ISO/IEC 22301

ISO 22301 – Der Business-Continuity-Management-Standard, vereinfacht

In Aktion sehen
Von Mark Sharron | Aktualisiert am 14. Dezember 2023

Der Business Continuity Management-Standard ISO 22301 hilft Unternehmen, Bedrohungen zu erkennen und zu priorisieren. Es ermöglicht ihnen, ihr Business-Continuity-Management-System effektiv zu implementieren, sodass sie bereit sind, auf Vorfälle zu reagieren und sich von ihnen zu erholen, und zwar mit der geringsten Unterbrechung des Geschäftsbetriebs.

Zum Thema springen

Was ist ISO 22301 und warum brauchen Sie es?

In einer Welt, in der Cyberangriffe, Datenschutzverletzungen und Naturkatastrophen die Geschäftskontinuität unterbrechen und schnell den Ruf schädigen können, müssen Organisationen und Unternehmen ihr Business Continuity Management System (BCMS) implementieren, warten und ständig verfeinern. Die ISO 22301-Zertifizierung ihres Kontinuitätsmanagements stellt dies sicher.

ISO 22301 hilft Unternehmen, Bedrohungen zu identifizieren und zu priorisieren. Es ermöglicht ihnen, ihr Business-Continuity-Management-System effektiv zu implementieren, sodass sie bereit sind, auf Vorfälle zu reagieren und sich von ihnen zu erholen, und zwar mit der geringsten Unterbrechung des Geschäftsbetriebs.

Studien haben gezeigt, dass fast jedes fünfte Unternehmen jedes Jahr erhebliche Geschäftsunterbrechungen erlebt. Daher ist eine robuste und widerstandsfähige Organisation eine Organisation, die mit der Zeit gehen kann, weiß, wo ihre Schwachstellen liegen, Pläne zur Risikominderung hat und bei Bedarf reagiert. Durch die Einhaltung oder Zertifizierung nach ISO 1 Business Continuity Management kann Ihr Unternehmen alle oben genannten Ziele auf unkomplizierte und strukturierte Weise erreichen.


Am 31. Oktober 2019 wurde die neueste Version der Norm ISO 22301 veröffentlicht – ISO 22301:2019. Dies ist eine überarbeitete Version von ISO 22301:2012. Ziel sei es, den Standard „stromlinienförmiger und praktischer“ zu machen, so die ISO. Nach Angaben des United Kingdom Accreditation Service (UKAS) können Unternehmen bis zum 22301. April 2012 von ISO 22301:2019 auf ISO 30:2023 umstellen. Die Frist wurde ausnahmsweise aufgrund der Covid-19-Situation verlängert. Die Version 2019 wurde allgemein gut angenommen und der Übergang von alten zu neuen Versionen des Standards wird als nicht allzu aufwändige wertschöpfende Übung angesehen.

Die Dokumentation zum ISO 22301-Standard für das Geschäftskontinuitätsmanagement finden Sie unter offizielle ISO-Website.

ISO 22301:2019 bietet Unternehmen die aktuellste Sicherheits- und Belastbarkeitszertifizierung, um sicherzustellen, dass ihre Business-Continuity-Managementsysteme dem von der ISO festgelegten internationalen Standard entsprechen.

Die Beziehung zu ISO 22301:2012

Es gibt keinen grundlegenden Unterschied zwischen ISO 22301:2012 und ISO 22301:2019. Beide Versionen erfordern die Einbindung der Geschäftsleitung, und das aktualisierte Modell spiegelt wider, was für die Aufrechterhaltung eines erfolgreichen BCMS erforderlich ist.

Diese Nachhaltigkeit wird mit einem technologiebasierten Business-Continuity-Management-System wie ISMS.online deutlich komfortabler.

ISO 22301:2012 wurde im Mai 2012 veröffentlicht und im Juni desselben Jahres geändert. Die im ISO 22301 Business Continuity Management festgelegten Managementsystemanforderungen sollten sich auf alle Organisationen erstrecken. Der Grad der Umsetzung der Kriterien hängt von der Betriebsumgebung und dem Umfang der Organisation ab, ähnlich wie man den Umfang anderer Managementsystemstandards wie ISO 27001 entwickeln würde.

Während mehrere Konzepte und Terminologien des Geschäftskontinuitätsmanagements überarbeitet wurden, um den Kontext zu erweitern und etablierte Verfahren widerzuspiegeln, enthält Abschnitt 8; Der Betrieb ist der Hauptbereich, in dem Änderungen stattgefunden haben.

ISMS.online bietet in seinen Paketdiensten Business-Continuity-Management-Frameworks nach ISO 22301 an. Das bedeutet, dass Unternehmen, die ihre bestehenden Business-Continuity-Management-Systeme migrieren möchten, dies ebenso tun können wie diejenigen, die sich zum ersten Mal mit ISO 22301 befassen.


