Was ist BS 25999?

Eine führende Norm zum betrieblichen Kontinuitätsmanagement

BS 25999-2 war ein britischer Standard, der 2007 herausgegeben wurde und schnell zum Hauptstandard für betriebliches Kontinuitätsmanagement wurde – er wurde 2012 durch ISO 22301 abgelöst.

Genauso wie ISO 27001, ISO 9001, ISO 14001 und weitere Normen, die Managementsysteme definieren, legt die BS 25999-2 auch ein betriebliches Kontinuitätsmanagement fest, welches die gleichen vier Managementphasen umfasst: Planung, Umsetzung, Prüfung und Überwachung, und schließlich Verbesserung. Das Entscheidende an diesen vier Phasen besteht in der kontinuierlichen Aktualisierung und Verbesserung des Systems. Damit ist es einsatzbereit und nutzbar, sobald eine Katastrophe eintritt.

Die nachfolgenden Elemente sind einige der wichtigsten Verfahren und Dokumente, die laut BS 25999-2 erforderlich sind:

  • Rahmen des  BKM – legen Sie die denjenigen Teil der Organisation fest, auf den das betriebliche Kontinuitätsmanagement Anwendung findet
  • BKM-Richtlinie – sie legt Ziele, Verantwortlichkeiten usw. fest
  • Personalverwaltung
  • Geschäftsauswirkungsanalyse und Risikoeinschätzung
  • Festlegen der Strategie für betriebliches Kontinuitätsmanagement
  • Pläne für betriebliches Kontinuitätsmanagement
  • Wartung der Pläne und des Systems – Verbesserungen

Personalverwaltung

Die Norm hält fest, dass es von grundlegender Bedeutung ist, die notwendigen Kenntnisse und Qualifikationen festzulegen. Damit können die notwendigen Schulungssitzungen erfasst werden, diese Schulungssitzungen durchgeführt werden und schließlich kann auch geprüft werden, ob die erforderlichen Kenntnisse und Qualifikationen erworben wurden. Diese Aufzeichnungen müssen aufbewahrt werden.

Laut BS 25999-2 müssen außerdem Sensibilisierungsprogramme durchgeführt werden. Außerdem muss den Mitarbeitern die Bedeutung des betrieblichen Kontinuitätsmanagements vermittelt werden.

Geschäftsauswirkungsanalyse und Risikoeinschätzung

Die Geschäftsauswirkungsanalyse (GAA) beschäftigt sich mit den wichtigen Tätigkeiten innerhalb einer Organisation. Sie legt die maximal zulässige Dauer einer Unterbrechung sowie die Interdependenz der einzelnen Aktionen fest. Sie bestimmt, welche Tätigkeiten als kritisch anzusehen sind, sie analysiert die bestehenden Vereinbarungen mit Lieferanten und Outsourcern und legt schließlich die Wiederanlaufdauer (das ‚Recovery Time Objective‘) fest.

Mit der Risikoeinschätzung wird festgelegt, welche Katastrophen und andere Unterbrechungen des Geschäftsbetriebs auftreten können, welche Konsequenzen diese haben, aber auch, welche Schwächen und Gefährdungen zu diesen betrieblichen Unterbrechungen führen können. Auf Grundlage dieser Bewertung legt die Organisation fest, wie die Möglichkeit eines Risikos reduziert kann und wie es im Falle des Eintretens eingedämmt wird.

Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Eine Strategie legt fest, wie die Organisation im Falle einer Katastrophe eine Wiederherstellung durchführt. Die Strategie wird auf Grundlage der Ergebnisse festgelegt, die sic aus Risikoeinschätzung und Geschäftsauswirkungsanalyse ergeben. In der Regel umfasst diese Strategie alternative Standorte, Optionen bei der Datenwiederherstellung, Wiederherstellung personeller Ressourcen, Kommunikationsanbindungen, Ausstattung, Management der Lieferanten und der Outsourcing-Partner usw.

