ISO-Standard 22317 für die Business Impact Analyse auf der Zielgeraden

Abgelegt in: Antworten

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard für die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard für die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen für die Durchführung einer BIA
  • Durchführung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den Anhängen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden für die BIA
  • Weitere Mehrwerte des BIA Prozesses für das BCM.

Der Prozessaufbau für die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von Aktivitäten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des Einverständnisses des Top Managements für die BIA-Ergebnisse.

Das Ziel der BIA "... is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties."

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben für die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgeführt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

Für die Impact-Kategorien werden Beispiele an die Hand gegeben:

für die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

für die Priorisierung der Aktivitäten ergänzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • Abhängigkeiten zwischen Produkten, Services, Prozessen und Aktivitäten identifiziert
  • die Auswirkungen (Impact) über die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf Aktivitätenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • Gebäude
  • Einrichtungen, Ausrüstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • Abhängigkeiten von anderen Prozesse und Aktivitäten
  • Werkzeuge, Ersatzteile
  • Einschränkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien für

  • Arbeitsplätze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische Ausrüstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden ("typischerweise jährlichen") BIA-Aktualisierung. Für die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfügbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstärkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv überrascht, dass MTPD, RTO und RPO fast gar keine Erwähnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsächlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit größen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfür vor. Nicht mehr und nicht weniger.

Das lässt uns mit positiver Spannung auf den neuen Standard für Supply Chain Continuity warten.

Was ist aus dem Hype-Thema "Resilience" geworden?

Abgelegt in: Standards Antworten

Es gab eine Zeit im BCM, da musste jede Veranstaltung und jeder Artikel das Wort "Resilience" im Titel tragen. Mittlerweile ist der Sturm im BCM-Wasserglas abgeebt und neue Säue wichtige BCM-Themen werden durch die BCM-Dörfer getrieben. Just in diesem Moment erscheint der Draft des neuen Standards für Organizational resilience: "BS 65000 Guidance on organizational resilience" von British Standards. Zu spät für den Hype? Ja, für den Hype schon, für die betriebliche Realität in den Organisationen mehr als rechtzeitig. Im Gegensatz zum stärker operativ ausgerichteten BCM-Standard ISO 22301 adressiert dieser Standard ganz eindeutig strategische und kulturelle Themenstellungen und damit das Top-Management. "This British Standard is intended for top management and seeks to describe organizational resilience, articulate its benefits, and describe what more resilient organizations do, what they have and what they are, before offering guidance on building a more resilient organization."

Der Standard verschweigt nicht die Zielkonflikt zwischen Resilienz und den konkurrierenden betriebswirtschaftlichen Zielen wie Kostenoptimierung, Prozesseffizienz und -geschwindigkeit. Eine höhere Resilienz "capacity of an organization to anticipate, and respond and adapt to, incremental change and sudden shocks in order to survive and prosper" ist nicht ohne Aufwand und Kosten zu erreichen. Die Balance ist in einer Risikoabwägung durch das Management zu entscheiden, wobei es den Grad der absoluten Widerstandsfähigkeit nicht gibt. Die Belohnung für mehr Resilienz besteht aus einer höheren Anpassungsfähigkeit, einer besseren Wettbewerbsfähigkeit, höherer Effizienz und Effektivität, mehr Kohärenz sowie einer besseren Reputation der Organisation. Klingt wie Weihnachten, doch der Weg dorthin ist steinig und Resilienz liegt nicht mit einem Schleifchen verziert unterm Baum!

Das Thema Kohärenz (Zusammenarbeit / Zusammenhalt) macht dies in aller schonungslosen Klarheit deutlich:

"the protective disciplines that should be integrated should include, but not be limited to, the following:

  •  risk management;
  •  reputation management;
  •  horizon scanning;
  •  environmental management;
  •  health and safety;
  •  fraud control;
  •  business continuity;
  •  ICT continuity;
  •  information security;
  •  physical security;
  •  technical security (including cyber security);
  •  supply chain;
  •  financial control; and
  • quality management".