Was ist Business Continuity Management?

Wenn Ihr Unternehmen von einer Katastrophe oder Krise betroffen wäre, wäre Ihr Geschäft dann in der Lage, weiterzumachen? Bei Zwischenfällen und Naturkatastrophen bleibt wenig Zeit, eine Reaktionsstruktur vorzubereiten, insbesondere wenn wichtige Personen, Prozesse, Netzwerke, Infrastruktur und andere wichtige Dienste gestört werden.

Eine Katastrophe kennt keine Grenzen. Dies könnte Ihre Geschäftskontinuität intern und extern beeinträchtigen und sich auch auf Ihre Kunden und die Lieferkette auswirken. Ganz gleich, ob Sie ein kleines oder großes Unternehmen sind, Sie können mit den Auswirkungen rechnen. Der Hauptzweck des Business Continuity Managements besteht darin, die Wahrscheinlichkeit von Bedrohungen zu verringern und sicherzustellen, dass das Unternehmen auf erhebliche Störungen reagiert, die seine Zukunft gefährden könnten.

Beim Business Continuity Management geht es um verantwortungsvolle und effektive Führung. Es sollte eine Grundlage für die Entwicklung der Widerstandsfähigkeit gegenüber Vorfällen sowie der Fähigkeit zur erfolgreichen Reaktion bieten und so die Interessen Ihrer wichtigsten Stakeholder, den Ruf und die wertschöpfenden Abläufe Ihres Unternehmens schützen.

Eine Geschäftskontinuitätsstrategie mit einem dokumentierten Managementsystem sollte sicherstellen, dass sich die Mitarbeiter ihrer Rollen und Verantwortlichkeiten bewusst sind. Im Falle eines unerwarteten Ereignisses ist es wichtig, sich an etablierte Prozesse und genehmigte Verfahren anpassen zu können.

Geschäftskontinuitätspläne innerhalb von ISMS.online

Viele unserer Kunden entwickeln innerhalb von ISMS.online einfache, aber effektive Geschäftskontinuitätspläne, um ISO 27001 zu erfüllen und ihre wertvollen Informationsbestände zu schützen. Andere Kunden gehen mit ISO 22301 sogar noch einen Schritt weiter und führen eine ausgefeiltere Resilienzplanung und -prävention sowie Reaktionsmechanismen bei Vorfällen ein.

Buchen Sie eine Plattform-Demo

Das Geschäftskontinuitätsmanagement hilft Unternehmen, die Wahrscheinlichkeit und Auswirkungen von Störungen und Ausfallzeiten zu reduzieren, Vermögenswerte zu schützen, wenn etwas schief geht, den Betrieb während der Störung fortzusetzen und sich so schnell wie möglich von auftretenden Vorfällen zu erholen. Das Vorhandensein von Geschäftskontinuitätsplänen wird Ihrem Unternehmen auf folgende Weise helfen:

Halten Sie die gesetzlichen Anforderungen ein

ISO 22301 wird für die rechtliche und behördliche Zertifizierung des Kontinuitätsmanagements verwendet und stellt sicher, dass alle erforderlichen Elemente eines Geschäftskontinuitätsmanagementsystems erfüllt werden.

Marketingvorteile erzielen

Der Ruf einer Marke ist für jedes Unternehmen wertvoll und sollte um jeden Preis geschützt werden. Mit einem Kontinuitätsmanagementsystem ist es möglich, das Vertrauen der Kunden aufzubauen und so die Wahrscheinlichkeit einer PR-Katastrophe zu verringern, die die Beziehungen zu Stakeholdern wie Kunden, Klienten und Lieferanten schädigen könnte.

Reduzieren Sie die Abhängigkeit von Einzelpersonen

Durch Planung, Schulung, Sensibilisierungsprogramme und Tests sollte jeder in einer Organisation verstehen, was von ihm erwartet wird. Dies schafft Vertrauen, dass die Business-Continuity-Pläne im Falle einer Störung funktionieren.

Großschäden verhindern

Es ist wichtig, dass Ihr Unternehmen während und nach einem Vorfall weiterläuft. Durch die schnelle Wiederherstellung des Geschäftsbetriebs nach Unterbrechungen ist es möglich, die Kosten von Schadensvorfällen zu reduzieren, den Ruf des Unternehmens zu schützen und sogar Leben zu retten, wenn gefährliche Ereignisse wie Feuer oder Überschwemmungen eintreten.

