Zwei ISO-Standards fĂŒr das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

ISO-Standards fĂŒr Business Continuity Management frei erhĂ€ltlich

Als Reaktion auf die Coronavirus-Pandemie hat die ISO zahlreiche ISO-Standards vorübergehend zum kostenfreien Download verfügbar gemacht.

Hierzu zählen auch die BCM-Standards ISO 22301:2019, ISO 22395:2018, ISO 22320:2018, ISO 22316:2017 sowie der Risikomanagement-Standard ISO 31000:2018.

Wer diese Standards noch nicht lizenziert hat, für den ist dies eine gute Gelegenheit viel Geld zu sparen.

Die ISO-Standards sind auf der COVID-19-Seite der ISO zum Download verfügbar.

Business Continuity Management: Standards, Normen und Good Practices

Entwicklung der BCM-Standards – ein Blick zurück und nach vorne

Business Continuity Management (BCM) hat sich als relativ junge Disziplin mittlerweile fest etabliert. Ein Zeichen hierfür ist die nationale und internationale Standardisierung der BCM-Disziplin mittels Normen, Standards und Good Practices.

Werfen Sie einen Blick zurück und nach vorne auf die Entwicklung der BCM-Standards in meinem aktuellen Beitrag auf der Plattform 3GRC.

BCM-Standards: Alles neu in 2019

Der deutsche BCM-Standard BSI 100-4 Notfallmanagement Version 1.0 stammt aus dem Jahre 2008 und hat mittlerweile 10 Jahre “auf dem Buckel”. Für die junge und noch in der Entwicklungsphase befindliche Disziplin ist dies eine halbe Ewigkeit. Es hat in diesen zehn Jahren im BCM eine dynamische Weiterentwicklung der Anforderungen, Methoden und Verfahren sowie Schnittstellen zu anderen Disziplinen gegeben. Themen wie zum Beispiel Outsourcing, weltweite Lieferketten, Cyber-Attacken und Resilience haben eine ganz neue Bedeutung erlangt. In 2019 wird es daher nach den Plänen des BSI eine Modernisierung des BSI 100-4 geben. Im Dezember 2018 führt das BSI erste Workshops mit BCM-Experten und -Anwendern durch, um Ideen und Vorschläge für die Weiterentwicklung zu sammeln.

ISO-Standards werden regelmäßig alle fünf Jahre einer Revision unterzogen. Die beiden ISO-Standards für BCM, ISO 22301:2012 und ISO 22313:2012, haben diesen Überarbeitungstermin mittlerweile auch schon erreicht. Das Technical Committee 292 (TC292), das für die BCM- und Resilience-Standards zuständig ist, hat sich in der Working Group 2 an die Arbeit gemacht die beiden BCM-Standards zu überholen.

Für die BCM-Welt wird 2019 daher ein spannendes Jahr mit hoffentlich stark verbesserten und an die aktuellen Erfordernissen angepassten BCM-Standards.

Die ISO veröffentlicht jährlich die Statistik über die internationalen Zertifizierungen nach ISO-Zertifizierungsstandards. Interessant bei den Zahlen zu den Zertifizierungen nach ISO 22301:2012 ist der sehr starke Anteil der asiatischen Staaten, und hier vor allem Indien, mit über 50 Prozent der ausgestellten ISO-Zertifikate. Für Deutschland werden gerade einmal 37 Zertifizierungen nach IO 22301:2012 ausgewiesen. Zwei Zertifikate mehr als im Vorjahr. Demgegenüber gibt es in Großbritannien bereits 700 zertifizierte Unternehmen.

Was ist aus dem Hype-Thema “Resilience” geworden?

Es gab eine Zeit im BCM, da musste jede Veranstaltung und jeder Artikel das Wort “Resilience” im Titel tragen. Mittlerweile ist der Sturm im BCM-Wasserglas abgeebt und neue Säue wichtige BCM-Themen werden durch die BCM-Dörfer getrieben. Just in diesem Moment erscheint der Draft des neuen Standards für Organizational resilience: “BS 65000 Guidance on organizational resilience” von British Standards. Zu spät für den Hype? Ja, für den Hype schon, für die betriebliche Realität in den Organisationen mehr als rechtzeitig. Im Gegensatz zum stärker operativ ausgerichteten BCM-Standard ISO 22301 adressiert dieser Standard ganz eindeutig strategische und kulturelle Themenstellungen und damit das Top-Management. “This British Standard is intended for top management and seeks to describe organizational resilience, articulate its benefits, and describe what more resilient organizations do, what they have and what they are, before offering guidance on building a more resilient organization.”

