Berichtigung zum BCM Standard BS 25999 veröffentlicht

Auf continuitycentral wurde eine Berichtigung (“corrigendum for BS 25999”) zum BCM Standard BS 25999 veröffentlicht. Diese Berichtigung betrifft die Definitionen der Begriffe MTPoD (Maximum Tolerable Period of Disruption) und RTO (Recovery Time Objective). Die Berichtigungen wurden am 9. Juni durch das BSI BCM/1 Standard-Entwicklungs-Kommittee genehmigt.

Die ursprüngliche Definition für den MTPoD im BS 25999-2 lautet im Punkt 2.27:

  • in der englischen Fassung des BS 25999-2:
    Maximum tolerable period of disruption:
    “duration after which an organization´s viability will be irrevocably threatened if product and service delivery cannot be resumed”.
  • in der deutschen Fassung des BS 25999-2:
    Maximal tolerierbarer Störungszeitraum:
    “Zeitraum, nach dessen Ablauf die Lebensfähigkeit einer Organisation unwiderruflich bedroht ist, falls die Bereitstellung von Produkten und Dienstleistungen nicht wiederaufgenommen werden kann.”

Die unscharfe und in den Standards nicht konsistente Definition des  MTPoD hat für Verwirrung gesorgt. Daher wurde jetzt durch Malcolm Cornish (FBCI, BSI BCM/1 committee member) diese Berichtigung zum Standard veröffentlicht. Vermutlich erfolgte dies auch auch im Hinblick auf die aktuellen Arbeiten am neuen ISO-Standard für BCM im Rahmen der ISO 22300-Familie durch das Technical Committee TC 223, basierend auf den beiden Standards ISO/PAS 22399 und BS 25999.

BS 25999 sieht vier Ebenen für das Business Continuity Management einer Organisation vor:

  • die Organisation selbst
  • Produkte und Services der Organisation
  • Aktivitäten / Prozesse
  • Ressourcen und Assets.

Die saubere Trennung in diese vier Ebenen und die Definition der Abhängigkeiten zwischen diesen vier Ebenen ist grundlegende Voraussetzung für die Umsetzung des Konzepts des MTPoD:

  • Eine Organisation / ein Unternehmen liefert den Kunden Produkte und/oder Dienstleistungen. 
  • Die Erstellung dieser Produkte und/oder Dienstleistungen erfolgt durch Prozesse.
  • Diese Prozesse wiederum benötigen Ressourcen zu ihrer Durchführung (Vermögenswerte, Mitarbeiter, Fähigkeiten, Informationen, Technologie, Infrastruktur wie Gebäude und Arbeitsplätze sowie Lieferanten und Versorger).

BS 25999-2 fordert eine Business Impact Analyse (BIA), in der die Auswirkungen einer beliebigen Störung der Prozesse zur Unterstützung der wichtigsten Produkte und Dienstleistungen (“key products and services”) der Organisation bestimmt werden. 

Ergebnis der BIA ist die Identifikation und Festlegung der Prozesse, die zur Unterstützung der Kern-Produkte und – Dienstleistungen erforderlich sind (kritische Prozesse). Für diese Prozesse sind die erforderlichen Ressourcen zu identifizieren. 

Der MTPoD (maximal tolerierbare Störungszeit) ist auf der Produkt- und Dienstleistungs-Ebene für jedes Kern-Produkt und jede Kern-Dienstleistung festzulegen. Die Festlegungen zu den MTPoDs sind durch die Geschäftsführung zu genehmigen.

Erläuterung des MTPoD für Produkte und Dienstleistungen gemäß der Berichtigung:

  • MTPoD für Produkte und Services:
    “The maximum tolerable period of disruption for a product or service represents how long it would take for an organization to become unviable because of the adverse impacts that would arise as a result of not providing that product or service.”
    Note: an MTPoD should be estimated for each key product or service and agreed by top management.

Auf der Prozess-Ebene ist der MTPoD für jeden Prozess festzulegen, der für die Erstellung der Kern-Produkte und Kern-Dienstleistungen erforderlich ist.

Erläuterung des MTPoD für Prozesse:

  • MTPoD für Aktivitäten / Prozesse:
    the maximum tolerable period of disruption for an activity represents how long it would take for an organization to become unviable because of adverse impacts that would arise as a result of not performing that activity.
    Note: an MTPoD is required for each activity that supports the delivery of the organization´s key product and services and should be determined based on the impact over time of disrupting that activity.

Nach erfolgter Festlegung des MTPoD auf Prozess-Ebene wird für jeden dieser kritischen Prozesse

  • die maximale Zeit festgelegt, in der der Prozess nach dem Beginn der Störung wiederaufgenommen werden muß
  • Der Minimum-Level der Aktivität / des Prozesses für den Wiederanlauf (Notbetrieb)
  • Der Zeitraum, bis zu dem die Aktivität / der Prozess wieder im Normalbetrieb laufen muß

Die neuen Definitionen für MTPoD und RTO in der englischen Originalfassung:

  • maximum tolerable period of disruption
    (BS 25999-2: 2.27; BS 25999-1: 2.23):
    “duration after which an organization´s viability will be irrevocably threatened because of the adverse impacts that would arise as a result of not providing a product/service or performing an activity”
  • recovery time objective
    (BS 25999-2: 2.32; BS 25999-1: 2.26):
    target time set for:
    – resumption of product or service delivery after an incident, or
    – resumption of performance of an activity after an incident, or
    – resource recovery after an incident