Berücksichtigung der Versorgungen mit Gas und Strom im BCM

Viele Unternehmen beschäftigen sich derzeit intensiv mit den Situationen einer Unterbrechung der Gas- und Stromversorgung angesichts der aktuell kritischen Versorgungslage insbesondere bei Gas.

Grundlage jeder Vorsorgemaßnahme für einen Versorgungsausfall ist die Kenntniss wo, wofür und welche Menge an Gas, Fernwärme, Strom, Internet und Telekommunikation und andere Versorgungsleistungen benötigt wird. In der Industrie kommen noch zusätzlich technische Versorgungen mit Druckluft, Vakuum, Prozessrohstoffen etc. hinzu.

Die Business Impact Analyse ist ein hervorragendes Instrument, um die Anforderungen an diese Versorgungen zu identifizieren. In meinen BIA-Fragebogen berücksichtige ich diese Versorgungen schon immer. Zentrale Versorgungen für die Gebäude werden in der Regel über den Prozess des Facility Managements abgebildet.

Neben den Anforderungen an die Ressourcen Personal, IT, Gebäude, Technik und Dienstleister werden in der BIA auch die Anforderungen an die Versorgungen für den betrachteten Geschäftsprozess strukturiert erhoben:

Grafik: Beipiel für die Erhebung der Anforderungen an die Versorgungen in der BIA

In den Notfallkonzepten wird nachfolgend je Geschäftsprozess für alle identifizierten kritischen Versorgungen die jeweilige Notfallstrategie festgelegt und strukturiert beschrieben:

Grafik: Beispiele Notfallkonzepte Versorgungen

Die Analyse der Anforderungen an die unterschiedlichen Versorgungen zusammen mit den Notfallkonzepten für die kritischen Geschäftsprozesse des BCM bilden eine sehr gute Grundlage für die Vorbereitung auf Mangellagen und Ausfälle und sorgen für Transparenz im Management über das aktuelle Risiko.

Tickets für die 4. Fachkonferenz des IBCRM e.V. zu gewinnen

Am 22. und 23. Juni 2022 findet die bereits vierte Fachkonferenz des Institut für Business Continuity und Resilience Management e.V. IBCRM statt – dieses Mal in unserer Hauptstadt Berlin.

Die Teilnehmer erwarten spannende Vorträge von Praktikern zu den Themenbereichen Business Continuity Management, Krisenmanagement und Resilience. GRC-Tools kämpfen zudem live im Ring um die Gunst der Teilnehmer in einem Tool-Battle.

Wäre es nicht super, kostenfrei an dieser tollen Veranstaltung teilnehmen zu können? Die Leser der bcm-news haben diese tolle Chance und könnten den gesparten Eintrittspreis dann gleich im Nachtleben Berlins auf den Kopf hauen.

Und das geht auch noch ganz einfach und ohne eine gemeine Abo-Falle durch die Hintertüre: einfach bei der Anmeldung zur Veranstaltung auf der Webseite des IBCRM den PromoCode “BCMNEWS” angeben. Unter allen Anmeldungen mit diesem PromoCode werden drei Teilnehmer ausgelost, die ihr Ticket nach der Konferenz erstattet bekommen.

Satte 15 Prozent Rabatt auf das Einsteigerticket können sich alle Teilnehmer mit dem gleichen PromoCode “BCMNEWS” ohnehin sichern. Ist das nicht ein schwäbisches Angebot?

Die Konferenz findet am 22. und 23. Juni im Courtyard Berlin City Center, Axel-Springer-Str. 55 in Berlin statt.

Ich freue mich, euch persönlich in Berlin auf eine Plausch zwischen den Vorträgen zu treffen und wünsche viel Glück bei der Verlosung der kostenfreien Tickets.

Anforderungen des ISO 27002:2022 an das Business Continuity Management

Im Februar 2022 ist die dritte Version des ISO 27002 “Information security, cybersecurity and privacy protection — Information security controls” erschienen. Diese aktualisierte Version ersetzt die Vorgängerversion aus dem Jahr 2013. ISO 27002 ist die Guidance zur Umsetzung der Anforderungen aus dem ISO 27001 und damit selbst kein Zertifizierungsstandard. Die Zertifizierung erfolgt auf Basis des ISO 27001. Die Anforderungen im ISO 27002 sind daher auch als Soll-Anforderungen beschrieben. In der neuen Version hat sich der Titel geändert (alter Titel: “Information technology — Security techniques — Code of practice for information security controls”), die Struktur der Controls wurde geändert, indem zum Beispiel den einzelnen Controls Attribute zugeordnet wurden und Controls wurden zusammengelegt, die Beschreibungen aktualisiert und Controls gelöscht.

Diese Änderungen werden in die Aktualisierung des ISO 27001 Eingang finden und für zukünftige Zertifizierungen nach ISO 27001 verpflichtend werden.

Hier soll ausschließlich auf die Änderungen der Anforderungen des Standards an das Business Continuity Management (BCM) eingegangen werden. Im ISO 27001:2013 sind die Anforderungen an das BCM in Annex A.17 “Informationssicherheitsaspekte beim Business Continuity Management” enthalten: Die Organisation hat die Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Umständen (Bsp. Krisen und Katastrophen) zu bestimmen, Maßnahmen zur Aufrechterhaltung der Informationssicherheit umzusetzen und diese zu überprüfen und bewerten.