Eine Aufzählung, die nicht vollständig ist und die Sie beliebig erweitern dürfen.

Hier könnte der Hund begraben liegen, warum mancher schmerzhaft die Augen geschlossen hat und sich vermeintlich gewinnbringenderen BCM-Themen mit mehr "quick wins" zugewandt hat. Schon die Zusammenarbeit zwischen einzelnen Disziplinen wie BCM und ITSCM oder BCM und Risikomanagement gleichen in der betrieblichen Realität einer Echternacher Springprozession (3 Schritte vor, zwei zurück), wenn überhaupt die Köpfe aus den vertrauten heimeligen Silos gesteckt werden.

Und doch gibt es Ansätze zur Hoffnung abseits der großen Schlagzeilen. Viele Unternehmen haben die Risiken in ihren Lieferketten erkannt und beginnen diese gezielt robuster auszugestalten. Die verheerende Flut in Thailand 2012, der Tsunami in Japan, die Brände in den Textilfabriken in Bangladesh sowie zahlreiche Rückrufe in der Automobilindustrie haben die Zerbrechlichkeit der Lieferketten demonstriert und die singuläre Ausrichtung auf das  Ziel der reinen Kostenoptimierung relativiert. BCM, Einkauf, Risikomanagement, Recht müssen mit den Lieferanten auf den verschiedenen Ebenen der Lieferkette hierzu Hand in Hand zusammenarbeiten, um mehr Robustheit in allen Stufen der Lieferkette unter wirtschaftlichen Gesichtspunkten zu erreichen.

Organisatorische Resilienz ist daher mehr ein Zielbild als ein organisatorisches Konzept, das in kurzer Zeit umgesetzt werden kann. Es lohnt sich aber aus meiner Sicht ohne Zweifel, diesen mühsamen beschwerlichen Gang zur verstärkten Integration der Disziplinen für ein gemeinsames Zielbild zu gehen und die geliebten Silos Stück für Stück einzureißen. Das Management wird diesen Standard kaum selbst lesen, die Integration der Disziplinen aber unter Effizienz-und Kostenaspekten nachhaltig einfordern. Regulatorik und Gesetzgeber werden die Integration der Methoden und Verfahren ebenfalls einfordern und in Normen verbindlich machen. Organisatorische Resilienz ist zwar aktuell weitgehend aus den BCM-Schlagzeilen verschwunden, aber wichtiger denn je. Dem Hype folgt  jetzt die harte Kärnerarbeit in der betrieblichen Praxis. Der neue Standard für Resilienz kommt hierfür zur richtigen Zeit.

Ich freue mich auf Ihre Kommentare, Anregungen und Kritik!

Wenn Sie diesen Artikel gerne in einer geschlossen Gruppe kommentieren oder diskutieren wollen, können Sie dies gerne im BCM-Forum tun (www.bcm.community).

Anmerkungen zum Draft des BS 11200 Crisis Management

Abgelegt in: Antworten

Vor Kurzem hat British Standards den Draft des Krisenmanagement-Standards BS 11200 für die öffentliche Kommentierung zur Verfügung gestellt. Für die BCM-News hat Christian Zänker (zaenker@bcmpartner.de) den Draft tiefgehend analysiert. Seine kritische Analyse lesen Sie in diesem Beitrag.

Die British Standard Institution BSi hat mit dem BS 11200 Crisis Management bereits nach zwei Jahren den Nachfolger der Public Available Specification PAS200 als Draft vorgestellt.

Der Draft des BS 11200 stellt konzeptionell wie inhaltlich eine immense Verbesserung gegenüber dem PAS200 dar. (https://www.bcm-news.de/2011/11/28/pas-200-und-business-continuity-management/)

Weiterlesen…

BS 11200 Crisis Management steht als Draft zur Kommentierung zur Verfügung

Abgelegt in: 1 Antwort

Der Standard BS 11200 Crisis Management - Guidance and good practice steht zur öffentlichen Kommentierung zur Verfügung. Bis Freitag, den 10. Januar 2014 kann der Standard im Draft Review System des BSI nach vorheriger Registrierung kommentiert werden.

