Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

DIN EN ISO 22300:2021 in deutsch erschienen

Der ISO-Standard ISO 22300:2021-06 “Sicherheit und Resilienz – Begriffe” ist in deutscher Sprache erschienen. Der Standard enthält das Glossar der Begrifflichkeiten für Sicherheit und Resilienz für diese Normenreihe.

Der ISO-Standard kann beim Beuth-Verlag bezogen werden.

Erfahrungsgemäß sind die Übersetzungen in die deutsche Sprache nicht immer sehr gut gelungen und die englischen Begriffe prägnanter und aussagekräftiger. Ob dies auch für diesen Standard zutrifft, kann ich allerdings noch nicht beurteilen.

Testen und Üben –Sisyphusarbeit im Business Continuity Management

Die Novellierungen der MaRisk und BAIT stellen hohe Anforderungen an die Durchführung von Tests und Übungen

Am 26. August 2021 hat das BaFin die Novellierungen der Mindestanforderungen an das Risikomanagement (MaRisk) und der Bankaufsichtlichen Anforderungen an die IT (BAIT) nach der Konsultationsphase final veröffentlicht.

Für das Business Continuity- und IT-Notfallmanagement gibt es insbesondere hinsichtlich der Durchführung von Übungen und Tests konkretisierte Anforderungen, die für die betroffenen Finanzdienstleister erhebliche Mehraufwände im Testen und Üben nach sich ziehen.

Für so manchen BCM- und ITSCM-Verantwortlichen wird die Umsetzung der Anforderungen wie eine nie enden wollende Sisyphusarbeit erscheinen.

Es gibt jedoch Stellschrauben, um die Aufwände für die nachzuweisenden Tests und Übungen zumindest zu verringern, ohne an Qualität zu verlieren.

In meinem aktuellen Beitrag auf 3GRC stelle ich mehrere dieser Stellschrauben vor.

Anforderungen der BCM-Standards an die BCM-Risikoanalyse

Die BCM-Risikoanalyse stellt Unternehmen im Vergleich zu den anderen Phasen des BCM-Lebenszyklus, der Business Impact Analyse, der Notfallplanung sowie den Tests und Übungen oftmals vor neue methodische und organisatorische Fragestellungen. Das Verständnis, ob, wann und wie eine Risikoanalyse im Business Continuity Management durchgeführt werden soll hat sich im Entwicklungsverlauf der BCM-Disziplin gewandelt und auch innerhalb der BCM-Verantwortlichen gibt es heute unterschiedliche Sichtweisen auf dieses spannende Thema. Der BS 25999, Vorläufer des aktuellen ISO-Standards 22301, verweist bei der Risikoanalyse noch auf die Pflichtelemente des ISO 27001. In der Fassung von 2012 verweist der ISO 22301 dann bei der Umsetzung des Risikomanagements auf die ISO 31000 und definiert darüber hinaus nur sehr rudimentäre Anforderungen an das Risikomanagement aus BCM-Sicht. Dies lässt die BCM-Verantwortlichen mit zahlreichen Fragezeichen zurück.

In meinem Beitrag auf 3GRC habe ich die Anforderungen der Standards an die BCM-Risikoanalyse näher betrachtet und gegenübergestellt.

Emergency Communications Report 2021

Das Business Continuity Institute BCI hat in Zusammenarbeit mit F24 die 6. Ausgabe des Emergency Communications Report 2021 veröffentlicht. Die Umfrage beleuchtet die Entwicklungen bei der Alarmierung und Kommunikation in einer Krise.

Die Ergebnisse der Umfrage sind durch die Erfahrungen der Organisationen im Umgang mit der Covid19-Pandemie in 2020 geprägt, zeigen aber auch darüber hinaus längerfristige Tendenzen für die Digitalisierung im Krisenmanagement auf.

64 Prozent der befragten Unternehmen setzen Software oder Tools für die Alarmierung und / oder Krisenmanagement ein. Der Trend geht hierbei deutlich zur Nutzung von Lösungen aus der Cloud (SAAS) mit einem Anteil von 74 Prozent der eingesetzten Lösungen. 41 Prozent der Unternehmen erreichen mit Hilfe dieser Toolunterstützung eine Alarmierungszeit von unter 5 Minuten.

