Standards

Standards sind im Gegensatz zu Normen nicht an ein Regelwerk oder den Konsens aller interessierten Kreise gebunden. Standards sind oftmals die Grundlage für die Entwicklung von Normen.

Störfall

Immer wieder begegnet mir in Unternehmen die Bezeichnung “Störfall” für Störungen oder Notfälle. In nahezu allen Fällen bin ich nicht glücklich über diese Begriffswahl. Denn der Begriff “Störfall” ist eigentlich durch die Störfallverordnung (Zwölfte Verordnung zur Durchführung des Bundes-Immissionsschutzgesetzes (StörfallVerordnung – 12. BImSchV) geregelt. Betroffen von der Störfallverordnung sind Unternehmen, die gefährliche Stoffe im Betriebsbereich in definierten Mengen lagern. Die Mengen sind in Anhang I der Störfallverordnung definiert. Unternehmen, die dieser Verordnung unterliegen, haben besondere Pflichten hinsichtlich Sicherheitsmaßnahmen, Alarm- und Gefahrenabwehrplänen sowie Informations- und Mitteilungspflichten. Im Kontakt mit Behörden und Organisationen mit Sicherheitsaufgaben (BOS) kann dies zu Mißverständissen führen. Daher sollte der Begriff “Störfall” nur bei entsprechenden Unternehmen Anwendung finden. In den anderen Unternehmen und Organisationen sollte von “Störung” oder “Notfall” gesprochen werden.

Strategische BIA

Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).

Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.

Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.

Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:

  • Personen, Skills, Rollen
  • Gebäude
  • Ausrüstung
  • Dokumente
  • Finanzierung
  • IKT
  • Dienstleister
  • Andere Prozesse
  • Spezielle Anforderungen

Taktische BIA

Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) wie auch der ISO Standard für die BIA ISO 22317:215 unterscheiden zwischen strategischer, taktischer und operativer Business Impact Analyse (BIA).

Im Rahmen der strategischen BIA erfolgt die Priorisierung der Produkte und Prozesse durch das Top Management unter Berücksichtigung der betriebswirtschaftlichen Anforderungen des Unternehmens sowie der Anforderungen der interested parties. Für die Produkte und Prozesse wird die maximal tolerierbare Ausfallzeit festgelegt.

Im Rahmen der taktischen BIA werden die kritischen Prozesse identifiziert, deren Prozessabhängigkeiten, erforderliche Aktivitäten und Wiederanlaufanforderungen.

Im Rahmen der operativen BIA werden die erforderlichen Ressourcen für jede Aktivität erhoben:

  • Personen, Skills, Rollen
  • Gebäude
  • Ausrüstung
  • Dokumente
  • Finanzierung
  • IKT
  • Dienstleister
  • Andere Prozesse
  • Spezielle Anforderungen

TankNotStrom

Projekt, das sich von 01.06.2009 bis 31.07.2012 mit der Versorgung von Kraftstoff bei einem großflächigen langandauernden Stromausfall (Blackout) beschäftigt hat.

Hintergrund: nur sehr wenige Tankstellen in Deutschland sind mit Notstromaggregaten oder Anschlüssen für die Stromeinspeisung ausgestattet. Netzersatzanlagen und Fahrzeuge der BOS sind jedoch auf die Versorgung mit Treibstoff angewiesen.

Link zu den Projektergebnissen

 

Wiederanlauf

Wiederanlauf beschreibt die Phase vom Notbetrieb eines Geschäftsprozesses bis zur vollständigen Funktionsfähigkeit (Normalbetrieb). Nach Herstellung der vollen Funktionsfähigkeit von Geschäftsprozessen sind in der Regel Nacharbeiten aus dem Notbetrieb erforderlich, bis der vollständige Normalbetrieb wiederhergestellt ist.
Bei technischen Komponenten (IT, Gebäude etc.) spricht man von Wiederherstellung.

Wiederherstellungsanforderungen

Anforderungen an Geschäftsprozesse und deren Ressourcen, um den Notbetrieb und die Wiederherstellung der Geschäftsprozesse nach einem Ausfall oder einer Unterbrechung im geforderten Maß sicherstellen zu können. Die Wiederherstellungsanforderungen betreffen zeitliche (RTO) und quantitative Verfügbarkeit von Prozessen und Ressourcen (MBCO).

Zertifizierung

Das Business Continuity Management System BCMS kann nach ISO 22301:2012 durch eine Zertifizierungsorganisation (Bsp. BSI, TÜV, DQS) im Rahmen eines Audits zertifiziert werden. Das nach erfolgreichem Audit erteilte Zertifikat hat eine Gültigkeit von ist drei Jahren. Durch jährliche Überwachungsaudits wird die Einhaltung der Norm überprüft.

Durch eine Zertifizierung des BCMS nach ISO 22310:2013 kann Kunden und Geschäftspartnern ein funktionsfähiges Business Continuity Management System nachgewiesen werden.

Bei der Einsichtnahme in das Zertifikat eines Dienstleisters ist neben der zeitlichen Gültigkeit insbesondere auf den Scope der Zertifizierung zu achten. Der Scope kann die Zertifizierung auf Standorte oder Geschäftsbereiche beschränken.

Die Zertifizierung trifft keine Aussage darüber, ob und in welchem Umfang die individuell benötigten Produkte, Services und Dienstleistungen durch das zertifizierte Unternehmen mit Notfallvorsorgemaßnahmen abgesichert sind und diese Notfallvorsorge des Ansprüchen des Kunden genügt.

Bei wesentlichen / kritischen Dienstleistern sind daher in regelmäßigen Abständen Dienstleister-Audits durchzuführen, die Notfallkonzepte aufeinander abzustimmen und gemeinsame Tests und Übungen durchzuführen.