Operative Belastbarkeit

Pannen und ungeplante Ereignisse variieren in Ausmaß, Geschwindigkeit und Auswirkung und betreffen möglicherweise nur eine einzelne Abteilung oder einen einzelnen Standort. Das Erkennen und Planen möglicher kleinerer Probleme, die zu größeren betrieblichen Schwierigkeiten für die gesamte Organisation führen könnten, wird dafür sorgen, dass sich die Räder weiter drehen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Demo buchen

Ein Business-Continuity-Management mit einem gut dokumentierten Managementsystem hilft Ihnen, störende Vorfälle besser zu erkennen und deren Wahrscheinlichkeit zu verringern oder Business-Continuity-Risiken zu begegnen. Business-Continuity-Management führt zum Wachstum eines stabileren Umfelds, obwohl Unternehmen ohne erfolgreiche Business-Continuity-Management-Systeme die Chancen deutlich erhöhen. Ein gut entwickelter, organisierter und eingespielter Business Continuity Plan (BCP) kann dazu beitragen, dass sich das Unternehmen so schnell wie möglich von einem Vorfall erholt.

Alle Ihre Verfahren müssen aktuell, genau und effizient sein. Zu den Methoden gehören unter anderem Unternehmensrisikobewertungen, Informationssicherheitsrisikobewertungen und die Berücksichtigung Ihrer Gesundheits- und Sicherheitsrichtlinien sowie Ihres Kontinuitätsmanagementplans.

Beispiele für Geschäftskontinuitätsrisiken sind:

  • Cyberangriffe und Datenschutzverletzungen
  • Ungeplante IT- und Telekommunikationsausfälle
  • Unterbrechung der Versorgung
  • Ungünstige Wetterbedingungen und andere Umwelteinflüsse
  • Pandemien und Epidemien
  • Terrorakte
  • Sicherheitsvorfälle
  • Feuer
  • Flut
  • Verlust von Schlüsselpersonal
  • Zerstörung von physischem Eigentum oder materieller Verlust

Das Business Continuity Management beschreibt die Schritte, die Sie im Notfall ergreifen müssen, in Form eines Disaster Recovery Plans (DRP). Ein Disaster Recovery Plan ist eine dokumentierte, organisierte Geschäftskontinuitätsstrategie, die zeigt, wie auf störende Vorfälle reagiert werden soll.

Der Disaster Recovery Plan beginnt mit der Erstellung nach einer detaillierteren Analyse der geschäftlichen Auswirkungen, die dabei hilft, aufzuzeigen, wo die größten Auswirkungen und Folgen eines Ereignisses auftreten. ISMS.online bietet Ihnen die Tools, die Sie benötigen, um Ihre Geschäftsauswirkungsanalyse, Notfallwiederherstellungspläne und vieles mehr mithilfe von Informationstechnologie zu verwalten.

Ihr DRP sollte eine kurzfristige Vereinbarung zur Reparatur und Wiederherstellung kritischer Geschäftssysteme sowie einen Plan zur Behebung von Problemen wie der Identifizierung der Grundursache und einem langfristigen Präventionsansatz umfassen. Es stehen viele Optionen zur Verfügung, um sicherzustellen, dass eine Organisation über ein Notfallsystem verfügt, das die beste Lösung bietet.

Beispielsweise würde das Vor-Ort-Wiederherstellungssystem dafür sorgen, dass Daten mithilfe von Datensicherungen und anderen Mitteln effizienter wiederhergestellt werden können. Ihre Präventionsmaßnahmen sollten auch vor möglichen Serverausfällen schützen und das Risiko externer Auftragnehmer berücksichtigen. Sie würden dann Notfallpläne und alternative Geschäftskontinuitätsstrategien für den Ausfall von Lieferungen erstellen, die für den Geschäftsbetrieb lebenswichtig sind, lange bevor sie überhaupt zu einem Problem bei der Notfallwiederherstellung werden.


Was ist ein BCMS?

Ein Business-Continuity-Management-System ist, ganz einfach ausgedrückt, ein anerkannter Ansatz, um sicherzustellen, dass eine Organisation den Geschäftsbetrieb aufrechterhalten und effektiv auf störende Vorfälle reagieren kann.

ISO 22301 bietet eine konstante und etablierte Methode zur Analyse der geschäftlichen Auswirkungen mit einem Rahmen, der auf anerkannten bewährten Verfahren basiert. Jeder, der ein auf ISO 22301 basierendes Geschäftskontinuitätsmanagementsystem implementiert und zertifiziert, wird bei einflussreichen Kunden, darunter ausgebildeten Experten, Auditoren und anderen interessierten Parteien, sofort Anerkennung und Verständnis finden.

Basierend auf ISO 22301 betont die ISO selbst die Bedeutung von Business Continuity Management-Systemen:

  • Zeigen Sie, dass die Organisation die Bedürfnisse und Notwendigkeit einer festgelegten Geschäftskontinuitätsrichtlinie und -ziele versteht
  • Implementierung und Ausführung von Prozessen, Mechanismen zur Reaktion auf Vorfälle und anderen Interventionen, um sicherzustellen, dass die Organisation eine Störung übersteht
  • Überwachung und kontinuierliche Verbesserung des Business Continuity Management Systems

Demonstration bewährter Praktiken für das Geschäftskontinuitätsmanagement

Die Befolgung von ISO 22301 als Grundlage für Ihr BCMS liefert den Nachweis, dass das Unternehmen zusätzlich zu den anerkannten guten Praktiken die notwendigen Schritte unternommen hat, um die gesetzlichen Anforderungen zu erfüllen.

