Technik für das Leben - Homeland Security
Technik für das Leben - Homeland Security
Technik für das Leben - Homeland Security
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Logistik<br />
Einher mit dem Themenkomplex Risikomanagement<br />
geht immer auch <strong>das</strong> Thema<br />
Kontinuitätsmanagement. In der Vergangenheit<br />
wurden beide Bereiche im Hinblick<br />
auf Forderungen aus der Finanzwelt (Kon-<br />
TraG, BilMoG, Basel II, Solvency II oder Ma-<br />
RISK) sehr stark auf finanzielle Risiken und<br />
Sicherheitskriterien oder aber bezogen auf<br />
IT-Kontinuitätsmanagement (BS25999) im<br />
Hinblick auf IT-technische Notwendigkeiten<br />
bewertet.<br />
Ein erster Ansatz, diese Themen ineinander<br />
zu überführen und einen größer gewählten<br />
Rahmen des Risikomanagements umzusetzen,<br />
bildet die ONR 49000, die auch als<br />
Leitfaden zur Umsetzung der ISO 31000<br />
verstanden werden kann. Beide beschäftigen<br />
sich mit dem Risikomanagement als<br />
Kernthema. Die Frage, ob Kontinuitätsmanagement<br />
Teil des Risikomanagements ist<br />
oder eher als eigenständiges Konzept verstanden<br />
werden muss, ist dabei eine eher<br />
philosophische. Risikomanagement ohne<br />
eine Lösung zum Kontinuitätsmanagement<br />
ist in jedem Fall wenig zielführend.<br />
Problem der ISO 31000 ist, <strong>das</strong>s diese<br />
Norm zur internen Organisation und Optimierung<br />
vorgesehen ist, nicht aber zur<br />
neutralen Überprüfung durch eine akkreditierte<br />
Zertifizierungsstelle. Damit fehlt den<br />
anwendenden Firmen die Möglichkeit, die<br />
betriebliche umgesetzte Konformität zur<br />
Norm Kunden und Geschäftspartnern gegenüber<br />
nachzuweisen. Der wirtschaftliche<br />
Nutzen, geprägt durch eine entsprechende<br />
Außenwahrnehmung, ist daher eher gering.<br />
Ein neuer Versuch, die Komplexität des<br />
Risikomanagements in Verbindung mit dem<br />
Kontinuitätsmanagement und der Unternehmenssicherheit<br />
auf Basis einer ISO Norm<br />
abzubilden, ist die ISO 22301:2012. In diesem<br />
Fall eine Norm, die zur Zertifizierung<br />
durch eine akkreditierte Zertifizierungsstelle<br />
ausdrücklich vorgesehen ist.<br />
Inhalte der ISO 22301:2012:<br />
4 Kontext der Organisation<br />
4.1 Verständnis der Organisation und ihres<br />
Kontextes<br />
4.2 Verständnis der Notwendigkeiten und<br />
Erwartungen der Beteiligten<br />
4.3 Festlegen des Rahmens des<br />
Managementsystem<br />
4.4 System des betrieblichen<br />
Kontinuitätsmanagements<br />
5 Führung<br />
5.1 Allgemeines<br />
5.2 Pflicht des Managements<br />
5.3 Richtlinie<br />
5.4 Rollen, Verantwortlichkeiten und Zuständigkeiten<br />
im Unternehmen<br />
6 Planung<br />
6.1 Maßnahmen zur Bearbeitung und Nutzung<br />
von Risiken bzw. Chancen<br />
6.2 Ziele des betrieblichen Kontinuitätsmanagements<br />
und Pläne, um diese zu<br />
erreichen<br />
7 Support<br />
7.1 Ressourcen<br />
7.2 Kompetenz<br />
7.3 Bewusstsein<br />
7.4 Kommunikation<br />
7.5 Dokumentierte Information<br />
8 Betrieb<br />
8.1 Betriebliche Planung und Kontrolle<br />
8.2 Geschäftsauswirkungsanalyse und<br />
Risikoeinschätzung<br />
8.3 Strategie für betriebliches<br />
Kontinuitätsmanagement<br />
8.4 Erstellen und Umsetzen von<br />
verfahren des betrieblichen<br />
Kontinuitätsmanagements<br />
8.5 Ausübung und Prüfung<br />
9 Leistungsbewertung<br />
9.1 Überwachung, Messung, Analyse und<br />
Bewertung<br />
9.2 Internes Audit<br />
9.3 Managementprüfung<br />
10 Verbesserung<br />
10.1 Nichteinhaltung und<br />
Korrekturmaßnahmen<br />
10.2 Kontinuierliche Verbesserung<br />
Die Auflistung der wesentlichen Inhalte dieser<br />
Norm macht deutlich, <strong>das</strong>s ein Schwerpunkt<br />
auf den Komplex des Kontinuitätsmanagements<br />
gelegt wurde.<br />
Integriertes Managementsystem<br />
Betrachtet man nun all diese Anforderungen,<br />
Standards und Normen, stellt sich immer<br />
wieder die Frage, wie soll <strong>das</strong> im Unternehmen<br />
am besten umgesetzt werden. Das<br />
ganze muss einfach genug sein, damit die<br />
Mitarbeiter, von denen jedes System zum<br />
Großteil getragen wird, es auch noch verstehen<br />
und anwenden können.<br />
Auf der anderen Seite muss es vollständig<br />
sein, damit Audits durch Dritte erfolgreich<br />
absolviert werden können.<br />
Und letztlich muss es pflegbar sein und<br />
48 | <strong>Homeland</strong> <strong>Security</strong> 2013