BCM – der neue ISO-Standard - müller-gauss consulting

Business Continuity Management 53BCM – der neue ISO-StandardDer neue ISO-Standard 22301:2012 ist planmässig veröffentlicht worden.Hierbei handelt es sich um den weltweit ersten internationalen Standard fürBusiness Continuity Management (BCM), der Organisationen helfen wird, dieRisiken von Betriebsunterbrechungen jeglichen Ursprungs zu reduzieren.© shutterstock | Müller-Gauss ConsultingVon Uwe Müller-GaussAm 15. Juni 2012 wurden vonder International StandardsOrganisation (ISO) die erstenNormen für den Bereich BusinessContinuity Managementveröffentlicht. Es handelt sich dabei umdie ISO 22300:2012 Societal Security;Terminology und die ISO 22301:2012 SocietalSecurity; Business Continuity ManagementSystems; Requirements. Damitwurde ein bedeutender Meilenstein beider internationalen Harmonisierung vonRegelwerken auf diesem Gebiet erreicht.Während die Norm ISO 22300 ein Referenzwerkfür die Sprachregelung darstellt,welches die Basis für eine Reihe vonNormen des Technical Committee ISO/TC 223 darstellt, wird die ISO 22301 dieNachfolge des bisherigen ReferenzstandardsBS 25999 antreten. Der internationaleStandard ersetzt somit den aktuellenBritischen Standard BS 25999.Der ISO-Standard 22301 spezifiziertalle Anforderungen, wie ein Kontinuitätsmanagementsystem(engl.: BusinessContinuity Management; BCM) zu planen,einzurichten, zu realisieren, zu betreiben,zu überwachen, zu überprüfen,zu unterhalten und kontinuierlich zu verbessernist, um sich wirkungsvoll aufmögliche Betriebsunterbrechungen präventivvorzubereiten, auf diese zu reagierenoder um sich als Unternehmen vonBetriebsunterbrechungen schnellstmög­5/12

54Business Continuity ManagementPDCA-Model anhanddes BCM-Systems(gem. ISO 22301:2012)lich zu erholen. Die in ISO 22301 spezifiziertenAnforderungen sind, wie auch inder ISO 31000, allgemein gehalten. Siesollen auf Organisationen jeglicher Art,ohne Rücksicht auf die Grösse oder Branche,anwendbar sein. Der Umfang der Anwendbarkeitder definierten Anforderungenhängt von der Betriebsumgebung undder Komplexität der Organisation ab.BereicheDie ISO 22301 ist anwendbar auf Organisationen,welche:−−ein BCM einrichten, implementieren,unterhalten und verbessern möchten−−die Konformität gegenüber Dritten,z.B. Lieferanten, belegen möchten−−eine Zertifizierung ihres BusinessContinuity Managements durch eineakkreditierte Zertifizierungsstellean streben oder eine Konformität mitdiesem internationalen Standardselbst deklarieren möchten−−−−Bausteine zur UmsetzungFür eine erfolgreiche Umsetzung einesbetrieblichen Kontinuitätsmanagementsdefiniert der ISO-Standard – in Anlehnungan das PDCA-Model – eine Reihevon Bausteinen: Ein erstes Modul konzentriertsich auf die Organisation. So istes wichtig, dass die externen und internenSachverhalte analysiert werden, die fürden Erfolg der Organisation wichtig sind(strategische Erfolgspositionen = SEP)und welche durch eine Betriebsunterbrechunggefährdet werden.Hierzu gehört beispielsweise die Analyse:−−der Aktivitäten, Aufgaben, Dienstleistungen,Produkte, Partnerschaften,Lieferketten (Supply Chain),sonstigen Stakeholder sowie derpotenziellen Auswirkung einer Betriebsunterbrechungder Verknüpfungen zwischen derBusiness-Continuity-Strategie(Po licy) und den Unternehmenszielender Organisation sowie die Abhängigkeitzu anderen Regelwerkendie Analyse der unternehmensübergreifendenRisikomanagementstrategie−−des Risikoappetits sowie der Risiko ­tragfähigkeit der Organisation−−der Bedürfnisse und Erwartungen vonrelevanten Stakeholdern−−der Compliance-Anforderungen,d.h. relevanter gesetzlicher, regulatorischerund anderer AnforderungenGeltungsbereichEbenfalls wird in diesem Teil der Geltungsbereichdes betrieblichen Kontinuitätsmanagementsbestimmt. Dabei müssen