines der Merkmale, das die internatio
nale Norm von anderen Frameworks oder
Standards für betriebliches Kontinuitätsma
nagement unterscheidet, besteht in der Möglichkeit der Zertifizierung eines Unter-nehmens von einer akkreditierten Zertifi-zierungsstelle. Das Unternehmen kann so
gegenüber seinen Kunden, Partnern, Investo
ren und anderen Betroffenen seine Konformität
und damit die Sicherstellung der betrieblichen
Kontinuität nach Störung von kritischen Ge
schäftsaktivitäten nachweisen.
Vorteile durch die Einführung eines BCM-Systems nach ISO 22301
Die unternehmensweite Umsetzung eines
BCMSystems trägt dazu bei, das Risiko be
triebsunterbrechender Vorfälle zu minimieren.
Sollte ein solcher Vorfall dennoch eintreten, so
stellt BCM sicher, dass Unternehmen in der
Lage sind, angemessen zu reagieren und die
Ausfallzeit auf ein Minimum zu reduzieren. Dies
bietet eine Reihe von Vorteilen:
· Zentrales Werkzeug für die Sicherstellung
der betrieblichen Kontinuität und Reduzie
rung der Auswirkungen im Schadensfall
durch schnelle und konsequente Reaktion.
· Schaffung von Transparenz über die kriti
schen Geschäftsaktivitäten und prozesse,
deren interne und externe Abhängigkeiten
sowie den Business Impact im Fall von Un
terbrechungen.
· Nachweis der Widerstandsfähigkeit des
Unternehmens beim Eintreten unerwarteter
Ereignisse gegenüber Kunden und weiterer
interessierter Parteien durch Zertifizierung.
Abb. 1: PDCA-Zyklus4
CM November / Dezember 2013
82
· Unternehmensweit einheitliche Methodik
und nachvollziehbare, belastbare Ergebnisse
durch international anerkannte ISONorm.
Für Unternehmen, die keine Zertifizierung ihres
Business Continuity Managements anstreben,
genügt es, sich der neuen ISO22301Norm
bewusst zu sein. Die Berücksichtigung von
BestPracticeAnsätzen aus den Anforderun
gen der ISONorm kann als guter Startpunkt
dienen, um ein effektives BCMSystem im Un
ternehmen aufzubauen oder zu verbessern.
BCM nach ISO 22301 stützt sich analog zum
BS 25999 Standard auf den „PlanDoCheck
Act“ (PDCA)Zyklus, der sich bereits vielfach als
Vorgehensmodell zum Betrieb von Manage
mentsystemen bewährt hat. Die vier Phasen mit
den zugehörigen Aktivitäten und Kapiteln des
Standards werden in Abbildung 1 dargestellt.
Die ISO22301Norm besteht insgesamt aus
zehn Bestimmungen (im Original „clauses“).
Nach den drei einleitenden Abschnitten definie
ren die Kapitel 4 bis 10 die Anforderungen an
einen BCMProzess:5
4. Verständnis der Organisation: Das Ver
ständnis der Funktionsweise des Unterneh
mens und dessen Umfelds ist ein wesentlicher
Aspekt, um ein abgestimmtes BCMSystem zu
etablieren. Diese Anforderung macht es not
wendig, die Risikobereitschaft sowie die recht
lichen und regulatorischen Anforderungen, die
für das Unternehmen gelten, zu bestimmen und
klar zu definieren.
5. Management: Es werden Anforderungen
bezüglich des BCMSystems an die Geschäfts
leitung hinsichtlich der Kommunikation der
Ziele des BCM im Unternehmen gestellt. Ins
besondere muss sichergestellt sein, dass das
BCM mit der strategischen Ausrichtung des
Unternehmens abgestimmt und in die Ge
schäftsprozesse integriert wird.
6. Planung: Als Neuerung zum BS 25999
Standard werden die strategischen Ziele des
BCM betont. Das Unternehmen verpflichtet
sich, Risiken, die von einem unzulänglichen
Business Continuity Management ausgehen,
aktiv anzugehen. Im Zentrum steht das Ver
ständnis der internen Unternehmenskultur und
des unmittelbaren Umfelds, in welchem das
Unternehmen tätig ist.
