ISO/DIS 22313 – Ein echter Fortschritt auf dem Weg zum BCMS

(ein Gastbeitrag von Christian Zänker)

Wer die Entwicklung des Business Continuity Management in den letzten sechs Jahren mitverfolgt hat, weiß: Es hat sich viel getan. Das zeigt auch der Vergleich des nunmehr zur Kommentierung veröffentlichten ISO/DIS 22313 BCMS Guidance  mit dem BS 25999-1 BCM Part 1: Code of Practise.

Galt bis dato der British Standard zu BCM als das Maß aller Dinge, muss man nach der Lektüre des ISO Standard eine neue Zeitrechnung beginnen. Die BCMS Guidance bietet dem Praktiker wirklich eine Anleitung zur Einführung und Umsetzung eines BCM Management Systems, die auf dem Stand der Dinge ist und die konzeptionellen und inhaltlichen Entwicklungen und Verbesserungen der letzten Jahre aufgenommen hat. Es stellt die adäquate Ergänzung zum ISO/DIS 22301 BCMS Requirements dar. Weiterlesen…

ISO/DIS 22313 Business Continuity Management Systems – Guidance

Die neuen ISO-Standards zum BCM bestehen aus einer ganzen “Standard-Familie”. Neben dem bekannten neuen BCM-Standard ISO 22301 “Business Continuity Management Systems – Requirements” werden durch das zuständige Technical Committee TC 223 folgende weitere Standards für das BCM entwickelt:

  • ISO/FDIS 22300 Societal security — Terminology
  • ISO/FDIS 22301 Societal security — Business continuity management systems — Requirements
  • ISO/DIS 22311 Societal security – Video-surveillance – Export interoperability
  • ISO/DIS 22313 Societal security — Business continuity management systems — Guidance
  • ISO/NP 22315 Societal security — Mass evacuation
  • ISO/CD 22322 Societal security — Emergency management — Public warning
  • ISO/WD 22323 Organizational resilience management systems – Requirements with guidance for use
  • ISO/NP 22324 Societal security – Emergency managament – Colour-coded alert
  • ISO/NP 22351 Societal security — Emergency management — Shared situation awareness
  • ISO/NP 22397 Societal security — Public Private Partnership — Guidelines to set up partnership agreements
  • ISO/DIS 22398 Societal security — Guidelines for exercises and testing

Der ISO 22301 hat die wichtigsten Hürden genommen und soll in diesem Jahr veröffentlicht werden. Neben diesem Standard, der die Anforderungen an ein BCMS beschreibt, ist der ISO 22313 von besonderem Interesse, da er die Anleitung “Guidance” für die Implementierung eines Business Continuity Management System beschreibt. Was im 22301 im “shall”-Stil als Mindestanforderung zum Beispiel für eine Auditierung gefordert wird, ist im ISO 22313 im “should”-Stil als Handlungsempfehlung ausgeführt. Vergleichbar dem “Pärchen” BS 25999-1 und BS 25999-2. Der ISO/DIS 22313 befindet sich aktuell in der Kommentierungsphase bis 11. April 2012. Der aktuelle Stand des Dokuments kann bei der ISO online für 66 CHF bezogen werden. Auch der ISO 22300, der die Begriffsdefinitionen für das BCMS beinhaltet, befindet sich in einem fortgeschrittenen Status. Im Draft des ISO 22313 sind diese Begriffsdefinitionen mit Referenz zum ISO 22300 übrigens bereits enthalten.

ISO 22320:2011 “Requirements for incident response” veröffentlicht

Das Technical Committee TC 223, das auch für den BCM-Standard ISO 22301 verantwortlich zeichnet, hat einen ISO-Standard aus der neuen ISO-Familie zum BCM veröffentlicht. Es handelt sich um den ISO 22320:2011 “Societal security – Emergency management – Requirements for incident response”. Der Standard beinhaltet best practices für das Incident Management nach Eintritt eines Notfalls oder einer Krise.

Der Standard kann auf der Webseite der ISO als Download erworben werden (CHF 106,0).

Insiderbericht aus dem Technical Committee 223 zur Entwicklung des neuen BCM-Standards ISO 22301

Der neue ISO-Standard 22301 für das BCM steht in den Startlöchern und viele Gerüchte ranken sich um den aktuellen Status, den Zeitplan und das weitere Arbeitsprogramm des Technical Committee. Brian Zwada (MBCI, MBCP) ist US-amerikanisches Mitglied des TC 223 und im Team, das die ISO Standards 22301, 22313 und 22323 entwickelt.

In seinem Artikel im Disaster Recovery Journal gibt er einen Einblick in die Arbeit des TC 223 sowie den Inhalt und aktuellen Stand des neuen Standards.

