02523 Kurzhinweise: ISO/IEC 27031 – Information and communication technology readiness for business continuity
von:
1 Einführung und Zielsetzung
Konzepte und Prinzipien
Der Standard ISO/IEC 27031 [1] beschreibt Konzepte und Prinzipien einer informations- und kommunikationstechnologischen Bereitschaft für Geschäftskontinuität und bietet einen Rahmen aus Methoden und Prozessen zur Identifizierung und Spezifizierung von Aspekten zur Verbesserung der ICT-Bereitschaft einer Organisation, um die Geschäftskontinuität sicherzustellen:
Der Standard ISO/IEC 27031 [1] beschreibt Konzepte und Prinzipien einer informations- und kommunikationstechnologischen Bereitschaft für Geschäftskontinuität und bietet einen Rahmen aus Methoden und Prozessen zur Identifizierung und Spezifizierung von Aspekten zur Verbesserung der ICT-Bereitschaft einer Organisation, um die Geschäftskontinuität sicherzustellen:
Historie
Ursprünglich hatte der Standard ISO 27031 auf dem britischen Standard BS 25777 aufgebaut, der eine prozessorientierte Sammlung von Empfehlungen zum ICT Continuity Management enthält, die vollständig in ein Business Continuity Management System (BCMS) nach BS 25999 integriert ist.
Ursprünglich hatte der Standard ISO 27031 auf dem britischen Standard BS 25777 aufgebaut, der eine prozessorientierte Sammlung von Empfehlungen zum ICT Continuity Management enthält, die vollständig in ein Business Continuity Management System (BCMS) nach BS 25999 integriert ist.
ISO/IEC 27031 ist eine wichtige und sinnvolle Ergänzung zu übergeordneten BCMS-Standards sowie zum BSI-Standard 200-4 „Business Continuity Management” des Bundesamts für Sicherheit in der Informationssicherheit (BSI). Der ISO-Standard wurde in seiner ersten Version 2011 veröffentlicht. Seit 2025 steht er in einer aktualisierten zweiten Version mit teilweise stark angepasster Struktur zur Verfügung.
Der BS 25777 [2] als Vorläufer des ISO 27031 wurde 2008 von der British Standards Institution publiziert. Er ist eine Weiterentwicklung der Publicly Available Specification PAS 77 „IT Service Continuity Management. Code of Practice” [3], die von der British Standards Institution in Zusammenarbeit mit den Unternehmen Adam Continuity, Dell Corporation, Unisys und SunGard erstellt und 2006 veröffentlicht wurde. PAS 77 enthält eine Reihe praxisorientierter Hinweise, die weder in BS 25777 noch in ISO 27031 eingeflossen sind, und ist daher weiterhin eine interessante Informationsquelle.
Ziel
Das Ziel der ISO 27031 ist das Management einer ICT readiness for business continuity (IRBC) als systematischer und kontinuierlicher Prozess und integraler Bestandteil eines übergeordneten BCMS, das z. B. gemäß ISO 22301 und ISO 22313 oder auch BS 25999 betrieben wird.
Das Ziel der ISO 27031 ist das Management einer ICT readiness for business continuity (IRBC) als systematischer und kontinuierlicher Prozess und integraler Bestandteil eines übergeordneten BCMS, das z. B. gemäß ISO 22301 und ISO 22313 oder auch BS 25999 betrieben wird.
Das IRBC-Management gewährleistet, dass relevante ICT-Services die Anforderungen des BCM erfüllen und bei Bedarf innerhalb der erforderlichen Zeit mit dem vereinbarten Funktionsumfang wiederanlauffähig sind. Es ergänzt die Informationssicherheitskontrollen in Bezug auf die Geschäftskontinuität in ISO/IEC 27002 und es unterstützt auch den in ISO/IEC 27005 festgelegten Prozess des Informationssicherheitsrisikomanagements.
Basierend auf den Zielen der ICT-Bereitschaft, erweitert dieser Standard auch die Praktiken des Informationssicherheits-Incident-Managements auf die Bereiche Planung, Schulung und Betrieb der ICT-Bereitschaft.
