ISO 22301

ISO 22301 beschreibt Anforderungen an die kontinuierliche Planung, Implementierung, Durchführung und Überwachung von Managementstrategien zum Schutz vor oder Reduktion von Störungen und deren Auswirkung. Organisationen die ein Business-Continuity-Management-System auf Basis von ISO 22301 umsetzen, können entsprechend zertifiziert werden, was für interne und externe Zwecke zum Nachweis von guten Business-Continuity-Management praktiken genutzt werden kann. ISO 22301 ist wie andere ISO standards unabhängig von Organisationsform, Branche und Organisationsgröße umzusetzen. Die Anforderungen an ein Unternehmen für eine ISO 22301 Zertifizierung und entsprechende Umsetzung derer sind die Kenntnis von und Erfassung aller kritischen Prozesse einer Organisation, die Erfassung von potentiellen Folgeschäden bei Ausfall von kritischen Geschäftsprozessen (sog. Business Impact Analyse), Assesment potentieller Risiken und deren Auswirkung, Entwicklung von Reaktionen im Notfall und möglichen Gegenmaßnahmen sowie die Umsetzung von Übungen und Monitoring des Business-Continuity-Management Prozesses. ³³

ISO 22301 basiert auf 5 Grundprinzipien und dem PDCA-Zyklus.

Die 5 Schlüsselprinzipien sind Verantwortung, klare Zielsetzung, Folgen- und Risikobewertung, Kommunikation und Prüfung.

Die Verantwortung ist wichtig, denn in einem Krisenfall sollte ein BCM-Plan von den verantwortlichen Führungskräften für diesen Fall erstellt worden sein, und klar definierte Verantwortlichkeiten bei der Ausführung eines solchen Plans sind wichtig für eine erfolgreiche Durchführung.

Hand in Hand mit diesem Plan gehen klar definierte Ziele eines BCM-Plans, ohne die die Prioritätensetzung und Ressourcenzuweisung im Krisenfall nicht ordnungsgemäß funktionieren kann. 

Um diese Ziele festzulegen, ist es jedoch wichtig, ein potenzielles Risiko und die Auswirkungen, die sein Eintreten haben könnte, richtig zu bewerten.

Um einen effektiven Einsatz eines BCM-Plans zu erreichen, sollte die Kommunikation mit allen betroffenen Interessengruppen geplant werden und der gesamte BCM-Plan regelmäßig getestet werden.

Um eine erfolgreiche Zertifizierung nach ISO 22301 zu erreichen, sollten Unternehmen auf dem Weg zur erfolgreichen Umsetzung eines BCM-Plans einem PDCA-Zyklus folgen.

In der Plan-Phase müssen die Faktoren identifiziert werden, die die Effektivität der Geschäftskontinuität beeinflussen, sowie die Ziele und Ressourcen zur Erreichung der Geschäftskontinuität in einer Krisensituation definiert werden.

Sobald die Do-Phase erreicht ist, müssen diese identifizierten Faktoren, Ziele und Ressourcen in die Umsetzung der notwendigen Änderungen zur Erreichung der Geschäftskontinuität auf jeder Unternehmensebene einfließen.

In der Check-Phase werden diese implementierten Maßnahmen auf ihre Effektivität hin bewertet, und auf dieser Grundlage werden in der Act-Phase gegebenenfalls Anpassungen vorgenommen.

In Übereinstimmung mit anderen verwandten Standards definiert die ISO 10 Kernklauseln, die für eine erfolgreiche Implementierung und Aufrechterhaltung der ISO 22301 Standards beachtet und eingehalten werden müssen.

Diese sind:

1. Geltungsbereich
2. Normative Verweise
3. Begriffe und Definitionen
4. Kontext der Organisation
5. Führung
6. Planung
7. Unterstützen
8. Betrieb
9. Leistung
10. Verbesserung

Weitere Informationen über die Zertifizierung nach ISO 22301 finden Sie auf der ISO-Website, im Implementierungsleitfaden von BSI oder im Leitfaden von NQA.

 

Quellen für den Prozess der ISO 22301: ^{46, 47, 48}