Der Standard verschweigt nicht die Zielkonflikt zwischen Resilienz und den konkurrierenden betriebswirtschaftlichen Zielen wie Kostenoptimierung, Prozesseffizienz und -geschwindigkeit. Eine höhere Resilienz “capacity of an organization to anticipate, and respond and adapt to, incremental change and sudden shocks in order to survive and prosper” ist nicht ohne Aufwand und Kosten zu erreichen. Die Balance ist in einer Risikoabwägung durch das Management zu entscheiden, wobei es den Grad der absoluten Widerstandsfähigkeit nicht gibt. Die Belohnung für mehr Resilienz besteht aus einer höheren Anpassungsfähigkeit, einer besseren Wettbewerbsfähigkeit, höherer Effizienz und Effektivität, mehr Kohärenz sowie einer besseren Reputation der Organisation. Klingt wie Weihnachten, doch der Weg dorthin ist steinig und Resilienz liegt nicht mit einem Schleifchen verziert unterm Baum!

Das Thema Kohärenz (Zusammenarbeit / Zusammenhalt) macht dies in aller schonungslosen Klarheit deutlich:

“the protective disciplines that should be integrated should include, but not be limited to, the following:

  •  risk management;
  •  reputation management;
  •  horizon scanning;
  •  environmental management;
  •  health and safety;
  •  fraud control;
  •  business continuity;
  •  ICT continuity;
  •  information security;
  •  physical security;
  •  technical security (including cyber security);
  •  supply chain;
  •  financial control; and
  • quality management”.

Eine Aufzählung, die nicht vollständig ist und die Sie beliebig erweitern dürfen.

Hier könnte der Hund begraben liegen, warum mancher schmerzhaft die Augen geschlossen hat und sich vermeintlich gewinnbringenderen BCM-Themen mit mehr “quick wins” zugewandt hat. Schon die Zusammenarbeit zwischen einzelnen Disziplinen wie BCM und ITSCM oder BCM und Risikomanagement gleichen in der betrieblichen Realität einer Echternacher Springprozession (3 Schritte vor, zwei zurück), wenn überhaupt die Köpfe aus den vertrauten heimeligen Silos gesteckt werden.

Und doch gibt es Ansätze zur Hoffnung abseits der großen Schlagzeilen. Viele Unternehmen haben die Risiken in ihren Lieferketten erkannt und beginnen diese gezielt robuster auszugestalten. Die verheerende Flut in Thailand 2012, der Tsunami in Japan, die Brände in den Textilfabriken in Bangladesh sowie zahlreiche Rückrufe in der Automobilindustrie haben die Zerbrechlichkeit der Lieferketten demonstriert und die singuläre Ausrichtung auf das  Ziel der reinen Kostenoptimierung relativiert. BCM, Einkauf, Risikomanagement, Recht müssen mit den Lieferanten auf den verschiedenen Ebenen der Lieferkette hierzu Hand in Hand zusammenarbeiten, um mehr Robustheit in allen Stufen der Lieferkette unter wirtschaftlichen Gesichtspunkten zu erreichen.

Organisatorische Resilienz ist daher mehr ein Zielbild als ein organisatorisches Konzept, das in kurzer Zeit umgesetzt werden kann. Es lohnt sich aber aus meiner Sicht ohne Zweifel, diesen mühsamen beschwerlichen Gang zur verstärkten Integration der Disziplinen für ein gemeinsames Zielbild zu gehen und die geliebten Silos Stück für Stück einzureißen. Das Management wird diesen Standard kaum selbst lesen, die Integration der Disziplinen aber unter Effizienz-und Kostenaspekten nachhaltig einfordern. Regulatorik und Gesetzgeber werden die Integration der Methoden und Verfahren ebenfalls einfordern und in Normen verbindlich machen. Organisatorische Resilienz ist zwar aktuell weitgehend aus den BCM-Schlagzeilen verschwunden, aber wichtiger denn je. Dem Hype folgt  jetzt die harte Kärnerarbeit in der betrieblichen Praxis. Der neue Standard für Resilienz kommt hierfür zur richtigen Zeit.

Ich freue mich auf Ihre Kommentare, Anregungen und Kritik!

Wenn Sie diesen Artikel gerne in einer geschlossen Gruppe kommentieren oder diskutieren wollen, können Sie dies gerne im BCM-Forum tun (www.bcm.community).

