03912 Business Continuity Management System (BCMS) nach ISO 22301
|
Nicht selten ist in der Praxis zu beobachten, dass die Gefahr von Störungen und Prozessausfällen unterschätzt wird. Dies führt dazu, dass Bedrohungen nicht wahrgenommen und Vorkehrungen zum Schutz von Personen, Anlagen, Services, Infrastruktur und Informationen– wenn überhaupt – nur in rudimentärer Form getroffen werden; mit Auswirkungen auf die Wettbewerbsfähigkeit oder gar die Existenz des gesamten Unternehmens. Daher sollten Vorgehensweisen festgelegt werden, wie mit derartigen Bedrohungen systematisch umzugehen ist.
In diesem Beitrag wird auf die Anforderungen an ein Business Continuity Management System (BCMS), das auch als Kontinuitätsmanagementsystem bezeichnet wird, eingegangen. Die Anforderungen und deren Umsetzung orientieren sich an den Vorgaben der ISO 22301. Direkt einsetzbare Arbeitshilfen unterstützen Sie bei der Anwendung. Arbeitshilfen: von: |
1 Normenbasiertes BCM-System einführen
Zunahme von Bedrohungsszenarien
Instabile Lieferketten, die aktuelle Entwicklung auf dem Gas- und Strommarkt, steigende Anforderungen an Nachhaltigkeit, die Klimakrise, aber auch die zunehmende Digitalisierung und damit verbundenen wachsenden informationstechnischen Bedrohung machen heute alle Arten von Unternehmen anfällig für ungeplante Unterbrechungen in ihren Prozessen. Weitere Risikofaktoren sind Feuer, Netzausfälle, Naturkatastrophen, Cyberangriffe sowie der Verlust von wichtigen Lieferanten oder Mitarbeitern. Die Folgen sind oftmals drastisch: Sie reichen von finanziellen Belastungen durch Umsatzeinbußen und nicht planbare Kosten bis hin zu Kundenabwanderungen, Reputationsverlust, Geldbußen, Vertragsstrafen, Sach- und Personenschäden.
Instabile Lieferketten, die aktuelle Entwicklung auf dem Gas- und Strommarkt, steigende Anforderungen an Nachhaltigkeit, die Klimakrise, aber auch die zunehmende Digitalisierung und damit verbundenen wachsenden informationstechnischen Bedrohung machen heute alle Arten von Unternehmen anfällig für ungeplante Unterbrechungen in ihren Prozessen. Weitere Risikofaktoren sind Feuer, Netzausfälle, Naturkatastrophen, Cyberangriffe sowie der Verlust von wichtigen Lieferanten oder Mitarbeitern. Die Folgen sind oftmals drastisch: Sie reichen von finanziellen Belastungen durch Umsatzeinbußen und nicht planbare Kosten bis hin zu Kundenabwanderungen, Reputationsverlust, Geldbußen, Vertragsstrafen, Sach- und Personenschäden.
Mögliche Schadensereignisse
Ungeplante Unterbrechungen können auf unterschiedliche Schadensereignisse zurückzuführen sein. Dabei wird zwischen Störungen, Notfällen, Krisen und Katastrophen (sog. Großschadensereignissen) unterschieden. Die Schadensursachen können dabei sowohl aus dem physischen Umfeld stammen wie auf IT-Sicherheitsvorfälle zurückzuführen sein. Tabelle 1 nimmt eine Abgrenzung vor.
Ungeplante Unterbrechungen können auf unterschiedliche Schadensereignisse zurückzuführen sein. Dabei wird zwischen Störungen, Notfällen, Krisen und Katastrophen (sog. Großschadensereignissen) unterschieden. Die Schadensursachen können dabei sowohl aus dem physischen Umfeld stammen wie auf IT-Sicherheitsvorfälle zurückzuführen sein. Tabelle 1 nimmt eine Abgrenzung vor.
Tabelle 1: Schadensereignisse ( [1], S. 29)
Schadensereignis | Schadenshöhe | Vorkommen | Örtlich begrenzt | Beispiel |
|---|---|---|---|---|
Störung | gering | häufiger | ja | Ausfall eines Servers |
Notfall | hoch | selten | ja | Unfall, z. B. mit einem Gabelstapler |
Krise | sehr hoch | sehr selten | ja (auf Unternehmen) | Gebäudebrand oder Cyberangriff auf IT oder OT |
Katastrophe (Großschadensereignis) | sehr hoch | sehr selten | nein (weites Ausmaß) | Hochwasser oder Kompletter IT-Ausfall durch Ransomware Angriff |
BCM-System als Lösung
Um das Unternehmen vor diesen Bedrohungen zu schützen, ist es mithin notwendig, vorbereitet zu sein und entsprechende Vorkehrungen zu treffen. Dazu gehört insbesondere die Einführung eines BCM-Systems. Dieses hilft dabei, Risiken und Bedrohungen für ungeplante Unterbrechungen frühzeitig zu erkennen und die Auswirkungen auf ein akzeptables Maß zu reduzieren. Es stellt die Fortsetzung der wichtigsten Geschäftsprozesse im Unternehmen, ggf. auch in reduziertem Umfang, sowie eine frühzeitige Wiederaufnahme dieser Prozesse sicher. Ein BCM-System ermöglicht es dem Unternehmen, seine vertraglichen Verpflichtungen gegenüber Lieferanten und Kunden erfüllen zu können. Ferner kann sich der Nachweis eines BCM-Systems auch positiv auf die Bemessung von Versicherungsprämien auswirken.
Um das Unternehmen vor diesen Bedrohungen zu schützen, ist es mithin notwendig, vorbereitet zu sein und entsprechende Vorkehrungen zu treffen. Dazu gehört insbesondere die Einführung eines BCM-Systems. Dieses hilft dabei, Risiken und Bedrohungen für ungeplante Unterbrechungen frühzeitig zu erkennen und die Auswirkungen auf ein akzeptables Maß zu reduzieren. Es stellt die Fortsetzung der wichtigsten Geschäftsprozesse im Unternehmen, ggf. auch in reduziertem Umfang, sowie eine frühzeitige Wiederaufnahme dieser Prozesse sicher. Ein BCM-System ermöglicht es dem Unternehmen, seine vertraglichen Verpflichtungen gegenüber Lieferanten und Kunden erfüllen zu können. Ferner kann sich der Nachweis eines BCM-Systems auch positiv auf die Bemessung von Versicherungsprämien auswirken.