Eine Best Practice für die Geschäftskontinuität umfasst den Lebenszyklus des Geschäftskontinuitätsmanagements, da Sie es ermöglichen können, die Effizienz und Qualität Ihrer Geschäftskontinuitätsmanagementsysteme zu maximieren. ISO 22301 bietet einen Rahmen für internationale Best Practices nach dem wohlverstandenen Konzept „Plan/Do/Check/Act“. Dieses Konzept gilt für Organisationen, die ihre Business-Continuity-Managementsysteme implementieren, pflegen und verbessern, um die Einhaltung der festgelegten Richtlinien zur Business-Kontinuität sicherzustellen.

Mit einem Business Continuity Management System, das auf den Anforderungen der ISO 22301 basiert, können sowohl interne als auch externe Interessenten darauf aufmerksam gemacht werden, dass die Organisation gute Praktiken im Business Continuity Management anwendet.

Planen, Durchführen, Prüfen, Handeln gemäß ISO 22301

Disaster Recovery und BCMS

Durch die Entwicklung effektiver Business-Continuity-Pläne ist eine Organisation gut in der Lage, Praktiken umzusetzen, die die Wahrscheinlichkeit von Vorfällen und Schäden für die Organisation verringern. Darüber hinaus helfen Ihnen effektive Business-Continuity-Pläne, Ihr Unternehmen besser zu verstehen und effektiver zu führen.

ISO-Leitlinien helfen Unternehmen bei der Identifizierung und Verwaltung von Compliance, typischerweise mithilfe einer Reihe von Verfahren, Richtlinien, Prozessdiagrammen oder Ähnlichem. Diese Anleitung hilft ihnen, Störungen in ihren Geschäftsaktivitäten zu planen und sich davon zu erholen. Dennoch ist es besser, sie ganz zu vermeiden, obwohl dies finanziell oder technisch nicht immer möglich oder machbar ist. Es ist auch wichtig, Prioritäten zu klären, wenn ein Vorfall auftritt, zum Beispiel: Was ist das Ziel der Wiederherstellungszeit? Was ist die höchste erträgliche Ausfallzeit? Mithilfe der Antworten auf diese Fragen können Sie Ihren Notfallwiederherstellungsplan vorbereiten. Die Geschwindigkeit der Genesung muss berücksichtigt werden. Ein an ISO 22301 ausgerichtetes Geschäftskontinuitätsmanagementsystem umfasst Notfallwiederherstellung und wirksame Geschäftskontinuitätspläne, um Ihrem Unternehmen dabei zu helfen, seine kritischen Abläufe so schnell wie möglich wiederherzustellen.

BCMS und Cyber-Resilienz

Die Implementierung eines Business Continuity Management Systems (BCMS) ist für die Entwicklung der Cyber-Resilienz in der heutigen Cyber-Sicherheitsumgebung unerlässlich. Ein Teil des Informationssicherheitsstandards ISO 27001 enthält eine Klausel zur Geschäftskontinuität – ISO 22301 erfüllt diese ISO 27001-Anforderung mehr als.

Cyberangriffe sorgten im letzten Jahrzehnt regelmäßig für Schlagzeilen. Beispielsweise hinterließ der berüchtigte weltweite Ransomware-Angriff WannaCry im Mai 2017 eine Spur der Verwüstung, da Unternehmen der Zugriff auf ihre eigenen Daten verweigert wurde und sie gezwungen waren, den Geschäftsbetrieb einzustellen, bis hohe Lösegelder gezahlt wurden.

Solche Vorfälle zeigen, wie wichtig es ist, sicherzustellen, dass Ihr Unternehmen auf Störungen reagieren und sich von ihnen erholen kann, indem Sie ein wirksames Business Continuity Management System (BCMS) implementieren.


Die Vorteile von ISO 22301

Es gibt viele Vorteile von ISO 22301, einschließlich der Rückkehr des Unternehmens zum „Business as Usual“ mit minimalen Störungen durch eine Krise.

Operative Belastbarkeit

Die Fähigkeit, den Geschäftsbetrieb unabhängig von kleineren oder größeren Vorfällen fortzusetzen, wird für Unternehmen aller Branchen immer wichtiger. Ein Business Continuity Management System (BCMS) ermöglicht es einem Unternehmen, für diese Vorfälle zu planen. Dies führt zu einer größeren Wettbewerbsfähigkeit und verringert die Betriebsausfallzeiten eines Unternehmens, falls etwas Unerwartetes eintritt.

