In diesem Gastbeitrag stellt Christian Zänker die aktuell veröffentlichte Draft-Version des ISO-Standards 22301 Business Continuity Management vor. Die ausführliche Tiefen-Analyse des Standards durch Christian Zänker zeigt auf, dass der Zertifizierungsstandard eine grundlegende Weiterentwicklung erfahren hat und sich auf das Wesentliche konzentriert.

Nachdem Matthias Hämmerle vor kurzem noch einen Blick zurück und nach vorn auf die Standards Normen und Good Practices zu BCM geworfen hatte, hat nahezu zeitgleich die British Standards Institution reagiert und endlich die lang erwartete ISO/DIS 22301:2019(E) veröffentlicht. Sie ist über den BSI Shop http://shop.bsigroup.com oder den BSI Customer Service erhältlich. Die vorliegende Draft Version dient der öffentlichen Kenntnisnahme und Kommentierung und ist noch nicht gültig. Stellungnahmen können bis zum 26.02.19 eingereicht werden.

Um mein persönliches Fazit vorwegzunehmen, das Warten hat sich gelohnt. Die ISO/DIS 22301 firmiert nicht mehr unter „Societal security“ wie ihre Vorgängerin, sondern heißt nunmehr „Security and resilience – Business continuity management systems – Requirements“. Sie ist sehr viel stärker noch als die Vorgängerin an die ISO/IEC Directives für Managementsystem Standards angeglichen und wohltuend verschlankt worden. Viele der überflüssigen Redundanzen sind ausgeräumt worden, so dass sie heute sehr viel eingängiger und besser lesbar ist. Alle, die mit Managementsystem Standards arbeiten, werden die neue 22301 begrüßen.

Hierdurch setzt sie sich noch stärker von den Umsetzungsleitfäden wie der Guidance ISO22313, den BCI Good Practice Guidelines oder dem BSI Grundschutzstandard 100-4 ab. Der Fokus liegt auf Managementsystem für Business Continuity nach P – D – C – A mit allen notwendigen Anforderungen und nicht auf Anleitung für die Umsetzung der „Operation“ nach BCM Lifecycle.

Dies fällt bereits beim Blick in die cl. 2 Terms and definitions auf. Aus ihr sind sehr viele Begrifflichkeiten herausgenommen worden: MAO, MTPD, MBCO, RPO und RTO finden sich nicht mehr, andere Definitionen sind angepasst oder durch mehr Systemstandard bezogene ersetzt worden. Auch der alte Zirkelschluss auf Definitionsebene wurde aufgelöst. Hieß es früher noch unter 3.1 activity: „process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products and services“ und unter cl. 3.40 process: „set of interrelated or interacting activities which transforms inputs into outputs“ so ist heute cl. 3.1 activity definiert als: „a set of one or more tasks with a defined output“ – was sehr viel mehr Sinn macht und vor allem die alten noch von Heine & Partner im BCM sozialisierten freuen wird, die die task solange vermisst hatten.

Die Grundstruktur der ISO/DIS 22301 folgt strikt dem Annex SL. Die einzelnen Kapitel oder Clauses (cl.) greifen wie gewohnt ineinander cl. 4.1 > cl. 6.1 > cl. 8.1, aber wo früher Girlanden gezogen waren, wie in cl. 4.1 Understanding the organization and its context heißt es heute prägnant auf 2 Zeilen nach Annex SL und mit nur einem ergänzenden Hinweis:

„The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its BCMS.

NOTE These issues will be influenced by the organization’s overall objectives, its products and services and the amount and type of risk that it may or may not take.“

Diese Gradlinigkeit zieht sich durch die gesamte Norm, so dass man immer wieder aufmerken muss, wo denn nun die Ergänzungen sind, wenn beide Standards trotz Straffung auf ihre 24 Seiten kommen. Eines ist die cl. 6.3, die neu hinzugekommen ist und die streng genommen eine Abweichung vom Annex SL darstellt.

„Planning of changes to the BCMS
When the organization determines the need for changes to the BCMS, including those identified in clause 10 improvement, the changes shall be carried out in a planned manner. The organization shall consider:
a)  the purpose of the changes and their potential consequences;
b)  the integrity of the BCMS;
c)  the availability of resources;
d)  the allocation or reallocation of responsibilities and authorities.“

Dies ist aber keine Doppelung der bekannten Anforderung aus cl. 8.1  „… The organization shall control planned changes …“ Cl. 6 Planning beinhaltet nach wie vor die Planung des Managementsystems und seiner Grundlagen nach P – D – C – A. Cl. 8 Operation = Betrieb und cl. 8.1 Operational planning and control bezieht sich auf die betriebliche Steuerung des „Do“, in diesem Fall der Umsetzung des BCM Lifecycle.