2 Struktur des Standards
Eingangskapitel
Die Eingangskapitel des Standards lauten entsprechend der Struktur von ISO-Standards wie folgt:
Die Eingangskapitel des Standards lauten entsprechend der Struktur von ISO-Standards wie folgt:
| Ziel | |
| 1. | Beschreibung des Geltungsbereichs:alle Ereignisse und Vorfälle, die Auswirkungen auf ICT-Infrastruktur und -Systeme haben können
Geschäftskontinuitätsziele für die ICT:Mindestziel für die Geschäftskontinuität (MBCO), Wiederherstellungsziel (RPO), Wiederherstellungszeit (RTO) |
| 2. | Referenz mitgeltender Normen:ISO/IEC 27000, 27001, 27002, 27005 und 27035 (Security Management); ISO 22300 und 22301 (Security und Resilienz) |
| 3. | Begriffe und Definitionen |
| 4. | Abkürzungen |
| 5. | Struktur des Dokuments |
| Hauptkapitel | |
| 6. | Integration eines IRBC in BCM:erläutert den Zusammenhang zwischen IRBC und BCM |
| 7. | Geschäftserwartungen an IRBC:erläutert, wie die Geschäftskontinuität für die Organisation Ziele festlegt, die IRBC zu erreichen versuchen sollte |
| 8. | Festlegung der Voraussetzungen für IRBC:bietet eine Orientierungshilfe dazu, was erforderlich ist, um die aktuellen Merkmale der ICT zu definieren, die sich auf IRBC auswirken |
| 9. | Festlegung der IRBC-Strategien:bietet Leitlinien zu verschiedenen Strategien, die für IRBC festgelegt werden sollten, je nach den Zielen und aktuellen Merkmalen, denen ICT-Kontinuitätspläne folgen sollten |
| 10. | Festlegung des ICT-Kontinuitätsplans:stellt Leitlinien bereit für die Erstellung von ICT-Kontinuitätsplänen auf der Grundlage festgelegter Strategien und für den Umgang mit verschiedenen Arten von widrigen Situationen, um die Kontinuitätsziele für die ICT zu erreichen |
| 11. | Testen, Üben und Auditieren:stellt Anleitungen zum Testen, Trainieren und Überprüfen der IKT-Kontinuitätspläne bereit |
| 12. | Endgültige MBCO:bietet Leitlinien zur Festlegung endgültiger RPOs und RTOs auf der Grundlage der ICT-Kontinuitätspläne und zur Bestimmung der Fähigkeit, die Geschäftsanforderungen zu erfüllen |
| 13. | Verantwortlichkeiten der obersten Führungsebene hinsichtlich der Bewertung des IRBCbietet Leitlinien für das Feedback des IRBC an die Geschäftsleitung zur Genehmigung der Pläne oder Entscheidungen zur Risikobehandlung, wenn die Geschäftsziele nicht erreicht wurden |
Anhänge
Die informativen Anhänge zum Standard umfassen folgende Themen:
Die informativen Anhänge zum Standard umfassen folgende Themen:
| A) | Vergleich von RTO und RPO mit den Geschäftszielen für die IKT-Wiederherstellung |
| B) | Risikoberichterstattung für FMEA |
3.1 Organisation des IRBC und Integration in BCM
Risiko: Verfügbarkeit sichern
Das Risiko einer Störung im Bereich der Informationssicherheit und der ICT bezieht sich in erster Linie auf Fälle, in denen eine ungünstige Situation eintritt, die die Verfügbarkeit von ICT-Diensten für Geschäftsaktivitäten beeinträchtigt. Die damit verbundenen Risiken zeichnen sich durch eine sehr geringe Wahrscheinlichkeit aus, d. h., sie können sehr selten oder sogar nie auftreten, haben jedoch enorme Folgen und Auswirkungen auf das Geschäft, wenn sie eintreten. Ein BCM ist die Bündelung all der Maßnahmen, mit denen die Folgen solcher Risiken minimiert werden sollten, da in den meisten Fällen die Wahrscheinlichkeit solcher Risiken nie vollständig ausgeschlossen werden kann.
