nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
Recht / Normen - Business Continuity Management

Business Continuity Management (BCM)

Wie sich Unternehmen für Krisen wappnen

Das Qualitätsmanagement ist die allgemeinste Form des Business Continuity Management.

ISO 9001

Bild 3. Modell eines normalen Managementsystems

ISO 22301 spezifiziert die Anforderungen an die Aufrechterhaltung der Organisation bei Ereignissen, die die Aktionen in der Organisation nachhaltig stören und damit den Fortbestand der Organisation als Ganzes erheblich gefährden. Der Punkt der Aufrechterhaltung ist in der ISO 9001:2005 an vielen Stellen gefordert.

Im Wesentlichen geht es aber um die Aufrechterhaltung der wichtige betrieblichen Prozesse und damit der Aktionen aus Kapitel 7, insbesondere Kapitel 7.5, Produktion und Dienstleistungserbringung. Was darunter zu verstehen ist, hängt von der jeweiligen Branche ab, in der die Organisation tätig ist. Es wird sich bei einem Betreiber eines Rechenzentrums um den Betrieb von Informationstechnik handeln, bei einem Wirtschaftsprüfungsunternehmen um die fachlich hochkompetente Dienstleistung und bei einem Pharmaunternehmen um die Produktion hochwertiger Medikamente.

ISO 27001

Die ISO 27001, Informationssicherheits-Managementsystem (ISMS) hat den Zweck, die Vertraulichkeit, Verfügbarkeit und Integration der Informationen des jeweiligen Business der Organisation zu gewährleisten.
Während die ISO 22301, Business Continuity Management System, stets den „potenziellen Krisenfall“ in ihrem Fokus hat, liegt der Fokus der ISO 27001 auf dem täglichen Geschäft. Zu den permanenten täglichen Aktivitäten gehören etwa ein Backup oder der Virenschutz von Computern. Diese Aktivitäten helfen, normale Störfälle zu beheben. Die ISO 27001 lässt sich im Wesentlichen in einem allgemeinen Managementrahmen und einem speziellen Anhang mit Controls und Control Objektives darstellen. Unter dem Managementrahmen versteht man die täglichen Managementaktivitäten, die aus dem Plan-Do-Check-Act abgeleitet sind. Der Anhang berücksichtigt spezifische Themen wie Policy, Organisation, Personal, Inventarisierung, IT-Betrieb und IT-Kommunikation aber auch Business Continuity Management aus der ISMS-Perspektive. BCM ist demnach ein wichtiger Teil von ISMS.

Die ISO 27001:2005 strukturiert im Anhang A.14 die wichtigen BCM-Punkte wie folgt:

  • Including information security in the business continuity management process
  • Business security and risk assessment
  • Developing and implementing continuity plans including information security
  • Business continuity planning framework
  • Testing, maintaining and re-assessing business continuity plans

Die ISO 27001:2013 legt im Anhang A.17 die BCM-Punkte fest

  • Planning information security continuity
  • Implementing information security continuity
  • Verify, review and evaluate information security continuity
  • Availability of information processing facilities (Redundancies)

Ist es für eine ISO 22301 konforme Organisation wichtig auch konform zur SO 27001 zu sein? Es kommt darauf an. Was ist der Zweck der Organisation, was möchte sie erreichen? Wie ist der Stellenwert der Information und der guten Kommunikation innerhalb der Organisation, und wie schützenswert sind diese Informationen?

Die ISO 27001 ist sicherlich eine gute Basis für die Entwicklung eines ISO-22301-konformen Systems. Auf der anderen Seite bedeutet die Umsetzung einer ISO 27001 in der Regel ein sehr systematisches Vorgehen in der gesamten Organisation. Dieser Anspruch würde bei der alleinigen Umsetzung der ISO 22301 nur für ausgewählte Teile und ggf. nicht so spezifisch erfolgen.

Hat man auf der anderen Seite aber bereits ein ISO-27001-konformes System, kann man auf den Ergebnissen der Aktivitäten zu A.14 bzw. A.17 der ISO 27001 gut aufsetzen. Darüber hinaus bleiben der Organisation viele grundsätzliche Dinge erspart. Die üblichen Managementprozeduren sind demnach schon alle bewährt und im Betrieb, sie brauchen „nur noch um die speziellen BCM-Punkte“ ergänzt zu werden. In diesen Fällen spricht man von einem integrierten Managementsystem.

ISO 31000

Die ISO 31000 ist der Basisstandard einer allgemeinen, Standardfamilie zum Thema Risikomanagement. Der Zweck der ISO 31000 ist es Prinzipien und generische Leitfäden zum Risikomanagement darzustellen.

Die ISO 3100 soll ein allgemein anerkanntes Paradigma für Praktiker und Unternehmen mit einem Risikomanagementprozess sein, um die Vielzahl der bestehenden Standards, Methoden und Paradigmen, die zwischen den Branchen, Themen und Regionen zu synchronisieren. Hinderlich bei diesem Ansatz ist es, dass er sehr generisch ist und in der Regel die unterschiedlichen Sichten und Spezifikationen des Risikomanagements, z.B. der ISO 27001 oder ISO 22301, nicht vollständig erfasst.

In der Praxis sollte sich, abhängig von der Größe der Organisation gut überlegt werden, ob man nur einen Risikomanagementprozess haben möchte. Aus unserer Erfahrung ist es wichtig, eine einheitliche „Risikomanagement-Basismethode“ einzusetzen. Das bedeutet, dass man ggf. mehrere Risikomanagementprozesse hat, die aber die gleiche Basismethode verwenden. Die Implementierungsverantwortung sollte jedoch entsprechend der Zuständigkeiten im Unternehmen verteilt sein. Es empfiehlt sich durch einen zentralen Risikomanagementprozess die Einzelergebnisse der Implementierungsverantwortlichen zu synchronisieren und aufzubereiten. Dieser Ansatz folgt dem Prinzip: Die Implementierungsverantwortung gehört in den Fachbereich und nicht an den grünen Tisch.

Die ISO 31000 ist ein Leitfaden und kein Zertifizierungsstandard, eine Zertifizierung nach ISO 31000 ist bis dato nicht vorgesehen. Die Unternehmen können sich jedoch nach einer österreichischen Norm zertifizieren lassen. Die ONR 49001 ist ein regionaler Standard, der als österreichische Interpretation der ISO 31000 eine Zertifizierung des Risikomanagements ermöglicht.


Inhaltsverzeichnis

Thomas Sterzenbach

Informationen zum Beitrag

Thomas Sterzenbach
Fachleiter Informationsmanagement
(IT related Certifications)
TÜV NORD CERT GmbH
Langemarckstr. 20
45141 Essen

Weiterführende Information
DIN EN ISO 9001:2015

Zum ISO 9001:2015 Special

Prozesswelt

Serie zum Thema Prozesse, veröffentlicht von QM-Experten deutscher Unternehmen gemeinsam mit der N5 GmbH und der Fachzeitschrift QZ

Zur Prozesswelt