Diese Anforderungen sind leider unpräzise und auslegungsbedürftig formuliert. Dies führt dazu, dass Auditoren in Zertifizierungsaudits für die Informationssicherheit zu ganz unterschiedlichen Interpretationen der konkreten Anforderungen an das BCM kommen, die für die Zertifizierung zu erfüllen sind.

Der aktualisierte ISO-Standard 27002:2022 hat diese Unschärfe nun behoben und beschreibt die Anforderungen in Kapitel 5 “Organizational controls” in den beiden Controls 5.29 “Information security during disruption” und 5.30 ICT readiness for business continuity”. Im nächsten Update des ISO 27001 werden diese Anforderungen voraussichtlich enthalten sein.

Das erste Control greift die Anforderungen an die Sicherstellung der Informationssicherheit in einem angemessenen Umfang bei Geschäftsunterbrechungen aus dem ISO 27001:2013 auf. Bei einer Geschäftsunterbrechung sollen die Anforderungen an die Sicherheitsziele der Informationssicherheit auf Basis der Erkenntnisse aus der Business Impact Analyse und dem Risk Assessment angemessen berücksichtigt werden.

Das Control 5.30 “ICT readiness for business continuity” definiert die Anforderungen an das Business Continuity Management für die Informationsssicherheit wesentlich konkreter. Das Control beinhaltet die Anforderungen an die Verfügbarkeit der ICT auf Basis der Ergebnisse der Business Impact Analyse (BIA). Die BIA soll eine Schadensfolgeabschätzung über Zeitintervalle für Impact-Kategorien beinhalten um die Priorität von Prozessen zu bestimmen (RTO). Zudem können Anforderungen an die Performance, Kapazität und Daten (RPO) von ICT-Ressourcen definiert werden. Die BIA soll zudem die Anforderungen an die Ressourcen kritischer Geschäftsprozesse identifizieren. Zu diesen Ressourcen zählen auch ICT-Ressourcen. Auf Basis der Ergebnisse der BIA sollen für die ICT-Ressourcen Notfallstrategien mit Notfalloptionen vor während und nach Unterbrechungen definiert werden. Auf Basis dieser Strategien sollen Notfallpläne entwickelt, implementiert und getestet werden.

Die Organisation soll

  • eine adäquate Organisatiuonsstruktur zur Bewältigung von Geschäftsuntebrechungen implementieren,
  • über ICT-Notfallpläne verfügen, die regelmäßig getestet werden und vom Management abgenommen wurden,
  • über ICT-Pläne verfügen, die Performance- und Kapazitätsspezifikationen zur Einhaltung der Anforderungen aus der BIA sowie RTOs und RPOs beinhalten.

Die Beschreibungen der Anforderungen im ISO 27001:2022 an das Business Continuity Management sind insbesondere im Control 5.30 wesentlich detaillierter beschrieben als im aktuellen ISO 27001. Es ist zwar kein vollumfängliches Business Continuity Management System nach ISO 22301 gefordert, doch eine Business Impact Analyse als Grundlage für ICT-Notfallplanungen wird bei der Übernahme der Controls in den aktualisierten ISO 27001 dann zur zwingenden Voraussetzung für eine Zertifizierung.

Supply Chain Resilience Management – Vorsorge für den Bruch der Lieferketten (Teil 2)

Im zweiten Teil des Beitrags zu Supply Chain Resilience auf 3GRC gehe ich auf die Optionen zur Stärkung der Resilienz der Supply Chain ein.

Transparenz der Lieferketten, Redundanz, Flexibilität und enge Kommunikation mit den Lieferanten und Dienstleistersn sind die kritischen Erfolgsfaktoren für eine Stärkung der Widerstandskraft der physischen und digitalen Lieferketten.

Die Business Impact Analyse des Business Continuity Management und das IT Service Continuity Managemnet bilden einen guten Ausgangspunkt zur risikoorientierten Identifikation der kritischen Dienstleister und Lieferanten für die physischen Güter und digitalen Daten.

Die Lieferketten sind oftmals hochkomplexe weltweit verknüpfte Ketten aus vielen eng zusammenhängenden Elementen. Das risikoorientierte Management dieser Lieferketten ist zu einem strategischen Erfolgsfaktor geworden, wie die aktuelle Halbleiter-Krise deutlich aufzeigt.

BCM-News Daily Digest

  • Stromausfall: Zehntausende Haushalte in Berlin ohne Heizung und Warmwasser | heise online
    Tausende Menschen im Berliner Osten haben am Sonntagabend über Stunden ohne Heizung und ohne warmes Wasser auskommen müssen – bei Außentemperaturen von etwa drei Grad Celsius. Ein kurzer StromausfTausende Menschen im Berliner Osten haben am Sonntagabend über Stunden ohne Heizung und ohne warmes Wasser auskommen müssen – bei Außentemperaturen von etwa drei Grad Celsius. Ein kurzer Stromausfall beim landeseigenen Stromnetzbetreiber Stromnetz Berlin hatte am Nachmittag auch das Heizkraftwerk Klinge…

Ich wünsche Ihnen ein frohes Fest und einen guten Start ins neue Jahr!

haemmerle-consulting wünscht ein FFP2-freies neues Jahr mit ganz vielen persönlichen Kontakten!

Mein Grafiker Leander-Aurel Taubner von LAT-Design und ich haben auch dieses Jahr wieder unser Bestes gegeben, um eine originelle Weihnachtskarte zu designen und drucken zu lassen. Haben Sie so viel Freude daran, wie wir während der Designphase. Mittlerweile sind dies bereits Sammlerstücke bei meinen Kunden!

Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.