Notfallvorsorge

ISO 22301 gibt Unternehmen und Organisationen die Möglichkeit, bei störenden Vorfällen angemessen zu reagieren und Verschwendung oder unnötige Verluste zu vermeiden. Durch die proaktive Bewertung der Auswirkungen der Störung erkennt das Business Continuity Management die Produkte und Dienstleistungen, die für das Überleben der Organisation unerlässlich sind. Dabei soll ermittelt werden, welche Lösungen und Notfallplanungen erforderlich sind, falls ein Vorfall eintreten sollte.

Unternehmensführung

Die Einhaltung der ISO 22301 trägt dazu bei, die Anforderungen der Unternehmensführung zu erfüllen. Im Wesentlichen kann der Standard den Nachweis erbringen, dass die Organisation die notwendigen Schritte unternommen hat, um die gesetzlichen Anforderungen zu erfüllen, die ein wirksames Geschäftskontinuitätsmanagementprogramm erfordern.

Krisenmanagement

Krisenmanagement (CM) bezieht sich auf die Gesamtkoordinierung der effektiven und zeitnahen Reaktion einer Organisation auf eine Krise. Für die Verantwortlichen des Krisenmanagements besteht das Ziel darin, Schäden für die Rentabilität, den Ruf oder die Geschäftsfähigkeit der Organisation zu vermeiden oder zumindest zu minimieren. Die Erfüllung der Norm ISO 22301 bestätigt, dass die entsprechenden Maßnahmen vorhanden sind, um dies zu erreichen.

Katastrophale Erholung

Bei den Disaster-Recovery-Aktivitäten geht es darum, die Organisation nach einem traumatischen Ereignis wieder in den „Business-as-usual“-Zustand zu versetzen und sie auf den Weg zur vollständigen Wiederherstellung zu bringen. Es ist wichtig zu erkennen, dass sich dies vom Business Continuity Management unterscheidet, bei dem es darum geht, sicherzustellen, dass das Unternehmen die Wahrscheinlichkeit von Naturkatastrophen weiterhin verringern und während einer Krise funktionieren kann.

Reputationsschutz in der Krise

Die ISO 22301-Zertifizierung zeigt den Stakeholdern, dass Ihre Geschäftskontinuitätsfähigkeit für die Größe und den Umfang Ihrer Organisation geeignet ist. Ebenso wie die ISO 27001 schafft sie mehr Vertrauen, insbesondere wenn sie von einer unabhängigen Zertifizierungsstelle zertifiziert wird. Es hilft Ihnen, die Geschäftsanforderungen zu verstehen, indem es potenzielle Fehler und Risiken identifiziert. Unternehmen können dann gegenüber Stakeholdern, Verbrauchern, Anbietern und Regulierungsbehörden nachweisen, dass sie über ein robustes System und Prozesse für das Geschäftskontinuitätsmanagement verfügen. ISO 22301 wird auch das Vertrauen der Stakeholder in die Fähigkeit der Organisation stärken, auf störende Vorfälle und Ereignisse zu reagieren und kritische Ereignisse aufrechtzuerhalten Geschäftsprozesse im Katastrophenfall.

Vorbereitung auf Technologieausfälle

Vom Ausfall der Telekommunikation bis hin zum Verlust des Zugriffs auf gespeicherte Daten können Technologieausfälle die Rentabilität und den Ruf eines Unternehmens enorm schädigen. ISO 22301 stellt sicher, dass alle Maßnahmen ergriffen werden, um solche Störungen abzumildern, und stellt sicher, dass alle Abteilungen auf den schlimmsten Fall vorbereitet sind.

Reduzieren Sie die Kosten für die Betriebsunterbrechungsversicherung

Mit einem BCMS, das ISO 22301 entspricht, erhält ein Unternehmen aussagekräftigere Einblicke in die Auswirkungen einer potenziellen Katastrophe. Dies ermöglicht es dem Unternehmen, die Art und den Wert des benötigten Versicherungsschutzes besser einzuschätzen, was möglicherweise langfristig zu einer Kostensenkung führt.

Planen Sie den plötzlichen Verlust wichtiger Ressourcen ein

Daraus folgt, dass ein Unternehmen gut aufgestellt ist, um die Geschäftskontinuität aufrechtzuerhalten, wenn die Auswirkungen von Störungen proaktiv erkannt werden. Business-Continuity-Management-Systeme helfen bei der Festlegung, welche Reaktionen im Falle einer Störung erforderlich sind, und ISO 22301 bietet darüber hinaus die Möglichkeit, im Falle einer solchen Störung angemessen zu reagieren.


Wie funktioniert ISO 22301?

ISO 22301 legt dar, wie ein Managementsystem aufgebaut werden kann, das einer Organisation dabei hilft, für jede Art von Vorfall zu planen, der ihre Fähigkeit, effektiv zu arbeiten, beeinträchtigen könnte.