Die Covid19-Pandemie hat durch das räumlich verteilte Arbeiten auch zu einer stärkeren Digitalisierung in der Krisenstabsarbeit geführt. Neben dem klassischen Krisenstabsraum werden für die Kollaboration im Krisenstab vor allem Kollaborations- und Messenger Tools aus dem Business-Umfeld (Microsoft Teams, Slack, Skype) sowie Telefonkonferenzen eingesetzt. Auch dedizierte Krisenmanagementsoftware weist eine starke Nutzung in der Krisenstabsarbeit auf. Immerhin werden in fast 30 Prozent der Fälle jedoch auch Messenger Tools aus dem privaten Umfeld (Bsp. WhatsApp) eingesetzt.

Den vollständigen Emergency Communications Report 2021 mit den ausführlichen Ergebnissen erhalten Sie auf den Webseiten des BCI und F24.

Business Continuity Management gut versteckt

In der Finanzdienstleistungsbranche ist der Begriff Business Continuity Management mittlerweile ein gängiger Begriff. Die regulatorischen Anforderungen und die damit einhergehende Nutzung von Standards und Normen hat hier zu einem guten Begriffsverständnis dieser Disziplin geführt. In anderen Branchen wie zum Beispiel dem Gesundheitsbereich, der Automobilindustrie oder dem Maschinenbau ist Business Continuity Management weit weniger bekannt.

Hieraus jedoch den Schluss zu ziehen, dass dort kein BCM praktiziert wird, ist jedoch häufig ein Trugschluss. Das Business Continuity Management versteckt sich häufig nur in anderen Disziplinen und will aus seinem Dornröschenschlaf erweckt werden. In vielen Branchen hat das Qualitätsmanagement eine lange Tradition und eine große Bedeutung. Teile des BCM sowie des Prozessmanagements finde ich daher häufig im Qualitätsmanagement vor. Zur Sicherstellung der Qualität werden Prozessabläufe definiert und beschrieben sowie Verfahren bei Fehlern oder Ausfällen. Auch Risiko- und Supply Management sind sehr gute Anlaufpunkte, um bestehende Notfallvorsorgemaßnahmen zu identifizieren. Schließlich wissen Produktions- oder Schichtleiter aus ihrer Erfahrung heraus sehr gut mit Ausfällen von Anlagen und Produktionsprozessen umzugehen.

Oftmals muss daher in diesen Unternehmen kein BCM “von der Pieke auf” neu implementiert werden. Es gilt, die bereits bestehenden Ansätze zu identifizieren und zusammenzufügen, sowie fehlende Bausteine zu ergänzen. Meist fehlt es schlichtweg an einer gesamtheitlichen und strukturierten Dokumentation, da sich viel Wissen und Erfahrung in den Köpfen der Mitarbeiter befindet. Es wäre schade und Ressourcenverschwendung, dieses bestehende Wissen nicht zu nutzen. Oftmals heißt es dann “Och das ist Business Continuity Management? – aber das machen wir doch schon”.

Das Zusammenspiel zwischen Business Continuity Management und IT Service Continuity Management

Heute wird es sportlich in den bcm-news, denn wir gehen auf den Fußballplatz. Ein spannendes Spiel ist angekündigt. Ganz in big-blue läuft das Team ITSCM auf den Platz. Eine Traditionsmannschaft mit technisch sehr versierten Spielern, die sich aber manchmal in ihrer Technik verlieren. In den Umkleidekabinen ist immer das Summen der aufwändigen Technik zu hören. Neben dem Mannschaftsbus ist auch immer ein Technikbus dabei. Auf der anderen Seite, ganz in grün, die relativ junge Mannschaft BCM. Manche Spieler haben aus dem ITSCM-Team dorthin gewechselt, andere kommen aus ganz anderen Disziplinen. Sie können ganz gut mit dem Publikum und haben sich so eine treue Fangemeinde aufgebaut.