BCM Wiki im Aufbau

Als weiteres “Schmankerl” des Leistungsangebots der BCM-News soll hier ein BCM-Wiki entstehen. Ein Anfang ist gemacht, indem die ersten BCM-Standards aufgenommen sind. Aber noch klebt das Baustellenschild an der Funktion. Das Wiki ist in der Seitenleiste unter der leistungsfähigen Suchfunktion erreichbar oder unter www.bcm-wiki.de. Ich würde mich natürlich über aktive Mitstreiter freuen, dann geht es schneller voran. Und natürlich über Ideen, Verbesserungsvorschläge und Motivation …

Zwei neue BCM-Standards bei BSI in Arbeit

Gerade erst sind die beiden ISO-Standards 22301 und 22313 erschienen. Und das Technical Committee 223 der ISO hat noch weitere Standards im Köcher wie aus dem workprogramme ersichtlich ist. Besonders gespannt bin ich auf den neuen Standard “Guidelines for exercises”. Zu diesem Thema gibt es ja bereits das Published Document 25666:2010 “Guidance on ecercising and testing for continuity and contingency programmes” des BSI. Doch auch British Standards bleibt nicht untätig und entwickelt weitere Standards zum Business Continuity Management. Die Standardisierungsorganisationen scheinen ein lukratives Betätigungsfeld identifiziert zu haben.

Die beiden beim BSI in Entwicklung befindlichen Standards sind:

BS 11200 Crisis Management

BS 45000 Organizational Resilience

Ich bin gespannt, was uns die neuen Standards bringen werden. Einen Überblick über die nationalen und internationalen Standards für das BCM zu behalten wird so langsam zur echten Herausforderung. Unter dem Menüpunkt “Know How” finden Sie auch eine Präsentation, in der ich eine Übersicht über eine Auswahl von BCM-Standards dargestellt habe.

ISO 22313 ist veröffentlicht

Ich hatte ja schon angekündigt, dass der ISO-Standard 22313 kurz vor der Veröffentlichung steht. Jetzt ist “ISO 22313 Societal security – Business continuity management systems – Guidance”, so der offizielle Titel erhältlich. Die Guidance ergänzt die bereits vorliegende Specification ISO 22301 um die Ausführungsanleitung. Sprachlich zu erkennen durch die Verwendung von “should” statt “shall”. Weitere Standards sind in der Pipeline des TC 223.

Der Standard kann bei British Standards online bezogen werden.

ISO 22313 kurz vor finaler Veröffentlichung

Der IS-Standard 22313 “Societal security — Business continuity management systems — Guidance” steht kurz vor der finalen Veröffentlichung. Im Statusreporting des Technical Committee 223 der ISO hat er jetzt den Status 60.00 “International Standard under publication” erklommen. Es gibt keine Änderungen mehr am Dokument. Der Guidance ist die “Ausführungsbestimmung” zum ISO 22301 und entspricht somit von der Struktur dem Vorgänger BS 25999-1.  Zu erkennen an der Verwendung von “should” statt “shall” wie im ISO 22301. Die Gliederungsstruktur des ISO 22313 entspricht der des ISO 22301. Im Work programme des TC 223 befinden sich noch weitere Dokumente, wie zum Beispiel ein Guideline for exercises.

ISO TC 223

BCM relevante Standards

Ich habe ein paar Informationen über BCM-Standards und Standards mit BCM-Bezug erstellt. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit. Ich freue mich über Informationen zu weiteren relevanten Standards – am Besten als Kommentar zu diesem Beitrag. Links zu Standards finden sich auch im Linkverzeichnis der BCM-News (Menüpunkt “Links”).
[slideshare id=15452660&doc=bcmstandards-121202111949-phpapp02]

Internationale Rules & Regulations fĂŒr BCM

Für Unternehmen und Organisationen, die international tätig sind, ist es wichtig zu wissen, welche Regeln für das BCM vor Ort gültig sind. Dies ist gar nicht so einfach festzustellen, da es viele Herausgeber von BCM Rules & Regulations gibt. Diese reichem vom Gesetzgeber, über Aufsichtsorgane bis hin zu Börsenbetreibern für die angeschlossenen Finanzdienstleister. Die Regeln verstecken sich zudem in Form von Gesetzen, Rundschreiben, verbindlichen “Empfehlungen” und Standards verschiedener Standardisierungsinsitutionen. Eine gute Quelle, um sich einen ersten Überblick zu verschaffen ist die Seite DR Rules and Regulations des Disaster Recovery Journal. Deutschland ist auf der umfangreichen Excel-Tabelle zwar noch ein weißer Fleck, doch USA und Asien werden gut abgedeckt. Durch die Angabe von Links findet der Leser schnell zur Quelle. Die Excel-Tabelle wird regelmäßig aktualisiert. Der Link zu dieser Seite findet sich auch im Link-Verzeichnis der BCM-News (Menüpunkt “Links” unter dem Punkt “BCM-Standards”, so daß Sie die Seite schnell wiederfinden.