- Implementieren & Lernen
- Ressourcen
- Für Berater
- Über uns
ISO 22301 Experte - Kontakt
BS 25999-2 war ein britischer Standard, der 2007 herausgegeben wurde und schnell zum Hauptstandard für betriebliches Kontinuitätsmanagement wurde - er wurde 2012 durch ISO 22301 abgelöst.
Genauso wie ISO 27001, ISO 9001, ISO 14001 und weitere Normen, die Managementsysteme definieren, legt die BS 25999-2 auch ein betriebliches Kontinuitätsmanagement fest, welches die gleichen vier Managementphasen umfasst: Planung, Umsetzung, Prüfung und Überwachung, und schließlich Verbesserung. Das Entscheidende an diesen vier Phasen besteht in der kontinuierlichen Aktualisierung und Verbesserung des Systems. Damit ist es einsatzbereit und nutzbar, sobald eine Katastrophe eintritt.
Die nachfolgenden Elemente sind einige der wichtigsten Verfahren und Dokumente, die laut BS 25999-2 erforderlich sind:
Die Norm hält fest, dass es von grundlegender Bedeutung ist, die notwendigen Kenntnisse und Qualifikationen festzulegen. Damit können die notwendigen Schulungssitzungen erfasst werden, diese Schulungssitzungen durchgeführt werden und schließlich kann auch geprüft werden, ob die erforderlichen Kenntnisse und Qualifikationen erworben wurden. Diese Aufzeichnungen müssen aufbewahrt werden.
Laut BS 25999-2 müssen außerdem Sensibilisierungsprogramme durchgeführt werden. Außerdem muss den Mitarbeitern die Bedeutung des betrieblichen Kontinuitätsmanagements vermittelt werden.
Die Geschäftsauswirkungsanalyse (GAA) beschäftigt sich mit den wichtigen Tätigkeiten innerhalb einer Organisation. Sie legt die maximal zulässige Dauer einer Unterbrechung sowie die Interdependenz der einzelnen Aktionen fest. Sie bestimmt, welche Tätigkeiten als kritisch anzusehen sind, sie analysiert die bestehenden Vereinbarungen mit Lieferanten und Outsourcern und legt schließlich die Wiederanlaufdauer (das ‚Recovery Time Objective‘) fest.
Mit der Risikoeinschätzung wird festgelegt, welche Katastrophen und andere Unterbrechungen des Geschäftsbetriebs auftreten können, welche Konsequenzen diese haben, aber auch, welche Schwächen und Gefährdungen zu diesen betrieblichen Unterbrechungen führen können. Auf Grundlage dieser Bewertung legt die Organisation fest, wie die Möglichkeit eines Risikos reduziert kann und wie es im Falle des Eintretens eingedämmt wird.
Eine Strategie legt fest, wie die Organisation im Falle einer Katastrophe eine Wiederherstellung durchführt. Die Strategie wird auf Grundlage der Ergebnisse festgelegt, die sic aus Risikoeinschätzung und Geschäftsauswirkungsanalyse ergeben. In der Regel umfasst diese Strategie alternative Standorte, Optionen bei der Datenwiederherstellung, Wiederherstellung personeller Ressourcen, Kommunikationsanbindungen, Ausstattung, Management der Lieferanten und der Outsourcing-Partner usw.
Der Plan für betriebliches Kontinuitätsmanagement umfasst Pläne für Reaktionen auf Vorfälle (Aktivierungsverfahren für den Plan für betriebliches Kontinuitätsmanagements) sowie die Wiederherstellungspläne für kritische Tätigkeiten – sie werden basierend auf der Strategie des betrieblichen Kontinuitätsmanagements sämtlich schriftlich festgehalten.
In einem Störfallreaktionsplan muss festgelegt werden, wie Vorfalltypen, Kommunikationskanäle, Maßnahmentypen, Verantwortung usw. bestimmt werden.
Die Wiederherstellungspläne müssen mehrere Elemente festlegen: die Rollen und Verantwortlichkeiten, die wichtigsten Schritte der Wiederherstellung, die Standorte, die zu verwendenden Ressourcen und deren Standort, die Prioritäten, welche Aktionen nach Abschluss der Wiederherstellung durchzuführen sind usw.
Die Norm enthält die folgenden Bestimmungen:
Für BS 25999-2 sind die folgenden Dokumente erforderlich:
Der Umfang der Dokumentation hängt von der Anzahl der kritischen Tätigkeiten innerhalb einer Organisation ab – eine Operation mit wenigen kritischen Tätigkeiten wird auch nur eine geringe Menge an Dokumenten für die Geschäftsauswirkungsanalyse, die Risikoeinschätzung und die Pläne für betriebliches Kontinuitätsmanagement benötigen, während die Dokumentation größerer Organisationen natürlich umfassender sein wird.
Neben BS 25999-2 ist BS 25999-1 eine „Hilfsnorm“, die weitere Informationen bietet, wie bestimmte Teile der Norm BS 25999-2 umzusetzen sind.
Weitere nützliche Normen sind ISO 27001, die das betriebliche Kontinuitätsmanagement in den breiteren Kontext der Informationssicherheit stellt, sowie ISO 27005, die eine detaillierte Beschreibung des Risikoeinschätzungsprozesses vermittelt.