Das Spiel besteht aus fünf Runden. Diese Neuerung gegenüber den zwei Halbzeiten ist durch den Zertifizierungsprozess des Ligabetriebs erforderlich geworden. Der Auditor W.E. Deming hat im Pre-Audit mit bitterernster Miene festgestellt, dass mit nur zwei Halbzeiten niemals eine hohe Qualität des Spiel-Ergebnisses sichergestellt werden kann und eine Zertifizierung somit nicht erfolgen könne. Die fünf Spiel-Phasen in Verbindung mit dem Videobeweis haben die Zertifizierung möglich gemacht.

Aber jetzt lassen wir das Spiel beginnen.

Weiterlesen…

Warum Notfall nicht gleich Notfall ist

Die Disziplinen Business Continuity und Krisenmanagement zeichnen sich leider dadurch aus, dass es eine Vielzahl von Begrifflichkeiten, Abkürzungen und Definitionen gibt. Aus diesem enormen Füllhorn bedienen sich dann Unternehmen und Organisationen nach Belieben. Dies führt dazu, dass schon innerhalb von Unternehmen Begriffe nicht eindeutig definiert sind. Zwischen Unternehmen, Lieferanten, Dienstleistern und Behörden ist ein gemeinsames Begriffsverständnis in weiter Ferne. Zu den beliebtesten Begriffen zählen Störungen, Notfälle, Katastrophen, K-Fälle, gerne auch ergänzt durch Incidents und Problems.

In der Hitliste ganz oben der meistverwendeten Begriffe ist der “Notfall”. Allseits beliebt und doch nicht eindeutig definiert. Erklären zwei Unternehmen den Notfall, kann dies völlig unterschiedliche Ereignisse beschreiben. Bei einem Unternehmen ist der Notfall eine Eskalationsstufe einer Störung und noch gut beherrschbar. In einem anderen Unternehmen kann ein Notfall bereits den größten anzunehmenden Unfall GAU darstellen (einen “Super-GAU” kann es sprachlich nicht geben).

Aber bereits innerhalb eines Unternehmens kann es schnell zu Missverständnissen kommen. Aus Sicht des Business Continuity Managements liegt ein Notfall beispielsweise vor, wenn zeitkritische Geschäftsprozesse unterbrochen sind. Aus Sicht der IT liegt ein Notfall beispielsweise vor, wenn kritische IT-Systeme ausfallen. Ein Notfall in der IT kann einen Notfall des BCM nach sich ziehen, muss es aber nicht. Ist ein IT-System redundant abgesichert, führt der Ausfall (hoffentlich) nicht zu einer Beeinträchtigung der Geschäftsprozesse. Aus der Praxis hat sich daher bewährt zwischen einem IT-Notfall und einem BCM-Notfall zu differenzieren. Schon bei der Feststellung des jeweiligen Notfalls wird so klar, welche Ressourcen des Unternehmens betroffen sind und welche nicht. Natürlich kann ein IT- und BCM-Notfall auch gleichzeitig auftreten. Ein BCM-Notfall verursacht durch einen Personalausfall in den IT-Prozessen kann einen IT-Notfall nach sich ziehen. Umgekehrt kann ein IT-Notfall zum Ausfall zeitkritischer Geschäftsprozesse und damit einem BCM-Notfall führen. Ein keiner Schritt auf einem langen Weg zu einem besseren Begriffsverständnis.

Positive Nebeneffekte einer Business Impact Analyse: Transparenz über die Organisation und die Geschäftsprozesse

Die Business Impact Analyse basiert auf den Geschäftsprozessen des Unternehmens. Ziel der BIA ist es, die zeitkritischen Geschäftsprozesse zu identifizieren, deren Unterbrechung oder Ausfall zu großen oder gar existentiellen Schäden für das Unternehmen führen können.

“A thorough understanding of the organization”, also ein tiefgreifendes Verständnis der Organisation, ist das Ziel der Analyse-Phase gemäß der Good Practice Guidelines des Business Continuity Institute BCI. Die Märkte, Kunden, Produkte und Services, Geschäftsprozesse sowie Dienstleister- und Lieferantenbeziehungen gehören zu einem erfolgreichen Funktionieren eines Unternehmens.

Gut modellierte Geschäftsprozesse und Ressourcenzusammenhänge sind daher eigentlich die Voraussetzung für das gute Gelingen einer Business Impact Analyse. Produkt- und Servicekataloge, Prozesslandkarten, IT-Anwendungslisten und dokumentierte Informationsverbünde, Dienstleister- und Vertragsverzeichnisse sowie betriebswirtschaftliche Kennzahlen wie Umsätze und Deckungsbeiträge gehören zum Basis-Werkzeugkasten einer BIA.