diestrategischen Ziele, Schlüsselprodukte und-dienstleistungen, die Risikotoleranz sowiealle regulatorischen und vertraglichenVerpflichtungen oder Verpflichtungen gegenüberAnspruchsberechtigten der Organisationin genügendem Masse berücksichtigtwerden.Im nächsten Modul der ISO 22301 gehtes um die Führung. Analog zum betrieblichenRisikomanagement ist eine Vorbildfunktiondes Topmanagements (Commitment)entscheidend für eine erfolg reicheUmsetzung. Das Topmanagement mussdie Relevanz und Verpflichtung eines BCMfortlaufend demonstrieren. Durch Führungkann das Management eine Risikokulturschaffen, sodass alle Akteure bzw.Mitarbeiter in dem Prozess involviert sind.Das Management ist verantwortlich:−−sicherzustellen, dass das BCMkompatibel mit der strategischenAusrichtung der Organisation ist−−die BCM-Anforderungen in dieGeschäftsprozesse der Organisationzu integrieren−−die notwendigen Ressourcen für dasBCM bereitzustellen−−die Bedeutung eines wirksamen BCMzu kommunizieren−−sicherzustellen, dass das BCM dieerwarteten Ergebnisse erzielt−−−−−−die kontinuierliche Verbesserung(Continuous Improvement Process,CIP) des BCM zu ermöglicheneine Business-Continuity-Strategie(Überlebensgarantie) zu erstellenund zu kommunizierensicherzustellen, dass die BCM-Zieledurch die Festlegung von kritischenProzessen und Wiederanlaufprioritätensowie geeigneter Notfallpläne(BCP) erreicht werden−−sicherzustellen, dass klare Verant ­wortlichkeiten und Befugnissezugeordnet werdenUnter kontinuierlicher Verbesserung (KVP;engl.: Continuous Improvement Process,CIP) werden alle Massnahmen zusammengefasst,die in der ganzen Organisationgetroffen werden, um die Wirksamkeit(Erreichung der Ziele) und Effizienz (einoptimales Kosten-/Nutzen-Verhältnis)zu erhöhen.In einem nächsten Modul geht es umdie Planung des betrieblichen Kontinui­© shutterstock | Müller-Gauss Consulting5/12

55BCM-Lebenszyklus gemäss GoodPractice Guidelinestätsmanagements. Diese Phase wird alskritisch eingestuft, da die Definition derstrategischen Ziele und Leitprinzipiendas Fundament für das BCM bildet. DieBusiness-Continuity-Ziele müssen u.a.:−−konsistent sein mit der Business-Continuity-Strategie (Policy)−−messbar sein−−anwendbare Anforderungen beachten−−überwacht und gegebenenfallsaktualisiert werdenRessourcenDer nächste Baustein beschäftigt sich mitder Unterstützung des BCM durch adäquateRessourcen. Das nachhaltige Managementeines wirksamen BCM basiertauf einem soliden Fundament angemessenerRessourcen. Diese beinhalten u.a.qualifiziertes Personal, unterstützendeDienstleistungen, ein gelebtes Risikobewusstseinsowie eine zeitgemässe Kommunikation.In diesem Kontext spielt vorallem die interne wie auch die externeKommunikation eine grosse Rolle. Auchdie Anforderungen an die Erstellung, dieAktualisierung und die Kontrolle derBCM-Dokumentation sind Bestandteildieses Moduls.Nach der Planung des betrieblichenKontinuitätsmanagements muss eine Organisationdas BCM-System aufbauenund in Betrieb nehmen. Dazu haben sichdie folgenden Module bewährt:Business Impact Analysis (BIA): Hierbeihandelt es sich um eine Methode zurSammlung und Identifizierung von kritischenProzessen und Funktionen innerhalbeiner Organisation (siehe Impact-Kriterien im Kasten), um die den Prozessenzugrunde liegenden Ressourcen zu erfassen.Des Weiteren können durch eine BIAwechselseitige Abhängigkeiten zwischenProzessen resp. Unternehmensbereichenaufgezeigt, die Auswirkungen bei Ausfällenvon Prozessen, die Kritikalität jedesProzesses und die benötigte Wiederanlaufzeitaufgedeckt werden.Risikobeurteilung (RA): Die ISO 22301referenziert auf den internationalen Risikomanagement-StandardISO 31000. DieISO 31000 weist drei spezifische Merkmaleauf: Es handelt sich erstens um einenumfassenden Top-down-Ansatz, zweitenswird Risikomanagement als