(ein Gastbeitrag von Christian Zänker)

Wer die Entwicklung des Business Continuity Management in den letzten sechs Jahren mitverfolgt hat, weiß: Es hat sich viel getan. Das zeigt auch der Vergleich des nunmehr zur Kommentierung veröffentlichten ISO/DIS 22313 BCMS Guidance  mit dem BS 25999-1 BCM Part 1: Code of Practise.

Galt bis dato der British Standard zu BCM als das Maß aller Dinge, muss man nach der Lektüre des ISO Standard eine neue Zeitrechnung beginnen. Die BCMS Guidance bietet dem Praktiker wirklich eine Anleitung zur Einführung und Umsetzung eines BCM Management Systems, die auf dem Stand der Dinge ist und die konzeptionellen und inhaltlichen Entwicklungen und Verbesserungen der letzten Jahre aufgenommen hat. Es stellt die adäquate Ergänzung zum ISO/DIS 22301 BCMS Requirements dar.

Welche Veränderungen sich vollzogen haben, zeigt sich schon in Kapitel 3 „Terms and definitions“ in aller Deutlichkeit. Die Anzahl der Begriffe hat sich von 33 auf 52 (53) erhöht, viele wurden umdefiniert, andere entfielen und neue wurden aufgenommen wie die MBCO, „minimum business continuity objective“, zur Kennzeichnung des akzeptablen Mindestniveaus, auf dem die Leistungserbringung nach einem Incident aufrechterhalten bleiben soll.

Wie schon ISO/DIS 22301 ist ISO/DIS 22313 nach den neuen ISO/IEC Vorgaben für Management Standards aufgebaut, wobei der ehemalige BCM Lifecycle in Kapitel 8 „Operations“ sich neu als „Business continuity programme elements“ wiederfindet.

Nunmehr umfasst das Business Continuity Programm Management als Kern die Kapitel

4. Context of the organization

5. Leadership

6. Planning

7. Support

8.1 Operational planning and controll

9. Performance evaluation

10. Improvement

Der äußere Ring heißt heute „Embedding competence and awareness“ und findet sich unter Support in den Paragraphen 7.2 und 7.3 wieder.

Der eigentliche Lebenszyklus wird wie schon in den Requirements in Kapitel 8 „Operations“ abgehandelt. In ihm wird aber nach „Understanding the organization“ Schritt 2 zu „Selecting business continuity options“ anstatt „Determining BCM strategy“. Nach Schritt 3 „Developing and implementing BCM response“ folgt in Schritt 4 nur noch „Exercising and testing“. Die Maintenance fällt als „change management and succession management“ unter 8.1 „operational planning and controll“ und damit ins Programmmanagement.

Das Lesen des Standards erleichtert einem jedoch spürbar den Zugriff auf die neue inhaltliche Struktur, die doch so anders ist als beim vertrauten BS 25999-1. Es passt alles ohne Bruchstellen zusammen und greift ineinander. Ein weiterer Vorteil sind die Referenzen auf andere ISO Normen, die die isolierte Darstellung aus den alt hergebrachten Standards durchbrechen und dadurch implizit offenlegen, wo die Ansätze zu einer Integration der Management Systeme liegen können.

Hier hat ISO/DIS 22313 wertvolle Arbeit geleistet. So stellt er für den Scope des BCM die Anforderung, zu identifizieren, wie das BCMS sich in die übergreifende Risikomanagement Strategie einpasst (4.3.2 c). Bei der alten Frage, was zuerst kommt: die BIA oder das Risk Assessment, verweist er aber zum Glück auf die Unterschiedlichkeit der Methoden. Viele Wege führen nach Rom. Die Durchführung des Risk Assessments wird heute aber unter Hinweis und Befolgung des ISO 31000 und ISO 31010 dargestellt.

Bei „Understanding the organization“ zeigen sich implizit Annäherungen an den ISO/IEC 27001 Information Security. Die Organisation wird über ihr Ziel/Zweck, die Produkte und Leistungen und die sie tragenden Prozesse, die Abhängigkeiten und unterstützenden Prozesse auf die „Assets and ressources“ runtergebrochen. Hier sind wir sehr nahe am ISO/IEC 27005 Information Security Risk Management.

Explizit auf den ISO/IEC 27001 bezieht sich der 22313 in Paragraph 8.3.2.3 „Information and data“ und fordert nunmehr auch die Einhaltung der Systemziele Vertraulichkeit, Verfügbarkeit, Integrität und Aktualität aller benötigter Informationen.

In 8.3.2.6 „Information and communication (ICT) systems“ referenziert er auf den ISO/IEC 27031 ICT readiness for business continuity, den ISO/IEC 27001 und ISO/IEC 20000 IT Service Management.

Der Kommunikation und Dokumentation wird in der Guidance wie schon in den Requirements ein breiter Raum gegeben. Unter Paragraph 7.5.1 finden jetzt sogar auch alle die, die im ISO 22301 die schöne alte Liste der geforderten Dokumentationen 3.4.1.1 aus dem BS 25999-2 so schmerzlich vermissten, einen angemessenen Ersatz in Form der empfohlenen Dokumentation und dem Hinweis auf dokumentierte Informationen zu BCMS – allerdings nicht mehr als zwingende Anforderung wie früher „shall have…“.

Einen breiten Raum nimmt im neuen Standard die Implementierung ein, hier beschrieben unter 8.4 „Establish and implement business continuity procedures“. Diese Verfahrensweisen werden ausführlich behandelt und geben zusätzlich nützliche Hinweise darauf, was wo in welcher Ausführlichkeit beschrieben und dokumentiert werden sollte, ohne damit den Praktiker zu erschlagen. Er findet allerdings jede Menge Stoff zum nachdenken und macht diese Anleitung zu einer Schürfstelle – allerdings auch für Auditoren, weshalb sich in diesem Standard auch Hinweise auf ein Vorgehen nach ISO 19011 für Interne Audits finden.

Der Hinweis, dass Prüfer nach den Requirements des ISO 22301 vorgehen werden, wird dabei kaum trösten, denn auch dort sind, wie schon früher beschrieben, die Anforderungen weiter verschärft worden. Aber wer will sich schon heute zertifizieren lassen? Auf der Agenda der BCM Praktiker steht es noch nicht.

Eine Facette des BCMS ist allerdings auch in dieser Guidance noch zu kurz gekommen. Auf die Bedeutung der supply chain wird zwar beinahe zehn mal hingewiesen, aber hier ist das BCM noch in der Annäherung an die Problematik begriffen und es gibt erst eine wachsende Awarenes, aber noch keine best practise – und somit genügend Platz für unseren freundlichen Herausgeber, sich des Themas anzunehmen.

Vielen Dank für diesen Gastbeitrag an

Christian Zänker

http://www.bcmpartner.de

Sie haben auch Interesse an der Veröffentlichung eines Gastbeitrags in den BCM-News? Sehr gerne.

Bitte kontaktieren Sie die BCM-News unter admin@bcm-news.de.