Community Draft des BSI 200-4 Business Continuity Management veröffentlicht

Am 19.01.2021 wurde im Rahmen des BSI Grundschutztages der Community Draft des BSI 200-4 Business Continuity Management veröffentlicht. Der Standard wird den in die Tage gekommenen BSI 100-4 ablösen. Neben der Umbenennung von Notfallmanagment in Business Continuity Mnagement gibt es inhaltlich zahlreiche Änderungen gegenüber dem bestehenden Standard. Der CD wird voraussichtlich sechs Monate öffentlich kommentiert werden können, bevor die finale Version gegen Ende 2021 zu erwarten ist. Kommentare können per Mail oder über die sozialen Medien an das BSI erfolgen.

Hier der Link zur Presseveröffentlichung des BSI und zum Community Draft des BSI 200-4.

ISO-Standards für Business Continuity Management frei erhältlich

Als Reaktion auf die Coronavirus-Pandemie hat die ISO zahlreiche ISO-Standards vorübergehend zum kostenfreien Download verfügbar gemacht.

Hierzu zählen auch die BCM-Standards ISO 22301:2019, ISO 22395:2018, ISO 22320:2018, ISO 22316:2017 sowie der Risikomanagement-Standard ISO 31000:2018.

Wer diese Standards noch nicht lizenziert hat, für den ist dies eine gute Gelegenheit viel Geld zu sparen.

Die ISO-Standards sind auf der COVID-19-Seite der ISO zum Download verfügbar.

Prozesse und dokumentierte Information in der neuen ISO/DIS 22301:2019

Die Tiefenanalyse des Entwurfs für den grundlegend aktualisierten BCM-Standard ISO 22301 geht in die nächste Runde. Christian Zänker, erfahrener Analyst und Trainer für Standards, hat sich dieses Mal die Prozesse und Dokumentationsanforderungen im Entwurf vor- und bis ins Detail auseinandergenommen. Auch erfahrene Anwender können hier sicherlich neue Erkenntnisse gewinnen. Weiterlesen…

ASIS veröffentlicht neuen Standard für Resilience

ASIS International, die weltgrößte industrieübergreifende Mitglieerorganisation für Risikomanagement, hat im Juni 2017 den neuen Standard für Resilience veröffentlicht. ANSI/ASIS ORM.1-2017 “SECURITY AND RESILIENCE IN ORGANIZATIONS AND THEIR
SUPPLY CHAINS – REQUIREMENTS WITH GUIDANCE” ist damit ein neuer amerikanischer Standard. Der Standard ORM.1 löst die beiden bisherigen Standards

  • Organizational Resilience: Security, Preparedness and Continuity Management Systems—Requirements with Guidance for Use (SPC.1);
  • Business Continuity Management Standard (BCM.1)

ab.

ORM.1 definiert ein übergreifendes Managementsystem für die Implementierung von Resilience in Organisation jeder Größe und Branche. Das Vorgehen folgt dem Plan-Do-Check-Act-Regelkreis.

Eine Kurzzusammenfassung des Standards von ASIS  ist hier verfügbar. Der Standard kann bei ASIS online bezogen werden. Für Mitglieder von ASIS ist der Download kostenfrei.

Dieser neue Standard für Resilience ergänzt die bereits veröffentlichten Resilience- Standards von ISO und BSI. Diese Standards habe ich in meinem Beitrag auf 3GRC vorgestellt.

ISO-Standard 22317 fĂĽr die Business Impact Analyse auf der Zielgeraden

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard für die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard für die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen für die Durchführung einer BIA
  • Durchführung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den Anhängen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden für die BIA
  • Weitere Mehrwerte des BIA Prozesses für das BCM.

Der Prozessaufbau für die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von Aktivitäten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des Einverständnisses des Top Managements für die BIA-Ergebnisse.

Das Ziel der BIA “… is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties.”

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben für die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgeführt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

Für die Impact-Kategorien werden Beispiele an die Hand gegeben:

für die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

für die Priorisierung der Aktivitäten ergänzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • Abhängigkeiten zwischen Produkten, Services, Prozessen und Aktivitäten identifiziert
  • die Auswirkungen (Impact) über die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf Aktivitätenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • Gebäude
  • Einrichtungen, Ausrüstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • Abhängigkeiten von anderen Prozesse und Aktivitäten
  • Werkzeuge, Ersatzteile
  • Einschränkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien für

  • Arbeitsplätze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische Ausrüstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden (“typischerweise jährlichen”) BIA-Aktualisierung. Für die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfügbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstärkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv überrascht, dass MTPD, RTO und RPO fast gar keine Erwähnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsächlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit größen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfür vor. Nicht mehr und nicht weniger.

Das lässt uns mit positiver Spannung auf den neuen Standard für Supply Chain Continuity warten.

Was ist aus dem Hype-Thema “Resilience” geworden?

Es gab eine Zeit im BCM, da musste jede Veranstaltung und jeder Artikel das Wort “Resilience” im Titel tragen. Mittlerweile ist der Sturm im BCM-Wasserglas abgeebt und neue Säue wichtige BCM-Themen werden durch die BCM-Dörfer getrieben. Just in diesem Moment erscheint der Draft des neuen Standards für Organizational resilience: “BS 65000 Guidance on organizational resilience” von British Standards. Zu spät für den Hype? Ja, für den Hype schon, für die betriebliche Realität in den Organisationen mehr als rechtzeitig. Im Gegensatz zum stärker operativ ausgerichteten BCM-Standard ISO 22301 adressiert dieser Standard ganz eindeutig strategische und kulturelle Themenstellungen und damit das Top-Management. “This British Standard is intended for top management and seeks to describe organizational resilience, articulate its benefits, and describe what more resilient organizations do, what they have and what they are, before offering guidance on building a more resilient organization.”

