ISO-Standard ISO 22301:2012 oder Business Continuity Management Die Revison ist bereits in 2014 erfolgt indem diese als Deutsche Industrie Norm aus dem Englischen übernommen wurde. Hierbei handelt es sich um den weltweit ersten internationalen Standard für Business Continuity Management (BCM), um Organisationen zu helfen, die Risiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren. Der internationale Standard ersetzt den aktuellen Britischen Standard BS 25999. Der ISO-Standard 22301 spezifiziert die Anforderungen, um ein dokumentiertes Kontinuitätsmanagementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren oder um sich als Unternehmen von Betriebsunterbrechungen zu erholen. Die in ISO 22301 spezifizierten Anforderungen sind – analog auch zur ISO 31000 – allgemein gehalten, denn sie sollen auf Organisationen (oder Teilen davon) jeglicher Art, ohne Rücksicht auf die Größe oder Branche anwendbar sein. Der Umfang der Anwendbarkeit der definierten Anforderungen hängt von den Betriebsumgebung und der Komplexität der Organisation ab. Die ISO 22301 ist anwendbar auf alle Organisationen, die:
Kapitel 1 der ISO 22301 beschreibt die Bestimmung des Geltungsbereichs des betrieblichen Kontinuitätsmanagements. Dabei müssen die strategischen Ziele, Schlüsselprodukte und -dienstleistungen, die Risikotoleranz sowie alle regulatorischen und vertraglichen Verpflichtungen oder Verpflichtungen gegenüber Anspruchsberechtigten der Organisation berücksichtigt werden. Kapitel 4 der ISO 22301 konzentriert sich auf die Organisation. Am Anfang steht die Analyse der externen und internen Sachverhalte, die für den Erfolg der Organisation wichtig sind (Erfolgspotenziale) und die durch eine Unterbrechung möglicherweise gefährdet werden. Ebenso die Analysen:
Hierzu gehört auch
Im Kapitel 5 der ISO 22301 geht es um die Führung. Analog zum betrieblichen Risikomanagement ist eine Vorbildfunktion des Top-Managements entscheidend für eine erfolgreiche Umsetzung ("set the tone from the top"). Das Top-Management muss die Relevanz und Verpflichtung eines BCM fortlaufend demonstrieren. Durch Führung kann das Management eine Risikokultur schaffen, so dass alle Akteure bzw. Mitarbeiter in dem Prozess involviert sind. Das Management ist verantwortlich:
In diesem Kontext spielt vor allem die interne wir auch die externe Kommunikation ein große Rolle. Auch die Anforderungen an die Erstellung, die Aktualisierung und die Kontrolle der BCM-Dokumentation sind Bestandteil dieses Moduls. Im Kapitel 8 der ISO 22301 muss das BSM nach der Planung des betrieblichen Kontinuitätsmanagement das BCM-System in Betrieb nehmen. Das Modul Betrieb umfasst: Business Impact Analysis (BIA): Hierbei handelt es sich um eine Methode zur Sammlung und Identifizierung von Prozessen und Funktionen innerhalb einer Organisation, um die den Prozessen zugrundeliegenden Ressourcen zu erfassen. Des Weiteren können durch eine BIA wechselseitige Abhängigkeiten zwischen Prozessen und/oder Unternehmensbereichen aufgezeigt, die Auswirkungen bei Ausfällen von Prozessen, die Kritikalität jedes Prozesses für den Gesamtkonzern und die benötigte Wiederanlaufzeit aufgedeckt werden. Risikobeurteilung: Die ISO 22301 nimmt Bezug auf den internationalen Risikomanagement-Standard ISO 31000. Die ISO 31000 weist drei spezifische Merkmale auf: Es handelt sich erstens um einen umfassenden Top-down-Ansatz, zweitens wird Risikomanagement als Führungsaufgabe (und nicht nur als Prozess) dargestellt und drittens handelt es sich um eine allgemein gehaltene Basis-Norm. Business-Continuity-Strategie: Nachdem die Anforderungen über die BIA und die Risikobeurteilung erfasst worden sind, müssen Strategien entwickelt werden, um Maßnahmen zu identifizieren, welche es der Organisation erlauben, auf der Basis ihrer Risikotoleranz sowie Risikotragfähigkeit und innerhalb festgelegter Ziele für die Wiederherstellungszeit kritische Aktivitäten zu schützen und wiederherzustellen. Erfahrungen aus der Praxis zeigen deutlich auf, dass die frühzeitige Verfügbarkeit einer übergreifenden BCM Strategie sicherstellt, dass BCM Aktivitäten auf die gesamte Geschäftsstrategie ausgerichtet sind und diese unterstützen. Hierbei sollte die Business-Continuity-Strategie ein integraler Bestandteil der Unternehmensstrategie sein. Business-Continuity-Verfahren: Die Organisation muss Verfahren dokumentieren, um die Kontinuität von Aktivitäten und das Management von Betriebsunterbrechungen sicherzustellen. Diese Verfahren müssen:
Im Kapitel 9 der ISO 22301 geht es darum das BCM zu implementieren und dasd das System ständig überwacht und periodisch überprüft wird (Leistungsbewertung), um seinen Betrieb zu verbessern:
Sie benötigen mehr Informationen? Tel.: 040 86663262 |