Doch auch im Business Continuity Management ist die Welt nicht optimal. In der Regel fehlen beim Projektstart eines oder gleich mehrere dieser Werkzeuge. Manche Werkzeuge sind vorhanden, aber stumpf wie zum Beispiel eine nicht gepflegtes IT-Anwendungsverzeichnis oder schlecht strukturierte Prozesslandkarten.

Jetzt die Hände in den Schoß zu legen und zu warten bis die Werkzeugkiste vom Himmel fällt ist jedoch der falsche Ansatz. Sehr oft habe ich in meiner Beratungspraxis erlebt, dass aus dem BCM-Projekt gestoppte oder eingeschlafene Ansätze mittels einer Initialzündung wieder zum Leben erweckt werden konnten. Oftmals sind Geschäftsprozessmodellierungsprojekte mehrfach euphorisch gestartet worden, um dann später frustriert wieder eingestellt zu werden oder schlicht einzuschlafen. Das BCM und insbesondere die Business Impact Analyse gibt vielen Werkzeugen einen Sinn und fügt sie zusammen. Was nutzt der schönste Drehmomentschlüssel im Werkzeugkasten, wenn es keine sinnvolle Anwendung dafür gibt oder er den völlig falschen Drehmomentbereich für die kleinen feinen Schrauben hat. Das BCM wird diese Werkzeuge nicht herstellen können, sondern den vielen schönen Tools einen Einsatzzweck geben, in dem sie alle für ein gemeinsames Ziel zusammenwirken können: “das Geschäft verstehen und modellieren”. Was gibt es nichts Schöneres, als sich mit einem gut ausgestatteten Werkzeugkoffer an die Arbeit zu machen und das Werk erfolgreich zu beenden mit einem gemeinsamen Verständnis, wie die Bausteine zusammenwirken.

Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen

Im Krisenmanagement gibt es den Leitspruch “In der Krise Köpfe kennen”. Dies bedeutet, die richtigen Ansprechpartner für die Lösung der Herausforderungen zu kennen, aber auch Verhaltensweisen von Menschen in Stress-Situationen einschätzen zu können. Ein wichtiger Weg, Köpfe kennenzulernen ist die Business Impact Analyse.

Die Business Impact Analyse stellt eine Tournee durch die ganze Organisation auf der Suche nach kritischen Geschäftsprozessen dar. Auf dieser Tournee bekommt man Kontakt zu ganz vielen Menschen im Unternehmen aus den unterschiedlichsten Bereichen. Morgens ein Interview mit dem Prozessverantwortlichen aus dem Wertpapierbereich, der mit einem Mausklick Millionenbeträge bewegt, Nachmittags im Keller beim Facility Management umgeben vom Dieselgeruch des Notstromaggregats. In kaum einer Disziplin wie dem BCM, und hier insbesondere der Business Impact Analyse, gibt es die Möglichkeit, alle Bereiche und Nischen des Unternehmens zu erkunden und kennenzulernen. Auf diesem Weg lernt man viele Menschen kennen, lernt viel über deren Aufgabenbereiche und kann persönliche Kontakte über das BCM hinaus knüpfen. Der Kontakt reicht von der analytischen Betrachtung von Geschäftsprozessen, Dienstleistern, Technik und IT bis zu Präsentationen der Ergebnisse bei der Geschäftsführung.

Ein wesentlicher Grund, warum ich beim Business Continuity Management seit vielen Jahren hängen geblieben bin, ist diese Vielseitigkeit der Themenbereiche mit einer hohen Anforderung an die Kommunikationsfähigkeit mit verschiedensten Ansprechpartnern. Die Business Impact Analyse ist eine große Chance für die BCM-Verantwortlichen ihr Gesicht zu zeigen, Köpfe zu kennen und Awarenessbildung für das BCM zu machen. Eine BIA mag durch einen Fragebogen erhebbar sein, das persönliche Kennenlernen ist durch Nichts zu ersetzen und jede Zeit und Mühe wert in meinen Augen.