Ein Gastbeitrag von Dr. Christian Zänker (www.bcmpartner.de)

Wie Matthias Hämmerle am 14. Mai in BCM News meldete, hat das Technische Kommittee der Internationalen Organisation für Standardisierung (ISO) nach der Kommentierungsrunde für den aktuellen Draft ISO/DIS 22301 gestimmt.  Es wird somit damit gerechnet, dass im Verlauf des Sommers der Final Draft erscheint. Der endgültige neue ISO Standard sollte Anfang 2012 auf den Markt kommen.

Zumindest in seinem Aufbau hat der neue BCM Standard viel Neues zu bieten. ISO 22301 hat nämlich die neue Konvention für Requirements Standards (Zertifizierungsstandards) bereits umgesetzt, wie sie in der neuen „Joint Vision“ for Management System Standards durch das ISO verbindlich festgelegt wurde.

So gliedert sich auch der neue ISO 22301 Societal Security – Business Continuity Management Systems – Requirements analog der neuen Konvention.

1. 1. Context of the Organization
2. 2. Leadership and Planning
3. 3. Support
4. 4. Operations
5. 5. Performance Evaluation
6. 6. Improvement

Im vorliegenden Draft wird Kapitel 1 Context of the Organization noch in vier Kapitel aufgebrochen:

1. 1. Scope
2. 2. Normative References
3. 3. Terms and Definitions
4. 4. General Requirements

Somit ergibt sich vom Zugriff ein völlig geänderter Standard. Nach einer ersten Irritation, die auch in der BCM Community herrschte, zeigt sich allerdings, dass der neue Standard natürlich auf dem alten BS25999-2 aufbaut aber  diesen erheblich verbessert.

Selbstverständlich findet auch auf den neuen BCMS der bewährte PDCA Zyklus Anwendung.

Es ist einer der detailliertesten und härtesten Standards, die ich bisher gelesen habe und stellt im Vergleich zum guten alten BS 25999 inhaltlich einen qualitativen Sprung dar.

Wurde bislang unter Understanding the Organization in erster Linie die Durchführung der Business Impact Analyse und des Risk Assessments gesehen, wird In Kapitel  4 General Requirements unter 4.1 explizit eine Kenntnis der Organisation und des Umfeldes, in dem sie operiert gefordert. Allen externen und internen Einflussfaktoren, die für die Zielerreichung der Organisation relevant sind, muss bei der Umsetzung des BCMS Rechnung getragen werden. Die BIA und das Risk Assessment finden sich im neuen Standard im Oberkapitel 8 Operations unter 8.4.3 wieder.

Noch nie wurde die oberste Managementebene explizit so stark in die Verantwortung genommen wie in Kapitel 5 Leadership des kommenden ISO 22301. Wurde bislang die Geschäftsleitung dazu verpflichtet, ihre Zustimmung zur BCM Policy unter Beweis zu stellen und die Steuerungs- sowie die Umsetzungsverantwortung zuzuweisen, ist die Anforderung an das Top Management jetzt in vier Unterkapiteln definiert. Auch die Aufgabe, sicher zu stellen, dass für alle relevanten Funktionen und Ebenen Unternehmensziele definiert werden, wird in Kapitel 6 bei der Geschäftsleitung verortet.

Das Management Review wird im neuen Standard unter 9.3 explizit dem Vorstand in Verantwortung gegeben: „Top Management shall review the organization’s BCMS, at planned intervals, to ensure its continuing suitability, adequacy and effectiveness.“

Unter Support werden in Kapitel 7 die zur Umsetzung des BCMS benötigten Mitarbeiterkompetenzen und die allgemeine Mitarbeiter Awareness angesprochen. Die Kommunikation und die Dokumentenlenkung erhält eine herausragende Rolle mit ganz präzisen Anforderungen.

Was schließlich das Business Continuity Management angeht, lässt Kapitel 8 Operation nun wirklich nicht zu wünschen übrig. Um Missverständnissen vorzubeugen, dieses Kapitel ist genauso lang wie alle anderen Kapitel des Standards zusammen und umfasst allein 25 Unterkapitel. In Operations werden die einzelnen Phasen und Schritte der BCM Umsetzung mit Anforderungen unterlegt. Was dabei auf der Strecke bleibt, ist nach vorliegendem Stand der alt vertraute BCM Life Cycle.  Diesen Verlust kann man allerdings verschmerzen. Vielleicht bleibt er ja im Code of Practice erhalten, wo er als Illustration der ineinandergreifenden Umsetzungsphasen durchaus Sinn macht.

Mit dem Life Cycle ist auch der äußere Ring „Embedding in the Organization’s Culture“ wieder entfallen. Das Verständnis der Organisation und ihres Umfeldes steht heute am Anfang s.o. Das was früher als Programmmanagement in die Mitte des Cycles gestellt war, findet sich heute unter 8 Operation, 8.3. Preparation wieder.

Alles in allem vermag ich im Gegensatz zu anderen BCM Experten im kommenden ISO 22301, in der Form, wie er mir aus der Veröffentlichung zur Kommentierung auf den Seiten des BSi vorliegt, keine Abstriche gegenüber dem BS 25999 erkennen. Im Gegenteil. Er ist um vieles präziser geworden, was eine Zertifizierung nach ISO 22301 sicher vor der Hand schwieriger machen wird. Seiner Akzeptanz und damit der Reputation des BCM dürfte dies hingegen zuträglich sein.