Weitere sinnvolle Änderungen und Ergänzungen finden sich in cl. 8.2.2 Business impact analysis, obwohl grade bei der BIA wohl niemand mehr nach so vielen Jahren hier Neuerungen erwartet hätte. Aber alles was man zu der kurz und knapp gehaltenen Anforderung „The organization shall implement and maintain a process for determining business continuity priorities and requirements“ in den 9 Unterpunkten und 3 Notes zu lesen bekommt, ist logisch aufeinander aufgebaut und macht Sinn! Man möchte danach gar nicht mehr in die alte, noch gültige Norm schauen.

Ein Beispiel für sinnvolle Ergänzungen in Form von Notes / Hinweisen findet sich cl. 8.2.3 Risk assessment und cl. 6.1 Actions to address risks and opportunities. Es geht um einen der Klassiker im BCM Rätsel. Was war mit der Anforderung gemeint: „The organization shall plan actions to address risks and opportunities“? Das man sein Geschäft nicht ausbauen kann, neue Chancen ergreifen, ohne dabei auch Risiken einzugehen? Oder, dass ein Erkennen von Risiken und folgerichtige Maßnahmen zur Risikobehandlung/-minimierung immer auch die Chance bietet, das eigene System robuster, widerstandsfähiger und effektiver zu machen – ohne dafür eines eigenen Standards zu bedürfen?

Hierzu heißt es in der NOTE zu 6.1 „risks and opportunities in this subclause relate to the effectiveness of the management system. Risks related to disruption of the business are addressed in 8.2“ Dort findet sich ebenfalls ein entsprechender Hinweis.

Weitere sinnvolle Neuerungen finden sich unter cl. 8.3 neu Business continuity strategies and solutions, denn eine Strategie sollte sich aus einer oder mehreren Lösungen zusammensetzen. Diese sollten nach vorgegebenen Gesichtspunkten identifiziert und ausgewählt (cl. 8.3.2) werden. In diesem Punkt geht die frühere cl. 8.3.3 Protection and mitigation jetzt auf. Cl. 8.3.3 bezieht sich jetzt auf die Ressource requirements und wird ergänzt durch die neue Anforderung cl. 8.3.4 Implementation of solutions „The organization shall implement selected business continuity solutions so they can be activated when needed.“

Auch cl. 8.4 neu Business continuity plans and procedures ist schnittiger geworden. So heißt es heute kurz und unverschwurbelt in cl. 8.4.4: „The business continuity plans shall provide guidance and information that will assist the teams to respond to a disruption and assist the organization with response and recovery.“

Die größten Einschnitte hat der Standard beim Top Management gemacht. War mit Veröffentlichung des 22301 im Jahr 2012 die sprunghafte Steigerung der an die Unternehmensführung adressierten Anforderungen aufgefallen, so werden sie in der Neuauflage des Standards ebenso merklich zurückgefahren.

Abgesehen von cl. 3 Terms and definitions wird das Top Management nur noch in cl. 5.1 Leadership and commitment, cl. 5.2.1 Top management shall establish a business continuity policy und cl. 5.3 Organizational roles, responsibilities and authorities sowie schließlich einmal in c. 9.3 Management review in die Verantwortung genommen.

Ein weiterer Aspekt, der bei der Durchsicht der aktualisierten ISO/DIS 22301 auffällt, ist die Betonung von Prozessen. Musste man in der alten ISO 22301:2012 zurück in die Einleitung gehen, um dort zufällig auf die 6 Managementprozesse zu stoßen, die Kernbestandteil des BCMS wie jedes anderen Managementsystems sind, und 4 weitere Prozesse für BIA, Risk Assessment, für „Response activating“ und für „Standing down“, die explizit gefordert wurden, ausfindig machen – abgesehen von allgemeinen Anforderungen, „that outsourced processes are controlled“ –  vervielfachen sich die Referenzen auf geforderte Prozesse in der neuen Fassung der 22301.

Was darüber hinaus auffällt, ist dass der Zusatz „dokumentiert“ mit zwei Ausnahmen nicht mehr gefordert ist. Diesem Aspekt werde ich noch einmal gezielt nachgehen, denn hier kommt vielleicht eine ganz neue Herausforderung für Auditoren auf, wenn einerseits die Anzahl der im BCMS geforderten Prozesse sich vervielfacht, aber nicht – auf den ersten Blick – eindeutig ist, ob diese als documented information gelenkt und im Zugriff sein müssen. Aber dies erfordert einen zeitaufwendigen, systematischen zweiten Angang an diesen, ich kann es nur noch einmal betonen, lohnenswerten neuen Standard für ein BCMS.

Christian Zänker, 19.01.2019

 

Christian Zänker, bcm partner, ist Berater für BCMS und freiberuflicher Trainer der BSI Group Deutschland in Frankfurt für ISO 22301, ISO 9001 und ISO 27001