Führungsaufgabedargestellt und drittenshandelt es sich um eine allgemein gehalteneBasis-Norm.Business-Continuity-Strategie (BCS):Nachdem die Anforderungen über die BIAund die Risikobeurteilung erfasst wordensind, müssen Überlebensstrategien entwickeltwerden, um Massnahmen zu identifizieren,welche es der Organisation erlauben,auf der Basis ihrer Risikotoleranzsowie Risikotragfähigkeit und innerhalbfestgelegter Ziele für die Wiederherstellungszeitkritische Prozesse zu schützenresp. wiederherzustellen. Dabei ist dieBCM-Strategie auf die gesamte Geschäftsstrategieauszurichten und ist als ein integralerBestandteil der Unternehmensstrategiezu verstehen.Business-Continuity-Verfahren(BCP): Die Organisation muss Verfahrendokumentieren, um die Kontinuität vonAktivitäten und das Management vonBetriebsunterbrechungen sicherzustellen.Diese Verfahren müssen:−−einen angemessenen Plan für dieinterne und externe Kommunikationfestlegen−−−−−−−−−−flexibel sein, um auf unerwarteteBedrohungen und sich veränderndeinterne und externe Bedingungenantworten zu könnenspezifisch sein hinsichtlich derkonkreten Schritte, die anlässlicheiner Betriebsunterbrechung zuerfolgen habenauf Auswirkungen von Ereignissenfokussieren, die möglicherweise denBetrieb unterbrechen könntenentwickelt werden auf der Basis derAnalyse von Wechselwirkungen undwirksam sein bei der Minimierungvon Folgen durch die Implementierungvon angemessenen Strategienzur SchadensminderungÜben und Testen: Um sicherzustellen,dass die Business-Continuity-Pläne(BCP = Notfallpläne) mit den Business-Continuity-Zielen konsistent sind, hatdie Organisation sie regelmässig zu testen.Üben und Testen sind die Prozessezur Bestätigung von Business-Continuity-Plänen,um zu gewährleisten, dass diegewählten Strategien sicherstellen, innerhalbder durch das Management bestimmtenZeitfenster Antworten undWiederherstellungsergebnisse zu liefern,und so das Überleben der Organisationgarantieren.Pflege: Sobald das BCM-System implementiertist, ist das System ständig zuüberwachen und periodisch zu überprüfen,um seinen Betrieb laufend zu verbessern/zuoptimieren:−−Messen der Leistung von Prozessen,Verfahren und Funktionen, diekritische Prozesse schützen−−−−−−Überwachung der Übereinstimmungmit dem Standard und denBusiness-Continuity-ZielenÜberwachung der historischenErfahrungen einer mangelhaftenLeistung des betrieblichenKontinuitätsmanagementsAusführung von regelmässigeninternen AuditsFazit: «Alter Wein in neuenSchläuchen»Der neue ISO-Standard 22301 ist auf derBasis der BS 25999 entwickelt worden,was allen bisherigen Anwendern derGood Practice Guidelines (GPG siehe Abbildung2) von BCI die Gewissheit gibt,auch in Zukunft mit den neuen ISO-Standards konform zu sein. n­uwe müller-gaussist geschäftsführender Inhaber der aufSicherheit, Risiko-, Krisen- und KontinuitätsmanagementspezialisiertenMÜLLER-GAUSS CONSULTING in Hinwil.Über 20 Jahre Erfahrung bei der Realisierungvon Security- & Risk-Management-Strategien, Notfall- und Evakuierungsorganisationenund Führungsinstrumentefür das Kontinuitätsmanagement (BCM).5/12

Knowing.Not guessing.20 Jahre Erfahrung in den BereichenPRÄVENTION - RESILIENCEBauherrenberatung // ProjektmanagementSicherheitsplanung // Trouble-ShootingIntegrale Tests // Security & Risk Audits // Reviews /Risikoanalysen // Risikomanagement SystemeEREIGNISBEWÄLTIGUNG - BCMBusiness Impact Analysen // ÜberlebensstrategienBusiness Continuity Management ManualsNotfall- und Evakuierungskonzepte // NotfallpläneKrisenmanagement HandbücherKrisenstabs- und EvakuierungsübungenEs ist besser, beizeiten Dämme zu bauen,als auf die Vernunft der Flut zu hoffen!MÜLLERGAUSSONSULTINGMÜLLER-GAUSS CONSULTINGSecurity│Risk│Crisis│Continuity Management+41 44 938 05 04 • uwe.mueller@gauss-consulting.ch • www.gauss-consulting.ch