02404 ISO/TS 22317 – ein Kurzprofil
|
Die ISO/TS 22317 beschreibt, wie eine Business Impact Analysis (BIA) im Rahmen eines Business-Continuity-Managementsystems (BCMS) nach ISO 22301 durchgeführt wird.
In diesem Beitrag erfahren Sie, welche Voraussetzungen erfüllt sein müssen, welche Rollen beteiligt sind und welches Maß an Management-Commitment erforderlich ist, damit der BIA-Prozess wirksam funktioniert. Außerdem wird erläutert, wie Sie Produkte, Services und Aktivitäten priorisieren. von: |
1 Einführung und Zielsetzung
Die Technische Spezifikation ISO/TS 22317:2021 [1] stellt eine detaillierte Anleitung zur Etablierung und Aufrechterhaltung eines BIA-Prozesses als Teil eines Business-Continuity-Managementsystems (BCMS) bereit, das die Anforderungen der ISO 22301– Business continuity management systems – Requirements [2] – in Normkapitel 8.2.2 erfüllt.
BIA
Der BIA-Prozess analysiert die Auswirkungen einer Unterbrechung von Geschäftsprozessen für die Organisation und führt zu einer Festlegung von BC-Prioritäten und -Anforderungen, um diese Auswirkungen auf ein akzeptables Maß zu begrenzen.
Der BIA-Prozess analysiert die Auswirkungen einer Unterbrechung von Geschäftsprozessen für die Organisation und führt zu einer Festlegung von BC-Prioritäten und -Anforderungen, um diese Auswirkungen auf ein akzeptables Maß zu begrenzen.
Der erste Schritt einer BIA ist die Priorisierung von Produkten und Dienstleistungen, gefolgt von einer Reihe von Prozess-BIAs (optional) und Aktivitäten-BIAs. Der Umfang jeder dieser BIAs kann begrenzt sein, aber zusammen sollten sie den gesamten Geltungsbereich des BCMS abdecken. Organisationen sollten den BIA-Prozess regelmäßig überprüfen und durchführen.
BIA-Ergebnisse
Die Ergebnisse des BIA-Prozesses beinhalten u. a.
Die Ergebnisse des BIA-Prozesses beinhalten u. a.
| • | Prüfung und ggf. Modifikation des BCMS-Geltungsbereichs, |
| • | Identifizierung relevanter Geschäftsanforderungen und ihrer Auswirkungen auf Prioritäten und BC-Anforderungen, |
| • | Bewertung der zeitabhängigen Schadenshöhe von Störungen als Rechtfertigung für Prioritäten und BC-Anforderungen, |
| • | Schätzung der erforderlichen Zeit, bis die negativen Auswirkungen auf Produkte und Dienstleistungen inakzeptabel werden (MTPD: maximal tolerierbarer Zeitraum der Unterbrechung) |
| • | Ermittlung der Anforderungen Maximum Tolerable Period of Disruption (MTPD) und Recovery Time Objective (RTO) für die priorisierten Aktivitäten; |
| • | Identifizierung der Ressourcen, die für die Durchführung der priorisierten Aktivitäten nach einer Unterbrechung erforderlich sind, unter Angabe von RTOs und Recovery Point Objectives (RPOs); |
| • | Identifizierung der Abhängigkeiten, einschließlich Lieferanten, Partner und anderer interessierter Parteien; |
| • | Identifizierung der gegenseitigen Abhängigkeiten der priorisierten Aktivitäten. |
2.1 Aufbau
Normkapitel 1 bis 3
Die ISO-typischen einführenden Kapitel beschreiben
Die ISO-typischen einführenden Kapitel beschreiben
| • | in Normkapitel 1 den Anwendungsbereich (Scope),der beliebige Organisationen umfasst. | ||||
| • | in Normkapitel 2 folgende Normative Referenzen:
| ||||
| • | in Normkapitel 3 – Begriffe und Definitionen;wird neben ISO 22300 und ISO 22301 auf die Terminologie-Datenbanken verwiesen von ISO – iso.org/obp undIEC – electropedia.org |
Hauptkapitel
Die Hauptkapitel der ISO/TS 22317 haben folgende Themen:
Die Hauptkapitel der ISO/TS 22317 haben folgende Themen:
| • | Normkapitel 4 – Voraussetzungen (für die Durchführung einer BIA), vgl. Abschnitt 3.1 |
| • | Normkapitel 5 – Der BIA-Prozess, vgl. Abschnitt 3.2 |
| • | Normkapitel 6 – Review der BIA, vgl. Abschnitt 3.3 |
Anhänge
In den vier Anhängen der ISO/TS 22317 werden ergänzend dargestellt:
In den vier Anhängen der ISO/TS 22317 werden ergänzend dargestellt:
| • | BIA innerhalb eines BCMS nach ISO 22301:2019, vgl. Abschnitt 4.1 |
| • | Methoden zur Informationssammlung für eine BIA, vgl. Abschnitt 4.2 |
| • | Weitere Nutzung des BIA-Prozesses, vgl. Abschnitt 4.3 |
| • | Beispiele zur Durchführung einer BIA, vgl. Abschnitt 4.4 |
2.2 Änderungen zur Vorversion
Die vorliegende zweite Edition ersetzt die erste Edition von 2015 und weist folgende wesentliche Änderungen auf:
| • | Anpassung an die ISO 22301:2019; | ||||||
| • | Verlagerung des inhaltlichen Schwerpunktes auf den BIA-Prozess und entsprechende Aktualisierung der Dokumentstruktur; | ||||||
| • | klare Abgrenzung zwischen BIA und BIA-Prozess sowie Konsolidierung der Rollen im BIA-Prozess (BIA-Leiter und Aktivitätsverantwortliche); | ||||||
| • | Streichung des Abschnitts „Strategieauswahl”, da er Teil von ISO/TS 22331 ist; | ||||||
| • | Modifikation der Anhänge:
|
3 Kerninhalte der ISO/TS 22317
Die Gliederung dieses Abschnitts orientiert sich an der Struktur der Normkapitel 4 bis 6 der Spezifikation, sodass eine leichte Zuordnung möglich ist.