Plan für betriebliches Kontinuitätsmanagement

Der Plan für betriebliches Kontinuitätsmanagement umfasst Pläne für Reaktionen auf Vorfälle (Aktivierungsverfahren für den Plan für betriebliches Kontinuitätsmanagements) sowie die Wiederherstellungspläne für kritische Tätigkeiten – sie werden basierend auf der Strategie des betrieblichen Kontinuitätsmanagements sämtlich schriftlich festgehalten.

In einem Störfallreaktionsplan muss festgelegt werden, wie Vorfalltypen, Kommunikationskanäle, Maßnahmentypen, Verantwortung usw. bestimmt werden.

Die Wiederherstellungspläne müssen mehrere Elemente festlegen: die Rollen und Verantwortlichkeiten, die wichtigsten Schritte der Wiederherstellung, die Standorte, die zu verwendenden Ressourcen und deren Standort, die Prioritäten, welche Aktionen nach Abschluss der Wiederherstellung durchzuführen sind usw.

Wartung der Pläne und Systeme – Verbesserungen

Die Norm enthält die folgenden Bestimmungen:

  • Regelmäßige Durchführung und Prüfung der Pläne, um Mitarbeiter vertrauter mit den Plänen werden zu lassen und um deren aktuellen Wissensstand zu prüfen
  • Durchführen interner Audits in regelmäßigen Abständen
  • Managementprüfungen, um zu gewährleisten, dass das BKM funktioniert und um angemessene Verbesserungen durchzuführen
  • Ergreifen von Vorbeugungs- und Korrekturmaßnahmen, um nicht nur die Pläne, sondern auch andere Systemelemente zu verbessern

Dokumentation

Für BS 25999-2 sind die folgenden Dokumente erforderlich:

  • Rahmen des BKM
  • Richtlinie des BKM
  • Besondere Verantwortlichkeiten beim BKM
  • Verfahren zur Verwaltung der Dokumente und Aufzeichnungen, Verfahren für Korrektur- und Vorbeugungsmaßnahmen
  • Methodologie der Geschäftsauswirkungsanalyse sowie Ergebnisse dieser Analyse
  • Methodologie der Risikoeinschätzung
  • Strategie für betriebliches Kontinuitätsmanagement
  • Plan für betriebliches Kontinuitätsmanagement, der den Störfallreaktionsplan (bzw. -pläne) sowie den Wiederherstellungsplan (bzw. -pläne) mit einschließt
  • Aufzeichnungen

Der Umfang der Dokumentation hängt von der Anzahl der kritischen Tätigkeiten innerhalb einer Organisation ab – eine Operation mit wenigen kritischen Tätigkeiten wird auch nur eine geringe Menge an Dokumenten für die Geschäftsauswirkungsanalyse, die Risikoeinschätzung und die Pläne für betriebliches Kontinuitätsmanagement benötigen, während die Dokumentation größerer Organisationen natürlich umfassender sein wird.

Andere verwandte Normen

Neben BS 25999-2 ist BS 25999-1 eine „Hilfsnorm“, die weitere Informationen bietet, wie bestimmte Teile der Norm BS 25999-2 umzusetzen sind.

Weitere nützliche Normen sind ISO 27001, die das betriebliche Kontinuitätsmanagement in den breiteren Kontext der Informationssicherheit stellt, sowie ISO 27005, die eine detaillierte Beschreibung des Risikoeinschätzungsprozesses vermittelt.

dejan-circle-new

Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301

Haben Sie weitere Fragen?

Sprechen Sie kostenlos mit unseren Beratern

KOSTENLOSE BERATUNG VEREINBAREN

Kostenloser Rechner zum Gewinn durch die Investition in Sicherheit (ROSI)

Wurde Ihnen je gesagt, dass Ihre Sicherheitsmaßnahmen zu teuer sind? Oder fanden Sie es schon  einmal sehr schwierig, dem Management zu erklären, was die Konsequenzen eines Sicherheitszwischenfalls wären?

MEHR ERFAHREN

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.