Dieser Standard bietet einer Organisation einen Rahmen zur Definition von Verantwortlichkeiten und ermöglicht die Bewertung und Überprüfung der Geschäftskontinuitätsleistung im Laufe der Zeit. Mit ISO 22301 können Sie die erforderlichen Dokumente erstellen, um im Rahmen laufender Compliance-Anforderungen überprüfbare Nachweise für Notfallfähigkeiten zu erbringen.

Leistungsbewertung, Audits und kontinuierliche Verbesserung stehen im Mittelpunkt der Managementsystemnormen ISO 22301:2012 und ISO 22301:2019.

Wer kann ISO 22301 umsetzen?

Der BCMS-Standard ISO/IEC 22301 erstreckt sich auf Unternehmen jeder Größe, auf allen Märkten und auf allen Erfahrungsniveaus. Die Implementierung des Business Continuity Managements nach ISO 22301 umfasst die Überprüfung der Betriebsstrukturen, um potenzielle Defizite zu identifizieren und es der Organisation zu ermöglichen, sich auf ihre Ziele und Business Continuity-Ziele zu konzentrieren.

Die Geschäftsanforderungen des Implementierungsprojekts sind spezifisch für das Unternehmen, das den Standard implementiert, und ISMS.online macht dies unkompliziert. Sie müssen sich nicht darauf konzentrieren, „wie“ Sie ISO 22301 umsetzen und verwalten, Sie können sich einfach auf die Aktivitäten innerhalb der Norm konzentrieren und sich darauf konzentrieren, „was“ Sie zur Vorbeugung und Heilung tun müssen.

Wie implementiert man ISO 22301?

Wenn Sie das Business Continuity Management nach ISO 22301 implementieren, besteht der erste einfache Schritt darin, über die Erfüllung der primären Anforderungen der Norm nachzudenken. Dieser Ausgangspunkt wird Sie dazu ermutigen, einen strategischen Ansatz zu verfolgen (weshalb Führung so wichtig ist) und den Kontext und den Umfang festzulegen sowie eine erklärte Geschäftskontinuitätsrichtlinie und Ziele der Geschäftskontinuitätsmanagementsysteme zu entwickeln.

Die Entwicklung einer Geschäftskontinuitätsrichtlinie hilft dabei, Ihre Risiko- und Chancenbereiche zu identifizieren. Von hier aus können Sie die Auswirkungen dieser Risiken und deren mögliche Auswirkungen auf die Folgen sowie die Zeit bis zum Ausfall, zur Wiederherstellung usw. abwägen. Auf diese Weise können Sie etwaige Lücken oder Mängel in Ihren aktuellen Anforderungen an die ISO-Managementsystemnormen erkennen. Sie identifizieren und geben praktische Verbesserungsvorschläge. ISO beschreibt dies als Business Continuity-Strategien und -Lösungen.

Holen Sie sich Hilfe bei der Umsetzung

ISMS.online verfügt über Partner, die Sie bei Ihrer ISO 22301-Implementierung unterstützen können, von der Umsetzung eines pragmatischen und unkomplizierten Business-Continuity-Management-Systemansatzes bis hin zu einem hochentwickelten BCMS.

Buchen Sie noch heute eine Demo, um die verfügbaren Optionen zu erkunden

Buchen Sie eine Plattform-Demo

Sobald Sie Ihre Implementierung abgeschlossen haben, ist es wichtig, regelmäßige Audits des Business Continuity Management-Systems durchzuführen. Auch für die unabhängige Zertifizierung des BCMS sind interne Audits zwingend erforderlich. Leistungsüberprüfungen ergänzen auch interne Audits, um sicherzustellen, dass Ihre Managementsysteme jederzeit wie erwartet funktionieren.

Der ISO-Auditor erwartet außerdem eine Aufzeichnung der Verbesserungen, die Ihr Unternehmen im Laufe der Zeit vorgenommen hat. Es ist eine entscheidende Voraussetzung, über eine Methode zur Behebung von Nichtkonformitäten, Korrekturmaßnahmen und anderen Verbesserungen zu verfügen.


Erste Schritte mit ISO 22301

Wir ermutigen Organisationen, den internationalen ISO-Standard zu kaufen und ihn zu verarbeiten, um die Anforderungen der ISO-Managementsystemstandards vollständig zu verstehen. Wir empfehlen, am Anfang zu beginnen (4.1 Verständnis der Organisation und ihres Kontexts) und sich nicht mit der Entwicklung von Plänen zur Reaktion auf Vorfälle zu befassen, bis Sie den Umfang, die Risiken und die Auswirkungen berücksichtigt haben.