3.1 Voraussetzungen für die Durchführung einer BIA
Übersicht
Normkapitel 4 der Spezifikation stellt die Voraussetzungen dar, die vor dem Start des BIA-Prozesses erfüllt sein sollten. Dieses Dokument entspricht zwar den Anforderungen der ISO 22301, kann aber zur Umsetzung und Überprüfung eines beliebigen BIA-Prozesses verwendet werden.
Normkapitel 4 der Spezifikation stellt die Voraussetzungen dar, die vor dem Start des BIA-Prozesses erfüllt sein sollten. Dieses Dokument entspricht zwar den Anforderungen der ISO 22301, kann aber zur Umsetzung und Überprüfung eines beliebigen BIA-Prozesses verwendet werden.
Bevor der BIA-Prozess beginnt, sollte die Organisation:
| • | Kontext und Anwendungsbereich des BIA-Prozesses definieren, vgl. Abschnitt 3.1.1 ; |
| • | Rollen und Verantwortlichkeiten definieren und kommunizieren, vgl. Abschnitt 3.1.2 ; |
| • | die Unterstützung des Managements gewährleisten und angemessene Ressourcen bereitstellen, vgl. Abschnitt 3.1.3. |
3.1.1 Kontext und Scope
Kontext
Der Kontext des BIA-Prozesses und seine Ergebnisse bestimmen sich wesentlich aus dem Verständnis folgender Punkte:
Der Kontext des BIA-Prozesses und seine Ergebnisse bestimmen sich wesentlich aus dem Verständnis folgender Punkte:
| • | die externe Umgebung, in dem das Unternehmen tätig ist (inkl. Zulieferer, gesetzliche und behördliche Stellen); |
| • | die interne Betriebsumgebung (inkl. Geschäftsprozesse, Aktivitäten und Ressourcen, sowie die potenziellen Auswirkungen von Unterbrechungen bei der Bereitstellung von Produkten und Services. |
Scope
Der BIA-Prozess sollte den gesamten Geltungsbereich des BCMS abdecken. Die Organisation sollte den Geltungsbereich des BCMS auf Basis ihrer Produkte und Services vorab definiert und dokumentiert haben. Die Ergebnisse des BIA-Prozesses können ggf. zu einer Modifikation des BCMS-Geltungsbereichs führen.
Der BIA-Prozess sollte den gesamten Geltungsbereich des BCMS abdecken. Die Organisation sollte den Geltungsbereich des BCMS auf Basis ihrer Produkte und Services vorab definiert und dokumentiert haben. Die Ergebnisse des BIA-Prozesses können ggf. zu einer Modifikation des BCMS-Geltungsbereichs führen.
Die Organisation sollte zunächst eine Priorisierung aller Produkte und Dienstleistungen vornehmen, die in den Geltungsbereich fallen, und die Bearbeitungsreihenfolge entsprechend festlegen.
3.1.2 Rollen und Verantwortlichkeiten
Rollen und Ressourcen
Vor der Durchführung des BIA-Prozesses sollten vom Top Management alle relevanten Rollen und Verantwortlichkeiten zugewiesen, innerhalb der Organisation kommuniziert und mit ausreichenden Kompetenzen und Ressourcen versehen sein.
Vor der Durchführung des BIA-Prozesses sollten vom Top Management alle relevanten Rollen und Verantwortlichkeiten zugewiesen, innerhalb der Organisation kommuniziert und mit ausreichenden Kompetenzen und Ressourcen versehen sein.
Mindestens folgende Rollen sind für den BIA-Prozess erforderlich:
| • | BIA-Leiter(kann in Personalunion mit dem BCMS-Manager durchgeführt werden) |
| • | Verantwortliche für Aktivitäten (Activity owners) |
Zu diesen Rollen werden in der ISO/TS 22317 die wesentlichen Aufgaben beschrieben.
3.1.3 Commitment
Management-Commitment
Die sichtbare Unterstützung des Top-Managements ist ein wesentlicher Erfolgsfaktor für den BIA-Prozess. Dazu zählen u. a.:
Die sichtbare Unterstützung des Top-Managements ist ein wesentlicher Erfolgsfaktor für den BIA-Prozess. Dazu zählen u. a.:
| • | den Wert des BIA-Prozesses vermitteln, ihn kontinuierlich unterstützen und ausreichende Ressourcen bereitstellen; | ||||||
| • | sich auf die Methoden, Prioritäten und Zeitrahmen der BIA einigen; | ||||||
| • | die Ergebnisse der BIA genehmigen und damit sicherstellen, dass:
| ||||||
| • | sicherstellen, dass die Ergebnisse der BIA bei der Auswahl von Business-Continuity-Strategien und -Lösungen verfügbar sind. |