Stand der internationalen Zertifizierungen nach ISO 22301

Die ISO (International Organization for Standardization), Herausgeber des ISO 22301, hat die jährliche Statistik zu den internationalen Zertifizierungen nach ISO-Standards veröffentlicht.

Uns interessiert hierbei natürlich ganz besonders der Blick auf den ISO 22301 Business Continuity Management. In der Summe gibt es 2016 3.853 Zertifizierungen im BCM (2015: 3.133, 2014: 1.757). Mit 41,8 Prozent entfällt der größte Anteil der Zertifikate auf die Region Zentral- und Süd-Asien, gefolgt von Europa mit einem Anteil von rund einem Viertel. Herausstechendes Land ist Indien mit alleine 1607 ausgestellten ISO 22301-Zertifikaten in 2016. Da ist Deutschland mit 35 Zertifikaten weit abgeschlagen. In Europa sticht Spanien mit 120 und Polen (75) sowie die Türkei (68) heraus.

Mit 33.290 Zertifikaten ist der ISO 27001 weltweit zehn Mal häufiger zertifiziert worden, weit entfernt jedoch vom ISO 9001 mit über 1,1 Mio Zertifikaten weltweit. Bei der Wachstumsrate liegt der ISO 22301 mit 23% knapp vor dem ISO 27001 mit 21 %, deutlich über dem Durchschnitt der ISO-Zertifizierungen mit einem Wachstum von 8%, aber weit abgeschlagen hinter dem ISO 20000 mit 63% Zuwachs.

Bei den Industriesektoren dominiert ganz klar die Informationstechnologie-Branche. In der Kombination vom weltweit führenden Land Indien mit der Branche IT ergibt sich ein eindeutiger Schwerpunkt der BCM-Zertifizierung.

Deutschland verzeichnet mit 35 Zertifizierungen gegenüber 27 Zertifizierungen 2015 (2014: 7) auch ein Wachstum, aber auf noch (?) sehr geringem Niveau.

Dies ist der statistische Blick zurück und in die große weite Welt. Spannend ist, was die Zukunft uns bei den 22301-Zertifizierungen bringen wird. Werden die indischen IT-Anbieter deutsche Anbieter in Zugzwang bringen? Werden die verstärkten  Regularien mit dem IT-Sicherheitsgesetz einen Push bringen? Wahrscheinlich wird Angebot und Nachfrage die weitere Entwicklung steuern. Werden die Kunden die Zertifizierung von ihren Lieferanten einfordern und Lieferanten mit  entsprechender Zertifizierung bevorzugen? Der ISO 9001-Standard hat diesen Weg in der Industrie genommen. Beim ISO 22301 ist diese Entwicklung zumindest in Europa noch nicht spürbar.

Quelle: ISO Survey

Bildquelle: fotolia: Zerbor, #107859355

ISO 27014:2013 Governance of information security erschienen

Im Rahmen der ISO 27000er-Familie ist aktuell der Standard zur Information security governance neu erschienen:

“ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.”

Der Standard kann bei der ISO bezogen werden.

Zwei neue BCM-Standards bei BSI in Arbeit

Gerade erst sind die beiden ISO-Standards 22301 und 22313 erschienen. Und das Technical Committee 223 der ISO hat noch weitere Standards im Köcher wie aus dem workprogramme ersichtlich ist. Besonders gespannt bin ich auf den neuen Standard “Guidelines for exercises”. Zu diesem Thema gibt es ja bereits das Published Document 25666:2010 “Guidance on ecercising and testing for continuity and contingency programmes” des BSI. Doch auch British Standards bleibt nicht untätig und entwickelt weitere Standards zum Business Continuity Management. Die Standardisierungsorganisationen scheinen ein lukratives Betätigungsfeld identifiziert zu haben.

Die beiden beim BSI in Entwicklung befindlichen Standards sind:

BS 11200 Crisis Management

BS 45000 Organizational Resilience

Ich bin gespannt, was uns die neuen Standards bringen werden. Einen Überblick über die nationalen und internationalen Standards für das BCM zu behalten wird so langsam zur echten Herausforderung. Unter dem Menüpunkt “Know How” finden Sie auch eine Präsentation, in der ich eine Übersicht über eine Auswahl von BCM-Standards dargestellt habe.

Neuer ISO-Standard für Cyber-Security: ISO/IEC 27032:2012

ISO hat einen neuen Standard für Cyber-Security veröffentlicht:

“As we rely on the Internet for all kinds of activities, from sharing important work files to paying our bills, cybersecurity has become a key concern for all of us. A new ISO standard, ISO/IEC 27032:2012, Information technology – Security techniques – Guidelines for cybersecurity, will make cyberspace safer.”, so die ISO zum neuen Standard.

Inhalte des neuen Standards:

  • an overview of Cybersecurity,
  • an explanation of the relationship between Cybersecurity and other types of security,
  • a definition of stakeholders and a description of their roles in Cybersecurity,
  • guidance for addressing common Cybersecurity issues, and
  • a framework to enable stakeholders to collaborate on resolving Cybersecurity issues.

Der Standard kann bei der ISO zu einem Preis von 154 CHF online bezogen werden.

Der ISO-Standard 27031:2011 aus dieser Standard-Familie bildet die Schnittstellen zwischen der IT und dem BCM ab.

ISO 22320:2011 “Requirements for incident response” veröffentlicht

Das Technical Committee TC 223, das auch für den BCM-Standard ISO 22301 verantwortlich zeichnet, hat einen ISO-Standard aus der neuen ISO-Familie zum BCM veröffentlicht. Es handelt sich um den ISO 22320:2011 “Societal security – Emergency management – Requirements for incident response”. Der Standard beinhaltet best practices für das Incident Management nach Eintritt eines Notfalls oder einer Krise.

Der Standard kann auf der Webseite der ISO als Download erworben werden (CHF 106,0).

ISO 22301 geht in die nächste Genehmigungsstufe zum ISO-Standard

Der neue ISO-Standard für BCM hat die Draft-Version abgeschlossen und geht jetzt in die Abnahme-Phase des Final Draft (FDIS – Final Draft International Standard). Alle ISO-Mitglieder müssen diesen Standard mit einer Zwei-Drittel-Mehrheit genehmigen, damit daraus ein ISO-Standard wird. Laut Informationen von continuitycentral gibt es jedoch noch Widerstand von zwei Mitgliedsstaaten, die den Draft nicht abnehmen wollen.