7. Unterstützung: Die für den Aufbau, Unter
halt sowie die Aufrechterhaltung eines effekti
ven BCM notwendigen Ressourcen werden
beschrieben. Dies umfasst die erforderlichen
Mitarbeiter und deren Kompetenzen sowie
Anforderungen an ein einheitliches Dokumen
tenManagementsystem. Es ist essenziell,
dass im Unternehmen alle Elemente des BCM
vollständig dokumentiert werden und dass
diese Dokumente in regelmäßigen Abständen
geprüft und weiterentwickelt werden. Dies ist
vor allem vor dem Hintergrund einer geplanten
ISO22301Zertifizierung oder Auditierung
erforderlich.
8. Betrieb: Die operative Planung und Steue
rung dient der Umsetzung der Verpflichtung des
Unternehmens, die Risiken eines unzuläng
lichen BCM zu identifizieren und zu beheben.
Unternehmen werden verpflichtet, entspre
chende Prozesse zu entwickeln, welche die
korrekte Umsetzung des BCMSystems ge
währleisten, einschließlich der Berücksichti
gung vertraglich ausgelagerter Prozesse.
9. Leistungsbewertung: Dem Unterhalt und
der Überprüfung des BCMSystems kommt
eine zentrale Bedeutung zu. Insbesondere wird
das Management dazu aufgefordert, alle identi
fizierten Korrekturmaßnahmen umzusetzen.
Mit Hilfe von regelmäßig durchgeführten „Ma
nagementReviews“ und Steuerung durch Leis
tungskennzahlen wird das Unternehmen dazu
befähigt, notwendige Änderungen zur Reduk
tion von operativen Sicherheitsrisiken zeitnah
umzusetzen.
10. Kontinuierliche Verbesserung: Die
Norm enthält Forderungen zu Präventions und
Korrekturmaßnahmen. Unter kontinuierlicher
Verbesserung werden alle Maßnahmen ver
standen, welche das Unternehmen trifft, um die
Wirksamkeit (Erreichung der Ziele) und Effizi
enz (ein optimales Kosten/Nutzen Verhältnis)
von BCMProzessen und Maßnahmen zu er
höhen.
Beim Vergleich des bisherigen BS 25999 Stan
dards mit der neuen ISONorm unterscheiden
sich diese nur geringfügig in den Kernelemen
ten wie Business Impact Analyse (BIA), Risk
Assessment (RA), Strategie und Planung. Die
größten Anpassungen und Erweiterungen sind
im ManagementTeil zu finden: Die Norm setzt
den Fokus auf das Verständnis der Anforderun
Autoren
Alexandre Horvath
ist in den Bereichen IT Security und IT Compliance im Compe-tence Team „Security Management“ der Detecon (Schweiz) AG tätig. Als Themenverantwortlicher für BCM konnte er seine Er-fahrung in diversen globalen Projekten einbringen und den ISO-Standard implementieren.
E-Mail: [email protected]
Leo Niedermann
ist bei der Detecon (Schweiz) AG in den Bereichen IT Security und IT Compliance im Competence Team „Security Manage-ment“ tätig. Seine umfangreichen Erfahrungen sammelte er bisher vor allem in Projekten zu IT Security sowie Business Continuity Management.
E-Mail: [email protected]
Jakob Keller
ist als Berater im Competence Team „Security Management“ der Detecon (Schweiz) AG tätig. Im Rahmen zahlreicher Projekte hat er umfassende Erfahrungen in den Bereichen Business Continuity Management, IT Security, IT Risk Management und Compliance gesammelt.
E-Mail: [email protected]
Business Continuity Management nach ISO 22301
83
gen, die Definition der Kontrollziele sowie die
Messbarkeit der Unternehmensleistung. Damit das Business Continuity Management im Rahmen der Geschäftssteuerung den Fort-bestand des Unternehmens sicherstellen kann, ist für die Umsetzung ein klares Be-kenntnis seitens der Geschäftsleitung not-wendig.