Der Standard verschweigt nicht die Zielkonflikt zwischen Resilienz und den konkurrierenden betriebswirtschaftlichen Zielen wie Kostenoptimierung, Prozesseffizienz und -geschwindigkeit. Eine höhere Resilienz “capacity of an organization to anticipate, and respond and adapt to, incremental change and sudden shocks in order to survive and prosper” ist nicht ohne Aufwand und Kosten zu erreichen. Die Balance ist in einer Risikoabwägung durch das Management zu entscheiden, wobei es den Grad der absoluten Widerstandsfähigkeit nicht gibt. Die Belohnung für mehr Resilienz besteht aus einer höheren Anpassungsfähigkeit, einer besseren Wettbewerbsfähigkeit, höherer Effizienz und Effektivität, mehr Kohärenz sowie einer besseren Reputation der Organisation. Klingt wie Weihnachten, doch der Weg dorthin ist steinig und Resilienz liegt nicht mit einem Schleifchen verziert unterm Baum!

Das Thema Kohärenz (Zusammenarbeit / Zusammenhalt) macht dies in aller schonungslosen Klarheit deutlich:

“the protective disciplines that should be integrated should include, but not be limited to, the following:

  •  risk management;
  •  reputation management;
  •  horizon scanning;
  •  environmental management;
  •  health and safety;
  •  fraud control;
  •  business continuity;
  •  ICT continuity;
  •  information security;
  •  physical security;
  •  technical security (including cyber security);
  •  supply chain;
  •  financial control; and
  • quality management”.

Eine Aufzählung, die nicht vollständig ist und die Sie beliebig erweitern dürfen.

Hier könnte der Hund begraben liegen, warum mancher schmerzhaft die Augen geschlossen hat und sich vermeintlich gewinnbringenderen BCM-Themen mit mehr “quick wins” zugewandt hat. Schon die Zusammenarbeit zwischen einzelnen Disziplinen wie BCM und ITSCM oder BCM und Risikomanagement gleichen in der betrieblichen Realität einer Echternacher Springprozession (3 Schritte vor, zwei zurück), wenn überhaupt die Köpfe aus den vertrauten heimeligen Silos gesteckt werden.

Und doch gibt es Ansätze zur Hoffnung abseits der großen Schlagzeilen. Viele Unternehmen haben die Risiken in ihren Lieferketten erkannt und beginnen diese gezielt robuster auszugestalten. Die verheerende Flut in Thailand 2012, der Tsunami in Japan, die Brände in den Textilfabriken in Bangladesh sowie zahlreiche Rückrufe in der Automobilindustrie haben die Zerbrechlichkeit der Lieferketten demonstriert und die singuläre Ausrichtung auf das  Ziel der reinen Kostenoptimierung relativiert. BCM, Einkauf, Risikomanagement, Recht müssen mit den Lieferanten auf den verschiedenen Ebenen der Lieferkette hierzu Hand in Hand zusammenarbeiten, um mehr Robustheit in allen Stufen der Lieferkette unter wirtschaftlichen Gesichtspunkten zu erreichen.

Organisatorische Resilienz ist daher mehr ein Zielbild als ein organisatorisches Konzept, das in kurzer Zeit umgesetzt werden kann. Es lohnt sich aber aus meiner Sicht ohne Zweifel, diesen mühsamen beschwerlichen Gang zur verstärkten Integration der Disziplinen für ein gemeinsames Zielbild zu gehen und die geliebten Silos Stück für Stück einzureißen. Das Management wird diesen Standard kaum selbst lesen, die Integration der Disziplinen aber unter Effizienz-und Kostenaspekten nachhaltig einfordern. Regulatorik und Gesetzgeber werden die Integration der Methoden und Verfahren ebenfalls einfordern und in Normen verbindlich machen. Organisatorische Resilienz ist zwar aktuell weitgehend aus den BCM-Schlagzeilen verschwunden, aber wichtiger denn je. Dem Hype folgt  jetzt die harte Kärnerarbeit in der betrieblichen Praxis. Der neue Standard für Resilienz kommt hierfür zur richtigen Zeit.

Ich freue mich auf Ihre Kommentare, Anregungen und Kritik!

Wenn Sie diesen Artikel gerne in einer geschlossen Gruppe kommentieren oder diskutieren wollen, können Sie dies gerne im BCM-Forum tun (www.bcm.community).

Anmerkungen zum Draft des BS 11200 Crisis Management

Vor Kurzem hat British Standards den Draft des Krisenmanagement-Standards BS 11200 für die öffentliche Kommentierung zur Verfügung gestellt. Für die BCM-News hat Christian Zänker (zaenker@bcmpartner.de) den Draft tiefgehend analysiert. Seine kritische Analyse lesen Sie in diesem Beitrag.

Die British Standard Institution BSi hat mit dem BS 11200 Crisis Management bereits nach zwei Jahren den Nachfolger der Public Available Specification PAS200 als Draft vorgestellt.

Der Draft des BS 11200 stellt konzeptionell wie inhaltlich eine immense Verbesserung gegenüber dem PAS200 dar. (https://www.bcm-news.de/2011/11/28/pas-200-und-business-continuity-management/)

Weiterlesen…