ISO 22301 Grundlagen

Was ist ISO 22301?

Der vollständige Name dieser Norm lautet ISO 22301:2012, Unternehmenssicherheit – Systeme für betriebliches Kontinuitätsmanagement – Anforderungen. Diese Norm wurde von führenden Fachleuten des betrieblichen Kontinuitätsmanagements verfasst. Sie ist der optimalen Rahmen für die Steuerung des betrieblichen Kontinuitätsmanagements innerhalb einer Organisation.

Eines der Merkmale, das diese Normen von anderen Frameworks oder Normen für betriebliches Kontinuitätsmanagement unterscheidet, besteht darin, dass das Unternehmen von einer akkreditierten Zertifizierungsstelle zertifiziert werden kann. Somit kann es gegenüber seinen Kunden, Partnern, Besitzern und anderen Betroffenen seine Konformität nachweisen.

Beziehung zu BS 25999-2

ISO 22301 hat 25999-2 ersetzt – diese beiden Normen sind ziemlich ähnlich, aber ISO 22301 könnte auch als ein Upgrade der Norm BS 25999-2 angesehen werden. Unterschiede zwischen diesen beiden Normen sehen Sie in der Infografik ISO 22301 vs. BS 25999-2.

Was sind die Vorteile des betrieblichen Kontinuitätsmanagements?

Bei richtiger Umsetzung wird das betriebliche Kontinuitätsmanagement die Möglichkeit eines betriebsunterbrechenden Vorfalls senken. Sollte ein solcher Vorfall jedoch eintreten, so wird die Organisation in der Lage sein, angemessen zu reagieren. Dies wird die möglichen Auswirkungen und Schäden dieses Vorfalls weitestgehend minimieren.

Wer kann die Norm umsetzen?

Jede Organisation –- egal ob groß oder klein, gewinnorientiert oder gemeinnützig, privat oder öffentlich. Die Norm ist so gestaltet, dass sie auf jede Organisationsgröße oder -typ angewendet werden kann.

Wie integriert sich das betriebliche Kontinuitätsmanagement in das Gesamtmanagement?

Betriebliches Kontinuitätsmanagement ist Teil des gesamten Risikomanagements eines Unternehmens, mit überlappenden Bereichen zum Informationssicherheits-Management und IT-Management.

Hinweis: Risikomanagement ist Teil des gesamten Unternehmensmanagements.

Grundbegriffe in einer Norm

  • Betriebliches Kontinuitätsmanagement (BKM) – als Teil eines Gesamtmanagementsystems, welches das betriebliche Kontinuitätsmanagement berücksichtigt – wird geplant, umgesetzt, gepflegt und ständig verbessert
  • Maximal akzeptable Ausfalldauer (MAO) – die maximale Zeitdauer, für die eine Geschäftstätigkeit unterbrochen werden darf, ohne dass inakzeptable Schäden auftreten (auch maximal tolerierbarer Störungszeitraum – MTPD)
  • Recovery Time Objective (RTO oder Wiederanlaufdauer) – die vorab festgelegte Zeit, nach der eine Aktivität wieder aufgenommen oder Ressourcen wiederhergestellt sein müssen
  • Recovery Point Objective (Wiederanlaufpunkt) – minimaler Datenverlust, d. h. eine Mindestmenge an Daten muss wiederhergestellt werden
  • Mindestziel des betrieblichen Kontinuitätsmanagements (MBCO) – das Mindestmaß an Dienstleistungen oder Produkten, die ein Unternehmen nach Wiederaufnahme seines Geschäftsbetriebs erbringen bzw. herstellen muss

Inhalt der ISO 22301

Die Norm enthält diese Abschnitte:

