ISO hat im Dezember den Standard ISO/PAS 22399 “Societal security – Guideline for incident prepardness and operational continuity management” veröffentlicht.

Die Publicly Available Specification (PAS) basiert auf Best Practices aus fünf Nationen. So sind Teile des amerikanischen Standards NFPA 1600:2400, des britischen Standards BS 25999-1:2006, des australischen Standards HB 221:2004 wie auch des israelischen Standards INS 24001:2007 enthalten.

“ISO/PAS 22399 describes a holistic management process that identifies potential impacts that threaten an organization and provides a framework for minimizing their effect.”

Statt eines BCM lifecycles gibt es in diesem ISO-Standard einen IPOCM lifecycle. Dies steht für “incident prepardness and operational (business) continuity management”.

Der Begriff operational continuity wurde gewählt, um die Relevanz für alle Formen von Organisationen sei es öffentlich oder privat, kommerziell oder non-profit zu unterstreichen.

Wie ist der neue Standard aufgebaut?

Nach einem einleitenden Teil mit der Darstellung der Gesamtzusammenhänge folgt ein Glossar, in dem die im Standard verwendeten Begriffe definiert sind.

Der Hauptteil besteht aus dem IPOCM Lifecycle mit den Phasen

1. Policy (Program, scope, Policy development, Organizational structure)
2. Planning (Requirements, risk assessment, impact analysis)
3. Implementation and operation (resources, roles, resposibility, training, awareness)
4. Performance assessment (testing, exercises, maintenance, audit)
5. Management review (top management reviews)

In diesen Phasen finden sich – etwas anders gruppiert und benannt – auch die Inhalte des bekannten BCM lifecycles des BS 25999-1 wieder.

Vier Anhänge schließen den Standard ab:

1. Impact Analysis procedure
2. Emergency response management program
3. Continuity Management program
4. Building an incident prepardness and operational continuity culture

Die Anhänge umfassen jeweils eine bis zwei Seiten und sind stichwortartig aufgebaut – quasi in Checklisten-Form.

Der Standard wurde vom technischen ISO-Kommittee TC 223 herausgegeben.

Dieses besteht aus vier Arbeitsgruppen, die an weiteren Arbeitspaketen / Standards der ISO 22300-Serie arbeiten:

• Essential information and data requirements for command and control
• Inter/intra organizational warning procedures
• Principles for command, control, coordination and cooperation in resolving incidents
• Framework for standards
• Vocabulary
• Systems requirements for interoperability.

Nach der Veröffentlichung des Zertifizierungsstandards BS 25999-1 überbrückt uns dieser ISO-Standard die Wartezeit bis zur Veröffentlichung des deutschen Standards für Notfallmanagement vom Bundesamt für Sicherheit in der Informationstechnik (BSI 100-4) im Januar.

Eine besonders tragende Bedeutung wird zukünftig sicherlich das Arbeitspaket “vocabulary” erhalten. Erleben wir jetzt schon Unsicherheit in der Verwendung und Interpretation der BCM (sorry: IPOCM) – Begriffe, wird dies mit jedem neuen Standardund jdem neuen BCM-Glossar eher zu- als abnehmen.

Sicher zukünftig ein Markt für neue Wörterbücher wie

“BCM (BSI dt.) – BCM (ISO)” oder

“BCM (BSI UK) – BCM (BSI dt.)”.

Der Markt wird zeigen welcher Standard sich in welchen Marktsegmenten durchsetzen wird.

Zieht man eine Analogie zu der IT-Welt (Bsp. ISO 20000 und andere), so hat der neue ISO-Standard zumindest gute Chancen.

ISO Announcement