ISO:22301

ISO 22301 ist eine Norm im BCMS, es enthält die Anforderungen im Bezug auf die Einrichtung und Umsetzung eines Business Continuity Management Systems.

Was ist ISO 22301 (2012)?

Die ISO 22301 ist eine Business-Continuity-Norm und enthält Anforderungen auf hohem Niveau für die Einrichtung und Umsetzung eines Business-Continuity-Management-Systems (BCMS).

Die Geschäftskontinuität ist Teil des gesamten Risikomanagements in einem Unternehmen, wobei sich Teile mit dem Informationssicherheitsmanagement und dem IT-Management überschneiden. Daher wird diese Norm oft zusammen mit ISO 27001 (Informationssicherheit) verwendet. Sie steht auch im Zusammenhang mit der NEN-ISO 31000, die Leitlinien für das Risikomanagement im weiteren Sinne enthält.

ISO 22301 Logo

Einführung in die ISO 22301:2012

Der vollständige Name dieser Norm lautet ISO 22301:2012 Gesellschaftliche Sicherheit – Business Continuity Management Systeme – Anforderungen. Das Norm wurde von führenden Experten auf dem Gebiet des Business Continuity Management entwickelt. Bei dieser Norm geht es um die Durchführung einer Bunisess Impact Analysis (BIA). Dazu gehören:

  • Ordnen von Produkte, Dienstleistungen und Geschäftstätigkeiten in der Reihenfolge ihrer Bedeutung für Ihr Unternehmen.
  • Durchführung einer Risikoanalyse und Risikobewertung;
  • Identifizierung der Risiken einer Unterbrechung des Geschäftsbetriebs und Ergreifen von (Präventiv-)Maßnahmen.
  • Festlegung von Strategien für die Geschäftskontinuität;
  • Auswahl eines Konzepts zur Verhinderung oder Behebung von Unterbrechungen.
  • Ausarbeitung konkreter Krisenmanagement- und Geschäftskontinuitätspläne. Diese bestehen mindestens aus:
  • Management von Zwischenfällen;
  • Alarmierung und Kommunikation;
  • Pläne zur Aufrechterhaltung des Geschäftsbetriebs;
  • Wiederherstellungspläne;
  • Testen und Einüben dieser Pläne;
  • Dokumentierte Berichte mit den Ergebnissen, Empfehlungen und Maßnahmen.

Inhalt der Norm ISO 23301

Nach ISO 22301 besteht der Kern des Business Continuity Management aus folgenden Komponenten:

Business impact analysis:

Identifizierung der wesentlichen Geschäftsprozesse für die Produktion und die Erbringung von Dienstleistungen, ihrer Abhängigkeiten und der erforderlichen (externen) Ressourcen sowie Bewertung der Auswirkungen, wenn diese Prozesse eine Zeit lang nicht funktionieren oder nicht funktionieren können. Risikobewertung: Identifizierung und Bewertung aller Risiken, die zu einer Unterbrechung der oben genannten Geschäftsprozesse führen könnten, und Planung von Maßnahmen zur Vermeidung des Auftretens von Risiken.

Business continuity strategy:

Festlegung einer Kontinuitätsstrategie auf der Grundlage der Ergebnisse des vorherigen Schritts (wo liegen die Prioritäten und wie gehen wir sie an?), Ermittlung der erforderlichen Ressourcen und Planung von Präventiv- und Abhilfemaßnahmen.

Business continuity procedures:

Festlegung und Umsetzung von Verfahren für die Bewältigung von Störfällen und die Fortführung der Geschäftstätigkeit, das organisatorische Vorgehen im Falle eines Vorfalls (Reaktionsstruktur), Alarmierung und Kommunikation (intern und extern) sowie ein Business-Continuity-Plan.

Training:

Alle Verfahren und Pläne aus dem vorangegangenen Schritt müssen trainiert und auf ihre Wirksamkeit überprüft werden.

Recovery:

Verfahren und Pläne für die Rückkehr zum normalen Betrieb nach vorübergehenden Notfallmaßnahmen.

Die Kapitelstruktur entspricht derjenigen der anderen ISO-Normen und umfasst folgende Punkte:

  1. Einführung
  2. Gegenstand und Umfang
  3. Normative Referenzen
  4. Begriffe und Definitionen
  5. Kontext der Organisation
  6. Leiterschaft
  7. Planung
  8. Unterstützung
  9. Umsetzung
  10. Leistungsbewertung
  11. Verbesserung

Audit protocol

Zertifizierung bedeutet, dass eine externe, unabhängige *Zertifizierungsstelle feststellt, ob das Qualitätsmanagementsystem der Organisation alle normativen Anforderungen erfüllt. Um dies festzustellen, führt eine Zertifizierungsstelle (CI) ein Audit durch. Dieses erste (Zertifizierungsaudit) besteht aus zwei Phasen.