Inhalte des BS 11200:

Foreword

0 Introduction

1 Scope

2 Terms and definitions

3 Crisis management: core concepts, principles and developing a capability

4 Building a crisis management capability

5 Crisis leadership

6 Strategic crisis decision-making

7 Crisis communications

8 Training, exercising and learning from crises

Bibliography

Figures

Figure 1 – A framework for crisis management

Figure 2 – Strategic decision-making in a crisis

Figure 3 – Potential problems in crisis decision-making

Figure 4 – Crisis communication flow

Tables

Table 1 – Distinctions between incidents and crises

Table 2 – Key principles of crisis communications

BSI veröffentlicht Umsetzungsrahmenwerk zum Notfallmanagement nach BSI-Standard 100-4

Abgelegt in: 1 Antwort

Das Bundesamt für Sicherheit in der Informationstechnik hat gemeinsam mit der HiSolutions AG ein Umsetzungsrahmenwerk für den Standard BSI 100-4 entwickelt und veröffentlicht. Das Rahmenwerk enthält zahlreiche Templates und Hilfsmittel, vor allem für Unternehmen, die gerade beginnen ein BCM neu aufzubauen. Das Rahmenwerk ergänzt so ideal den Standard BSI 100-4.

"Das Umsetzungsrahmenwerk richtet sich an Behörden und Unternehmen, die gerade dabei sind, ein Notfallmanagement aufzubauen und sich dabei am BSI-Standard 100-4 ausrichten. Dieses Umsetzungsrahmenwerk wurde in einem Projekt mit der HiSolutions AG und dem BSI erstellt. Die Dokumente werden als Vorabversion zur Verfügung gestellt. Mit Anregungen und Kritik können Sie sich gerne jederzeit an grundschutz@bsi.bund.de wenden.

Das Umsetzungsrahmenwerk besteht aus:

  • Einem Hauptdokument, welches beschreibt, wozu Notfallmanagement und das Umsetzungsrahmenwerk dienen und worauf beide abzielen. Ferner enthält das Hauptdokument eine Übersicht über alle vorhandenen Dokumente und Hilfsmittel. Dieses Dokument sollte zuerst durchgelesen werden.
  • Neun Modulen zu allen Phasen des Notfallmanagements. Jedes dieser Module enthält dabei Textvorlagen für alle relevanten Dokumente des Notfallmanagements (z. B. zur Leitlinie), Muster für Workshop-Präsentationen (z. B. zur Erstellung einer Business Impact Analyse) und eine Modulbeschreibung, in welcher nötige Vorarbeiten und zu erzielende Ergebnisse beschrieben sind.
    Drei Leitfäden, die beschreiben, wie in einer Institution stufenweise ein Notfallmanagement eingeführt werden kann.
    • Mit der Umsetzung vom Leitfaden Stufe 1 kann eine Institution eine elementare Fähigkeit zur Notfallbewältigung erreichen und die Basis für ein Notfallmanagement legen.
    • Mit der Umsetzung vom Leitfaden der Stufe 2 wird die Notfallbewältigung ausgebaut und durch die Notfallvorsorge ergänzt.
    • Mit der Umsetzung vom Leitfaden der Stufe 3 wird das gesamte Notfallmanagementsystem eingeführt. Dieses Notfallmanagementsystem enthält neben Notfallvorsorge und -bewältigung auch die Aufrechterhaltung und kontinuierliche Verbesserung."

Quelle: BSI

 

BCM Wiki im Aufbau

Abgelegt in: 1 Antwort

Als weiteres "Schmankerl" des Leistungsangebots der BCM-News soll hier ein BCM-Wiki entstehen. Ein Anfang ist gemacht, indem die ersten BCM-Standards aufgenommen sind. Aber noch klebt das Baustellenschild an der Funktion. Das Wiki ist in der Seitenleiste unter der leistungsfähigen Suchfunktion erreichbar oder unter www.bcm-wiki.de. Ich würde mich natürlich über aktive Mitstreiter freuen, dann geht es schneller voran. Und natürlich über Ideen, Verbesserungsvorschläge und Motivation ...