ISMS.online ist außerdem mit einer Reihe von Tools vorkonfiguriert, die Ihnen helfen, den Prozess einfacher zu verfolgen und dafür zu sorgen, dass Sie sich weiterhin auf das Geschäft konzentrieren können. Es ist auch mit den umfassenderen Tools und Funktionen von ISO 27001 verknüpft, sodass Sie auch viele der ISO 22301-Managementsystemanforderungen erfüllen können. Sie können Aufgaben wie Audits, Leistungsüberprüfungen, Managementbesprechungen, Mitarbeiterschulungen usw. gleichzeitig verwalten.

Sie senken die Kosten, vereinfachen das Lernen für die Mitarbeiter und machen die Verwaltung des gesamten Unternehmensverwaltungssystems deutlich komfortabler. Auch externe Prüfer halten dies für viel effektiver und schöpfen großes Vertrauen, wenn sie konsistente Betriebspraktiken über alle ISO-Standards hinweg sehen.

Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Demo buchen

Das ISO 22301-Framework

ISO 22301-Anforderungen und -Struktur

Hier fassen wir den Rahmen zusammen, der in ISO 22301 festgelegt ist:

Kontext

Das ISO 22301-Framework richtet sich an alle Arten und Größen von Organisationen, die ein BCMS implementieren, warten und verbessern. Es sollte als strategische Absicht von jedem Unternehmen übernommen werden, das die festgelegte Geschäftskontinuitätsrichtlinie einhalten möchte und sich für die Verbesserung der Widerstandsfähigkeit durch die effektive Anwendung der Geschäftskontinuitätsmanagementsysteme einsetzt.

Planung

Grundsätzlich beginnt die Planung von Business-Continuity-Management-Systemen mit der Bewertung und Bestimmung der Risiken und Chancen im Zusammenhang mit dem Business-Continuity-Management. Die Organisation muss außerdem Geschäftskontinuitätsziele für die relevanten Funktionen und Ebenen festlegen. Diese Ziele müssen überwacht, klar kommuniziert und gegebenenfalls aktualisiert werden.

Leadership

In jeder Branche ist es von entscheidender Bedeutung, dass das Managementteam Führungsstärke und Engagement für das BCMS demonstrieren kann. Dies kann erreicht werden, indem „sichergestellt wird, dass die Geschäftskontinuitätsrichtlinie und die Geschäftskontinuitätsziele festgelegt sind und mit der strategischen Ausrichtung der Organisation kompatibel sind“, sagt ISO. Die Führung sollte Kommunikationskanäle nutzen, um ihren Mitarbeitern und Partnern zu zeigen, wie wichtig eine effektive Geschäftskontinuität und die Einhaltung der Anforderungen des Geschäftskontinuitätsmanagementsystems sind. Die Führungsstrategie muss auch die kontinuierliche Verbesserung und Entwicklung einer Kultur der Geschäftskontinuität fördern.

Produktion

Die Geschäftskontinuitätsstrategie basiert darauf, dass betriebliche Prozesse für die Vorfallvorsorge und die Reaktion auf Vorfälle in allen Unternehmensfunktionen vorhanden sind. Das bedeutet, Kriterien für die Prozesse festzulegen und die Steuerung der Prozesse nach vereinbarten Kriterien umzusetzen. Von der Einführung einer Medien- und Kommunikationsstrategie bis hin zur strengen Verwaltung des Standortrisikos nach Störvorfällen ist die Notfallwiederherstellung auf Kontinuitätspläne angewiesen. Ein entscheidender Schritt ist die Aufbewahrung dokumentierter Informationen, um nachzuweisen, dass Prozesse und BC-Tests wie geplant durchgeführt und bei Bedarf verbessert wurden.

Leistungsbewertung

Durch die Leistungsbeurteilung lässt sich aus den Vorfällen viel lernen. Durch die Beobachtung von Erfolgen und Schwächen baut sich Wissen auf. Interessierte Parteien sind dafür verantwortlich, Aufzeichnungen zu führen und die Ergebnisse von Audits zu nutzen, um die richtigen Entscheidungen darüber zu treffen, wie künftige Geschäftsunterbrechungen zu bewältigen sind. Durch die Einrichtung eines Auditprogramms kann die Organisation sicherstellen, dass alle erforderlichen Korrekturmaßnahmen ergriffen werden. Ziel ist die Beseitigung erkannter Abweichungen und deren Ursachen.

Verbesserung

Kontinuierliche Verbesserung ist von zentraler Bedeutung für den in ISO 22301 festgelegten Standard für dokumentierte Managementsysteme. Alle Überarbeitungen und Verbesserungen an der Art und Weise, wie das BCMS verwaltet wird, werden den Geschäftskontinuitätsmanagementplan im Laufe der Zeit verbessern.


Richtlinien und Verfahren für ein ISO 22301-Business-Continuity-Management-Compliance-Projekt müssen sorgfältig verwaltet werden.