ISO 22301 geht in die finale Phase

Gemäß ContinuityCentral sind die Unstimmigkeiten zum neuen BCM Standard ISO 22301 ausgeräumt und der Standard kann in die letztmalige zweimonatige Konsultationsphase gehen. Diese soll im Januar 2012 starten und dauert zwei Monate. Mit der Veröffentlichung des neuen Standards ist Mitte 2012 zu rechnen. Welche Unstimmigkeiten die Verzögerung verursacht hat, ist nicht bekannt. Zur Frage, wie es mit BS 25999-1 und -2 weitergeht, gibt es hier weitergehende Informationen.

ISO 22301 geht in die nächste Genehmigungsstufe zum ISO-Standard

Der neue ISO-Standard für BCM hat die Draft-Version abgeschlossen und geht jetzt in die Abnahme-Phase des Final Draft (FDIS – Final Draft International Standard). Alle ISO-Mitglieder müssen diesen Standard mit einer Zwei-Drittel-Mehrheit genehmigen, damit daraus ein ISO-Standard wird. Laut Informationen von continuitycentral gibt es jedoch noch Widerstand von zwei Mitgliedsstaaten, die den Draft nicht abnehmen wollen.

ISO Standard 22301 für BCM ist auf gutem Weg

Der weitere zeitliche Ablauf des neuen ISO-Standard für BCM ISO 22301 war maßgeblich vom Approval des Technischen Kommittee TC 223 nach der Kommentierungsrunde abhängig. Das TC 223 hat jetzt per Abstimmung für den aktuellen Draft gestimmt. Eine zweite Kommentierungsrunde ist daher nicht notwendig. Die Änderungen werden im Mai 2011 in die Fassung eingearbeitet und im August 2011 kann mit dem final Draft FDIS gerechnet werden. Die einzelnen Stages, die ein neuer ISO-Standard durchlaufen muss, sind hier von ISO dokumentiert. Die Geschwindigkeit, mit der der neue ISO-Standard auf Kurs ist, lässt laut Insidern darauf schliessen, dass der ISO-Standard den BS 25999-2 ersetzen wird.

Ich habe in einer eigenen Grafik die Steps des zukünftigen ISO-Standards für BCM ISO 22301 aufgezeigt:

ISO 22301 Roadmap (by M. Haemmerle)
ISO 22301 Roadmap (Grafik: M. Haemmerle)

 

Umfrage zum Konzept des mtpd auf continuitycentral

Das Konzept des maximum tolerable period of disruption (mtpd) hält die BCM-Community in Atem. Trotz der Veröffentlichung einer Berichtigung und Detaillierung des BCM-Standards BS 25999 zum Konzept des MTPD im Juni 2009 (Bericht hierzu in den bcm-news) herrscht noch keine Einigkeit und Klarheit zur Verwendung des mtpd. Insbesondere in den amerikanischen und britischen BCM-Foren wird dieses Thema zur Zeit wieder heiß diskutiert. Besonders betroffen von dieser Unsicherheit sind die Unternehmen, die sich nach dem Standard BS 25999-2 zertifizieren lassen wollen.

Auf continuitycentral gibt es jetzt eine Umfrage zum Verständnis und Einsatz des mtpd. Ich bin gespannt auf die Ergebnisse der Umfrage.

US-Standard für BCM NFPA 1600 in 2010-Edition veröffentlicht

Die National Fire Protection Association (NFPA) hat den amerikanischen Standard für BCM in einer überarbeiteten 2010-Edition veröffentlicht. Wie der BS 25999-2 folgt der Aufbau des Standards jetzt dem PDCA-Zyklus.

Auch der Aufbau des BCM-Lifecycles ähnelt doch zunehmend dem BS 25999-Lifecycle.

Der Standard ist kostenfrei auf der Homepage der NFPA als Download verfügbar.

Hier die Dokumentation der Änderungen:

The 2010 edition of NFPA 1600 has been reordered and expanded. Chapter 4, Program Management, was expanded
to emphasize the importance of leadership and commitment; includes new requirements for defining performance
objectives; and includes new requirements for records management. Finance and administration was also
moved to the program management chapter. The most noticeable change from the 2007 edition is the rewriting of
Chapter 5 into four chapters addressing planning, implementation, testing and exercises, and program improvement.
The ordering of these chapters follows a typical program development process and is consistent with “plan, do, check, act” or continuous improvement processes. Requirements for business impact analysis, which had been previously been covered under the heading of “risk assessment” are now a separate section within Chapter 5. Chapter 6, Implementation, includes a new section on employee assistance and support. Testing and exercising was expanded within the new Chapter 7, and evaluations and corrective action have been incorporated into a new Chapter 8 on program improvement.