Zwei neue BCM-Standards bei BSI in Arbeit

Abgelegt in: 1 Antwort

Gerade erst sind die beiden ISO-Standards 22301 und 22313 erschienen. Und das Technical Committee 223 der ISO hat noch weitere Standards im Köcher wie aus dem workprogramme ersichtlich ist. Besonders gespannt bin ich auf den neuen Standard "Guidelines for exercises". Zu diesem Thema gibt es ja bereits das Published Document 25666:2010 "Guidance on ecercising and testing for continuity and contingency programmes" des BSI. Doch auch British Standards bleibt nicht untätig und entwickelt weitere Standards zum Business Continuity Management. Die Standardisierungsorganisationen scheinen ein lukratives Betätigungsfeld identifiziert zu haben.

Die beiden beim BSI in Entwicklung befindlichen Standards sind:

BS 11200 Crisis Management

BS 45000 Organizational Resilience

Ich bin gespannt, was uns die neuen Standards bringen werden. Einen Überblick über die nationalen und internationalen Standards für das BCM zu behalten wird so langsam zur echten Herausforderung. Unter dem Menüpunkt "Know How" finden Sie auch eine Präsentation, in der ich eine Übersicht über eine Auswahl von BCM-Standards dargestellt habe.

ISO 22313 kurz vor finaler Veröffentlichung

Abgelegt in: 1 Antwort

Der IS-Standard 22313 "Societal security -- Business continuity management systems -- Guidance" steht kurz vor der finalen Veröffentlichung. Im Statusreporting des Technical Committee 223 der ISO hat er jetzt den Status 60.00 "International Standard under publication" erklommen. Es gibt keine Änderungen mehr am Dokument. Der Guidance ist die "Ausführungsbestimmung" zum ISO 22301 und entspricht somit von der Struktur dem Vorgänger BS 25999-1.  Zu erkennen an der Verwendung von "should" statt "shall" wie im ISO 22301. Die Gliederungsstruktur des ISO 22313 entspricht der des ISO 22301. Im Work programme des TC 223 befinden sich noch weitere Dokumente, wie zum Beispiel ein Guideline for exercises.

ISO TC 223

BCM relevante Standards

Abgelegt in: Standards 1 Antwort

Ich habe ein paar Informationen über BCM-Standards und Standards mit BCM-Bezug erstellt. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit. Ich freue mich über Informationen zu weiteren relevanten Standards - am Besten als Kommentar zu diesem Beitrag. Links zu Standards finden sich auch im Linkverzeichnis der BCM-News (Menüpunkt "Links").
[slideshare id=15452660&doc=bcmstandards-121202111949-phpapp02]

Neuer ISO-Standard für Cyber-Security: ISO/IEC 27032:2012

Abgelegt in: Standards Antworten

ISO hat einen neuen Standard für Cyber-Security veröffentlicht:

"As we rely on the Internet for all kinds of activities, from sharing important work files to paying our bills, cybersecurity has become a key concern for all of us. A new ISO standard, ISO/IEC 27032:2012, Information technology – Security techniques – Guidelines for cybersecurity, will make cyberspace safer.", so die ISO zum neuen Standard.

Inhalte des neuen Standards:

  • an overview of Cybersecurity,
  • an explanation of the relationship between Cybersecurity and other types of security,
  • a definition of stakeholders and a description of their roles in Cybersecurity,
  • guidance for addressing common Cybersecurity issues, and
  • a framework to enable stakeholders to collaborate on resolving Cybersecurity issues.

Der Standard kann bei der ISO zu einem Preis von 154 CHF online bezogen werden.

Der ISO-Standard 27031:2011 aus dieser Standard-Familie bildet die Schnittstellen zwischen der IT und dem BCM ab.