Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuitätsmanagement nicht viel gemeinsam – man möchte vielleicht anmerken, dass beide mit IT zu tun haben.
Informationssicherheit-Management wird in der internationalen Norm ISO/IEC 27001 am besten definiert, während die britische Norm BS 25999-2 betriebliches Kontinuitätsmanagement festlegt – wenn wir also diese beiden Themen vergleichen wollen, so ist es das Klügste, die Inhalte dieser beiden Normen anzuschauen.
Zunächst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT – der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die größten Risiken in bösartigen und unbeabsichtigten Aktivitäten von Mitarbeitern bestehen. Daher können die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuitätsmanagements nicht allein durch Informationstechnologie gelöst werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.
Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als „Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Andererseits definiert BS 25999-2 betriebliches Kontinuitätsmanagements als die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“.
Die beiden Normen scheinen sich nicht sehr ähnlich zu sein. Da gibt es jedoch einen sehr ähnlichen Aspekt – Verfügbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuitätsmanagement darauf, Informationen für die Mitarbeiter verfügbar zu halten, die sie benötigen – diesbezüglich bietet der Anhang A der ISO 27001 einige Maßnahmen, die sich nur auf das betriebliche Kontinuitätsmanagement beziehen.
Außerdem verlangen beide Normen, dass die Risikoeinschätzung vorgenommen wird, um mögliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchführung interner Audits, Managementprüfungen sowie Korrektur- und Vorbeugungsmaßnahmen erforderlich. Sollten Sie also bereits über eine Dokumentation für ISO 27001 verfügen, so können sie die gleichen Verfahren auch für BS 25999-2 verwenden (mit nur geringfügigen Änderungen).
Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich größeren Bereich ab und ist daher bezüglich des betrieblichen Kontinuitätsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Geschäftsauswirkungsanalyse durchzuführen ist, wie Strategien für betriebliches Kontinuitätsmanagement festgelegt werden, welche Inhalte die Pläne für betriebliches Kontinuitätsmanagement haben sollten usw.
Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuitätsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuitätsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.
Sie können sich auch unser kostenloses Webinar ISO 27001 & ISO 22301: Why is it better to implement them together? ansehen.