Das Risiko einer Störung im Bereich der Informationssicherheit und der ICT bezieht sich in erster Linie auf Fälle, in denen eine ungünstige Situation eintritt, die die Verfügbarkeit von ICT-Diensten für Geschäftsaktivitäten beeinträchtigt. Die damit verbundenen Risiken zeichnen sich durch eine sehr geringe Wahrscheinlichkeit aus, d. h., sie können sehr selten oder sogar nie auftreten, haben jedoch enorme Folgen und Auswirkungen auf das Geschäft, wenn sie eintreten. Ein BCM ist die Bündelung all der Maßnahmen, mit denen die Folgen solcher Risiken minimiert werden sollten, da in den meisten Fällen die Wahrscheinlichkeit solcher Risiken nie vollständig ausgeschlossen werden kann.
Rolle des IRBC
ICT readiness for business continuity (IRBC) wird als Teil eines BCM-Prozesses betrachtet und ist in ein entsprechendes Managementsystem integriert (BCMS oder ISMS). Es soll gewährleisten, dass die ICT-Infrastruktur – neben Richtlinien, Prozessen und Menschen als vierte wesentliche BCM-Komponente – ihren Beitrag zur Businessresilienz leistet. Businessresilienz ist die Widerstandsfähigkeit von Geschäftsprozessen und somit das Ergebnis der BCM-Aktivitäten.
ICT readiness for business continuity (IRBC) wird als Teil eines BCM-Prozesses betrachtet und ist in ein entsprechendes Managementsystem integriert (BCMS oder ISMS). Es soll gewährleisten, dass die ICT-Infrastruktur – neben Richtlinien, Prozessen und Menschen als vierte wesentliche BCM-Komponente – ihren Beitrag zur Businessresilienz leistet. Businessresilienz ist die Widerstandsfähigkeit von Geschäftsprozessen und somit das Ergebnis der BCM-Aktivitäten.
BIA
Priorisierte BCM-Aktivitäten werden durch eine Business Impact Analysis (BIA) der Geschäftsprozesse und -funktionen identifiziert, bei der die ICT-Abhängigkeiten ermittelt und kritische Zeitrahmen festgelegt werden können.
Priorisierte BCM-Aktivitäten werden durch eine Business Impact Analysis (BIA) der Geschäftsprozesse und -funktionen identifiziert, bei der die ICT-Abhängigkeiten ermittelt und kritische Zeitrahmen festgelegt werden können.
Bedrohungen
Die tatsächlichen Ereignisse oder Risikoszenarien, wie die ICT-Dienste unterbrochen werden, können für Unternehmen schwer zu bestimmen sein und rangieren in der Regel auf einer hohen Ebene, basierend auf sehr unterschiedlichen Bedrohungen:
Die tatsächlichen Ereignisse oder Risikoszenarien, wie die ICT-Dienste unterbrochen werden, können für Unternehmen schwer zu bestimmen sein und rangieren in der Regel auf einer hohen Ebene, basierend auf sehr unterschiedlichen Bedrohungen:
| • | Umweltfaktoren – Feuer, Überschwemmungen usw.; | ||||||
| • | technische Hardware-, Softwareausfälle oder Strom- und Klimatisierungsausfälle (z. B.HVAC); | ||||||
| • | unbeabsichtigte menschliche Risikofaktoren – Fehler im Änderungsmanagement, falsch konfigurierte Backups usw.; | ||||||
| • | beabsichtigte menschliche Risikofaktoren – Hacking, Malware, Sabotage; | ||||||
| • | gesellschaftliche Faktoren – Pandemien, Streiks, soziale Unruhen usw.; | ||||||
| • | Cyberangriffe – DOS, DDOS; | ||||||
| • | spezifisch für die ICT-Lieferkette:
|
In der Folge kann es zu kritischen Ausfällen von Hardware, Software, Diensten, Einrichtungen, Dienstleistern oder Schlüsselpersonal der ICT kommen.