Die erste Phase sollte;

  • die Dokumentation zu bewerten
  • Bewertung des Standorts und der standortspezifischen Bedingungen und Befragung der Mitarbeiter, um festzustellen, ob das Unternehmen auf die zweite Phase vorbereitet ist
  • zu bewerten, inwieweit die Organisation die Anforderungen der Norm erfüllt und versteht, insbesondere im Hinblick auf die Ermittlung der wichtigsten Leistungsindikatoren und -aspekte, Prozesse und die Funktionsweise des Managementsystems
  • die notwendigen Informationen über den Umfang des Managementsystems, die Prozesse und Standorte sowie die relevanten gesetzlichen und rechtlichen Aspekte zu sammeln
  • festzustellen, welche Ressourcen für die zweite Phase zur Verfügung stehen, und mit der Organisation eine Vereinbarung über die Entwicklung des Audits der zweiten Phase zu treffen
  • ein gutes Verständnis des Managementsystems der Organisation, ihrer Tätigkeiten und der wichtigsten damit verbundenen Aspekte zu erlangen

Der Zweck des Audits der zweiten Stufe ist die Bewertung der Umsetzung und Wirksamkeit des Managementsystems. Das Audit der zweiten Stufe findet an dem/den Standort(en) der Organisation statt. Die Prüfung der zweiten Stufe umfasst in jedem Fall Folgendes:

  • Informationen und Nachweis der Konformität mit allen Anforderungen der Norm
  • Leistungsbewertung, -messung, -berichterstattung und -beurteilung, um festzustellen, inwieweit die Ziele und Vorgaben erreicht wurden
  • das Managementsystem der Organisation und wie die Organisation die gesetzlichen Anforderungen erfüllt
  • die Kontrolle der Prozesse der Organisation
  • Interne Audits und Managementbewertung
  • Einbindung des Managements in die Qualitätspolitik
  • Die Verbindung und Kohärenz zwischen den Anforderungen der Norm, der Politik der Organisation, den Zielen und Vorgaben, den rechtlichen Anforderungen, den Verantwortlichkeiten, der Kompetenz der Mitarbeiter, der Umsetzung, den Verfahren, den Leistungsinformationen und den Ergebnissen der internen Audits.

In den darauffolgenden zwei Jahren werden die Organisationen (halb-)jährlich geprüft, um festzustellen, ob sie die Anforderungen der Norm weiterhin erfüllen. Eine Rezertifizierung besteht wiederum aus 2 Phasen und wird im dritten Jahr der Erstzertifizierung durchgeführt. Dieser Zyklus geht weiter.

Abweichungen

Werden während eines Audits Nichtkonformitäten festgestellt, so werden diese im Auditbericht festgehalten. Die Bezeichnung kann von Zertifizierungsstelle zu Zertifizierungsstelle unterschiedlich sein, lässt sich aber wie folgt zusammenfassen:

Major non-conformity (Abweichung der Kategorie 1):

– Das Fehlen einer wirksamen Umsetzung einer oder mehrerer Systemanforderungen der Norm oder eine Situation, in der nicht oder nicht ausreichend sichergestellt ist, dass das Produkt oder die Dienstleistung die Anforderungen erfüllt;

– Mehrere Nichtkonformitäten der Kategorie 2 in Bezug auf eine Normanforderung, bei der festgestellt wurde, dass sie im Rahmen des Managementsystems nicht wirksam umgesetzt wird

– Eine Nichtkonformität der Kategorie 2, bei der die geforderten Abhilfemaßnahmen nicht zu einer wirksamen Umsetzung geführt haben, wird zu einer Feststellung der Kategorie 1 hochgestuft.

Die Korrektur, die Ursachenanalyse und ein Plan für Abhilfemaßnahmen müssen zusammen mit ausreichenden Nachweisen für ihre Umsetzung innerhalb von 90 Tagen nach dem letzten Prüfungstag vorgelegt werden. Die Bewertung der Nichtkonformitäten erfolgt durch Schreibtischforschung. Je nach Schwere der Feststellungen kann der Auditor jedoch einen Folgebesuch durchführen, um zu bestätigen, dass die Maßnahmen ergriffen wurden, um ihre Wirksamkeit zu bewerten und um festzustellen, ob eine Nominierung zur Zertifizierung oder eine Aufrechterhaltung des Zertifikats erfolgen kann.

Minor non-conformity (Abweichung der Kategorie 2):

Ein Mangel an Disziplin oder Kontrolle bei der Umsetzung von System- oder Verfahrensanforderungen, der das Funktionieren des Systems und/oder die Erfüllung der Produkt-/Dienstleistungsanforderungen nicht beeinträchtigt.

Die Korrektur, die Ursachenanalyse und der Plan für Abhilfemaßnahmen werden vom leitenden Prüfer genehmigt, und die Überprüfung der Umsetzung und die Bewertung der Wirksamkeit der Abhilfemaßnahmen finden beim nächsten Besuch statt.3.

Beobachtung

Eine Beobachtung ist an sich kein Mangel, kann aber auf einen möglichen zukünftigen Mangel hinweisen, wenn der Situation zu wenig Aufmerksamkeit geschenkt wird; eine Beobachtung kann sich auch auf eine Situation beziehen, in der keine geeigneten Beweise gefunden werden, um die Feststellung eines Mangels zu unterstützen.

Empfehlungen für Verbesserungen

Die Verbesserungsempfehlungen beziehen sich auf Bereiche und/oder Prozesse, in denen die Mindestanforderungen zwar erfüllt werden, in denen aber Verbesserungen möglich sind.