Einleitung

0.1 Allgemeines

0.2 Das Modell Planen – Durchführen – Überprüfen – Handeln (auch: Agieren) (kurz PDCA)

0.3 Komponenten des PDCA-Modells in dieser internationalen Norm

1 Umfang

2 Normreferenzen

3 Begriffe und Definitionen

4 Kontext der Organisation

4.1 Verständnis der Organisation und ihres Kontextes

4.2 Verständnis der Notwendigkeiten und Erwarteten von Beteiligten

4.3 Festlegen des Rahmens des Managementsystems

4.4 System des betrieblichen Kontinuitätsmanagements

5 Führung

5.1 Allgemeines

5.2 Pflicht des Managements

5.3 Richtlinie

5.4 Rollen, Verantwortlichkeiten und Zuständigkeiten im Unternehmen

6 Planung

6.1 Maßnahmen zur Bearbeitung und Nutzung von Risiken bzw. Chancen

6.2. Ziele des betrieblichen Kontinuitätsmanagements und Pläne, um diese zu erreichen

7 Support

7.1 Ressourcen

7.2 Kompetenz

7.3 Bewusstsein

7.4 Kommunikation

7.5 Dokumentierte Informationen

8 Betrieb

8.1 Betriebliche Planung und Kontrolle

8.2 Geschäftsauswirkungsanalyse und Risikoeinschätzung

8.3 Strategie für betriebliches Kontinuitätsmanagement

8.4 Erstellen und Umsetzen von Verfahren des betrieblichen Kontinuitätsmanagements

8.5 Ausübung und Prüfung

9 Leistungsbewertung

9.1 Überwachung, Messung, Analyse und Bewertung

9.2 Internes Audit

9.3 Managementbewertung

10 Verbesserung

10.1 Nichteinhaltung und Korrekturmaßnahmen

10.2 Kontinuierliche Verbesserung

Bibliografie

Erforderliche Dokumentation

Sollte ein Unternehmen diese Norm umsetzen wollen, so ist die folgende Dokumentation zwingend erforderlich:

  • Liste der geltenden gesetzlichen, regulatorischen und sonstigen Anforderungen
  • Rahmen des BKM
  • Politik für betriebliches Kontinuitätsmanagement
  • Ziele des betrieblichen Kontinuitätsmanagements
  • Nachweis der Kompetenzen des Personals
  • Aufzeichnungen der Kommunikation mit Beteiligten
  • Geschäftsauswirkungsanalyse
  • Risikoeinschätzung einschließlich Risikoneigung
  • Reaktionsstruktur für Vorfälle
  • Pläne für betriebliches Kontinuitätsmanagement
  • Wiederherstellungsverfahren
  • Ergebnisse der Vorbeugungsmaßnahmen
  • Ergebnis der Überwachung und Messung
  • Ergebnisse des internen Audits
  • Ergebnisse der Managementbewertung
  • Ergebnisse der Korrekturmaßnahmen

Klicken Sie hier, um die detailierte Erklärung der einzelnen erforderlichen Dokument zu sehen.

Verwandte Normen

Andere Normen, die bei der Umsetzung des betriebliches Kontinuitätsmanagements nützlich sind:

  • ISO/IEC 27031 – Richtlinien für die Einsatzfähigkeit von Informations- und Kommunikationstechnologie für betriebliches Kontinuitätsmanagement
  • PAS 200 – Krisenmanagement – Orientierung und gute Praktiken
  • PD 25666 – Orientierung zur Durchführung und Prüfung von Kontinuitäts- und Kontingenzprogrammen
  • PD 25111 – Orientierung zu personellen Aspekten des betrieblichen Kontinuitätsmanagements
  • ISO/IEC 24762 – Richtlinien für Notfallwiederherstellungsdienste für Informations- und Kommunikationstechnologie
  • ISO/PAS 22399 – Richtlinie für die Vorbereitung auf Störfälle und betriebliches Kontinuitätsmanagement
  • ISO/IEC 27001 – Informationssicherheits-Managementsysteme – Anforderung

dejan-circle-new

Dejan Kosutic
Führender Experte für ISO 27001/ISO 22301

Haben Sie weitere Fragen?

Sprechen Sie kostenlos mit unseren Beratern

KOSTENLOSE BERATUNG VEREINBAREN

Kostenloser Rechner zum Gewinn durch die Investition in Sicherheit (ROSI)

Wurde Ihnen je gesagt, dass Ihre Sicherheitsmaßnahmen zu teuer sind? Oder fanden Sie es schon einmal sehr schwierig, dem Management zu erklären, was die Konsequenzen eines Sicherheitszwischenfalls wären? Zu beweisen, dass die Investition in Sicherheit sich lohnt, ist nicht leicht, aber unser Rechner für den Gewinn von Sicherheitsinvestitionen (ROSI) kann Ihnen helfen. Er ist völlig kostenlos.

SEHEN SIE SICH AN, WIE ES FUNKTIONIERT

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM, TL und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.