Für Sie gelesen: die neuen ISO-Guidelines für Business Continuity Pläne

Das Technical Committee ISO/TC 292 Security and resilience hat uns mit einer neuen Guideline für das BCM beglückt. Die ISO / TS 22332 trägt den Titel “Guidelines for developing business continuity plans and procedures” und beschreibt auf übersichtlichen 19 Seiten Empfehlungen für die Erstellung von Business Continuity Planungen (BC-Pläne). Der ISO-Standard verwendet daher auch durchgehend den Begriff “should” – und nicht “shall” wie die Norm ISO 22301 – was den Charakter einer Guideline der Norm deutlich macht.

Die Lektüre eines neuen ISO-Standards ist immer spannend, oftmals anstrengend und enttäuschend, manchmal leichtgängig und erfreulich. Diese Guideline gehört glücklicherwiese zur positiven Gattung der ISO-Neuerscheinungen. Nicht nur die Länge ist angemessen, auch sind die Inhalte pragmatisch und ergebnisorientiert dargestellt. Dies kann man leider nicht von jedem Standard behaupten. Die Entwicklung scheint mir aber in letzter Zeit in die richtige Richtung zu gehen – pragmatisch und ergebnisorientiert statt theoretisch, abstrakt und abkürzungsfanatisch.

Nun aber zu den Inhalten unseres Neuankömmlings. Die Guideline ist gegliedert in die Abschnitte Begriffsdefinitionen, Voraussetzungen, Notfallbewältigung (“Response”), Arten von BC-Plänen, Inhalte von BC-Plänen, szenariobasierte BC-Pläne, Hinweise zum Schreiben von BC-Plänen, Qualitätssicherung, Aufbewahrung und Verfügbarkeit von BC-Plänen, Folgeschritte nach der Erstellung von BC-Plänen, sowie Überwachung und Aktualisierung der BC-Pläne.

Im BCM-Lifecycle folgt die Planungs-Phase auf die Phase zur Festlegung der Business Continuity Strategien und – Lösungen. Die BC-Strategien bilden daher die Voraussetzungen, um auf diesen aufbauend konkrete BC-Pläne entwickeln zu können. An die Planungs-Phase schließt die Phase zur Durchführung der Übungen und Tests an, die den Kreis des BCM-Lebenszyklus zur Business Impact Analyse schließt..

Neben den BC Strategien bilden die Identifikation der “interested parties”, die Festlegung von Rollen und Verantwortlichkeiten für die BC-Planung sowie die Bereitstellung der Ressourcen zentrale Voraussetzungen um in die BC-Planungsphase starten zu können. Die Guidance sieht hierbei ein Team zur Erstellung der BC-Pläne vor, das von einer kompetenten und mit entsprechenden Autorität ausgestatteten Person geführt wird. Der BCM Beauftragte ist also explizit nicht der Autor der BC-Pläne, sondern koordiniert und steuert die Erstellung der BC-Pläne, macht Vorgaben und sichert die Qualität und Vollständigkeit.

BC-Pläne und Notfallprozeduren sollen eine schnelle Reaktion ermöglichen und ausreichend flexibel sein, um auf unerwartete Situationen reagieren zu können. Diese Empfehlung könnte zur Schlußfolgerung führen, dass die Guideline dem All-Hazard-Ansatz folgt. Die BC-Pläne sollen hierbei für möglichst viele BCM-Szenarien einsetzbar sein und orientieren sich daher an den Schadenswirkungen und nicht an den Ursachen. Doch wird dies relativiert, indem in einem eigenen Abschnitt “Plans for response to specific disruptions” szenariobasierte BC-Pläne für die beiden Szenarien Pandemie / Epidemie und Cyber-Attacken empfohlen werden. Die Guideline verbindet daher wirkungsbasierte mit szenariobasierten BC-Plänen. Dies ist ein praxisorientierter Ansatz, den ich aus meiner eigenen Erfahrung nur bestätigen kann. Siehe hierzu auch meinen Beitrag in den BCM-News.

Bei der Notfallorganisation folgt die Struktur dem dreigliedrigen Prinzip “strategische Team-Ebene”, “taktische Team-Ebene”, “operative Team-Ebene”, im amerikanischen auch oftmals als “Gold”, Silver”, “Bronze” bezeichnet. Die strategische Ebene besteht aus dem Top Management, das die Strategie vorgibt. Das taktische Team steuert und koordiniert die Notfallbewältigung und das operative Team setzt die Maßnahmen um. In kleineren Organisationen dürfen Ebenen auch zusammengefasst werden. Die Struktur der BC-Pläne folgt dieser dreistufigen Logik indem es strategische, taktische und operative Team-Pläne gibt. Die Inhalte korrespondieren mit der Notfall-Organisation. Strategische Pläne konzentrieren sich auf die Ziele der Wiederherstellung und Monitoring der Schadensfolgen sowie Schutz der Reputation der Organisation. Taktische Team-Pläne sollen übergreifende koordinative Pläne zum Beispiel für den Transport der Mitarbeiter und Bereitstellung von Ressourcen beinhalten währen die operativen Team-Pläne die Geschäftsfortführungs- und Wiederherstellungsprozeduren beinhalten.

Für die Planinhalte sieht die Guideline allgemeine Inhalte und planspezifische Inhalte vor. Zu den allgemeinen Inhalten zählen die Ziele, Voraussetzungen, Notfallteams, Aufgaben, Kommunikation, Kontaktdaten, Ressourcen sowie Kriterien für die Auflösung der Teams. Spezifische Planinhalte beinhalten die Notfallprozeduren für Kommunikation und Geschäftsfortführung sowie Wiederanlauf für die klassischen BCM-Ausfallszenarien.

Organisationen sollen darüber hinaus BC-Pläne für spezifische Szenarien erstellen. Explizit sind die beiden Szenarien “Pandemie / Epidemie” und “Cyber-Attacken” im ISO 22332 beschrieben.

BC-Pläne sollen für Situationen mit hohem Stress-Level und Zeitdruck erstellt werden. Pläne sind keine Handbücher oder Berichte und sollten keine unnötigen Informationen enthalten. Dies ist aus meiner Sicht ein wichtiger Hinweis auf völlig ungeeignete Notfall-Handbücher, die sich in Textwüsten über mehrere hundert Seiten erstrecken und sich im Notfall eigentlich nur zum Unterlegen verwenden lassen.

Die Guidelines schließen mit den Anforderungen an die Qualitätssicherung und laufende Aktualisierung.

Ein BC-Plan ist solange geduldiges gedrucktes Papier bis er im Rahmen von Übungen und Tests auf seine Praxistauglichkeit überprüft ist. Folgerichtig schließen die Guiodelines mit den Anforderungen an Übungen und Tests.

In der Anlage sind ergänzende Hinweise für die BC-Planung enthalten. Hier werden zum Beispiel die Themen Outsourcing, manuelle Workarounds, ICT Change Management, Ausweicharbeitsplätze und Supplier Management mit konkreten Hinweisen und Empfehlungen adressiert.

Aus meiner Sicht ist dies eine gelungene Empfehlung für die Erstellung von BC-Plänen. Die angelsächsische Gliederung in strategische, taktische und operative Ebene mag ungewohnt sein, doch lässt sich diese Struktur sehr gut in gewohntere Begrifflichkeiten und Strukturen transformieren.