Günstiger Zeitpunkt zur Einführung eines Business Continuity Management Systems
Mit dem Ziel, die Kontinuität kritischer Ge
schäftsprozesse sicherzustellen, liegt der Fo-kus des Business Continuity Managements
hauptsächlich auf dem optimalen Umgang mit Risiken für Unternehmensprozesse. Die
Weiterentwicklung des BCM in die internationa
le ISO22301Norm hat zu einer Konvergenz in
den Methoden geführt. Entscheider in zahlrei
chen Unternehmen erkennen den günstigen
Zeitpunkt zur Einführung eines standardbasier
ten BCM. Die internationale ISO22301Norm
bietet dabei folgende Vorteile:
· Proaktiver Ansatz zum Unterhalt und zur
Verbesserung des BCMSystems mit klarer
Anforderung an das Management. Durch
eine klare Definition und Kommunikation der
Ziele im Unternehmen wird Verbindlichkeit
geschaffen.
· Mit der Definition von klaren Zielen für die
BCMAktivitäten im Unternehmen sowie die
Entwicklung von Leistungskennzahlen wird
das BCM messbar und die Überwachung der
Prozesse vereinfacht.
· Eine stärkere Gewichtung der Planung und
Bereitstellung von Ressourcen stellt sicher,
dass die für den Aufbau, Unterhalt sowie die
Aufrechterhaltung eines effektiven BCM not
wendigen Ressourcen verfügbar sind.
Seit November 2012 können sich Unterneh
men, die eine Zertifizierung ihres BCMSys
tems anstreben, nach der neuen ISO22301
Norm zertifizieren lassen. Eine Zertifizierung
nach BC 25999 wird nicht mehr angeboten.
Für Unternehmen, welche bereits nach BS
25999 zertifiziert sind, besteht die Möglichkeit,
nach einer Übergangsphase eine Aktualisie
rung auf ISO 22301 durchzuführen. Die ISO
22301Norm kann sowohl für eine Zertifizie
rung durch Dritte als auch zur Selbstbewertung
eingesetzt werden. Sie enthält kurz und präg
nant formulierte Anforderungen und eine Be
schreibung der Grundelemente des Business
Continuity Managements.
Die Bedeutung von Business Continuity Ma
nagement wird angesichts des steigenden Risi
kos von Betriebsunterbrechungen infolge kom
plexer Informationssysteme und Lieferketten
sowie der externen Abhängigkeiten weiter zu
nehmen. Die internationale Norm ISO 22301
bereitet den geeigneten Rahmen für die Einfüh
rung eines BCMSystems in Unternehmen je
der Größe und unabhängig von deren Branche.
Zur Erfüllung der wachsenden regulatorischen
Vorgaben sowie der Kundenanforderungen
muss ein Unternehmen über das klassische
Risikomanagement hinaus die Fähigkeit erwer
ben, nach einem kritischen Vorfall zunächst
den Fortbestand zu sichern und anschließend
schnellstmöglich den Normalzustand wieder
herzustellen.
Referenzen
International Organization for Standardizati
on (2012): ISO 22301:2012 (Societal secu
rity – Business continuity management sys
tems – Requirements), 2012.
Martin Wieczorek, Uwe Naujoks, Bob Bartlett
(2013). Business Continuity: Notfallplanung
für Geschäftsprozesse, Berlin: Springer.
Moving from BS 259992 to ISO 22301
The new international standard for business
continuity management systems (online un
ter: http://www.bsigroup.com/Documents/
iso22301/resources/BSIBS25999to
ISO22301TransitionUKEN.pdf) (Stand:
25.6.2013)
ISO 22301 Business Continuity Manage
ment (online unter: http://www.bsigroup.
com/enGB/iso22301businesscontinuity/)
(Stand: 25.6.2013)
Moving from BS 259992 to ISO 22301 (on
line unter ht tp: //www.bsigroup.co.id /
bs25999transitioniso22301/ ) (Stand:
25.6.2013)
Fußnoten
1 Wieczorek, Naujoks, Bartlett (2013)2 engl. ISO 22301:2012 Societal security –
Business continuity management systems –
Requirements3 engl. ISO 22313:2012 Societal security –
Business continuity management systems –
Guidance4 www.hisolutions.com (Stand: 13.07.2012)5 www.bsigroup.com/enGB/iso22301busi
nesscontinuity/ (Stand: 25.06.2013)6 http://www.bsigroup.co.id/bs25999transi
tioniso22301/ (Stand: 25.6.2013)
CM November / Dezember 2013
Abb. 2: Übergangsperiode6