Eine Organisation muss die Einhaltung des ISO-Standards für Geschäftskontinuität durch die Bereitstellung geeigneter Dokumentation nachweisen. Dazu gehören ein Umfang, eine detaillierte Geschäftskontinuitätsrichtlinie, ein formelles Risikobewertungsverfahren und Geschäftskontinuitätspläne, die zeigen, wie die Organisation auf Störungen reagieren und sich von ihnen erholen wird.

Begriffe und Definitionen

Der Standard befasst sich ausführlich mit Sicherheit und Belastbarkeit. Es verwendet eine breite Palette entweder technischer Fachbegriffe oder allgemeiner Begriffe, die im Sicherheits- und Resilienzkontext eine bestimmte Bedeutung haben.

Um Ihnen das Verständnis zu erleichtern, enthält es Definitionen der 31 wichtigsten. Es weist Sie auch auf „ISO 22301 Sicherheit und Belastbarkeit – Vokabular“ hin, das fast 300 Sicherheits- und Belastbarkeitsbegriffe auflistet und definiert.

Es gibt einige zugehörige Richtliniendokumente, die die Anforderungen in ISO 22301 detaillierter ergänzen. Einige davon sind in ISO 27001 aufgeführt. Herausragende Leitfäden sind:

ISO 22313 – Leitfaden zur Verwendung von ISO 22301
ISO 22317 – Richtlinien für Business Impact Analysis (BIA)
Wenn Sie einen Begriff verstehen müssen, der hier nicht aufgeführt ist, sollten Sie in ISO 22301 nachsehen, was er bedeutet.

Begriffe und Definitionen finden Sie auch online.

ISO und IEC unterhalten unter folgenden Adressen terminologische Datenbanken zur Verwendung in der Normung:

Es ist sehr wichtig, diese Begriffe zu verstehen. Für diejenigen, die noch keine Experten auf diesem Gebiet sind, kann es etwas schwierig sein, sich damit vertraut zu machen.

Wenn Sie sich für eine Zusammenarbeit mit uns entscheiden, stellen wir sicher, dass Sie diese verstehen. Wir erläutern sie in unseren eigenen Supportmaterialien. Wenn Sie gezieltere Hilfe benötigen, können wir Ihre Fragen entweder selbst beantworten oder den richtigen unabhängigen Partner finden, der mit Ihnen zusammenarbeitet.


Auditierung und Compliance

Bei einem Audit handelt es sich um einen Beweiserhebungsprozess mit dem Ziel zu bewerten, wie gut Schlüsselkriterien erfüllt werden. Audits müssen objektiv, unparteiisch und unabhängig sein und der Auditprozess muss sowohl systematisch als auch dokumentiert sein.

Interne Audits sind ein obligatorischer Bestandteil eines zertifizierten BCMS. Darüber hinaus führt die ausgewählte Zertifizierungsstelle regelmäßige „externe“ Audits durch, um zunächst das BCMS zu zertifizieren und dann sicherzustellen, dass es weiterhin dem Standard entspricht. Es ist auch möglich, kombinierte Audits durchzuführen. Hierbei werden zwei oder mehr dokumentierte Managementsysteme unterschiedlicher Disziplinen gleichzeitig gemeinsam auditiert.
Ein ISO-Auditor erwartet eine Aufzeichnung der Verbesserungen, die Ihr Unternehmen im Laufe der Zeit erzielt hat. Eine Methode zur Behebung von Nichtkonformitäten, Korrekturmaßnahmen und andere Verbesserungen sind entscheidende Anforderungen.

Wie wichtig es ist, die BC-Vereinbarungen zu testen

Es gibt verschiedene Möglichkeiten, die im BCMS enthaltenen dokumentierten Vereinbarungen und Pläne zu testen. Beispiele hierfür sind Tischübungen, vollständige oder teilweise Übungen sowie die Nutzung von Erkenntnissen aus realen Ereignissen. ISO 22301 schreibt vor, dass diese Prozesse regelmäßig durchgeführt werden, je nach den Aktivitäten und dem Risikoprofil Ihres Unternehmens.

Compliance

Nachdem Sie die Zertifizierung erhalten haben, müssen Sie einen Wartungsplan aufstellen, um die kontinuierliche Einhaltung der Norm ISO 22301 sicherzustellen. Bei ISMS.online verfügen wir hier über besondere Expertise.

Wir verstehen auch, dass kontinuierliche Verbesserung ein wichtiger Bestandteil der Aufrechterhaltung einer ISO 22301-Zertifizierung ist. Abschnitt 10 konzentriert sich darauf und deckt alle Maßnahmen ab, die innerhalb einer Organisation ergriffen werden, um:

Erreichen Sie Geschäftskontinuitätsziele effektiver
Erhöhen Sie die Zuverlässigkeit von Sicherheitsverfahren und -kontrollen
Schaffen Sie erhöhte Sicherheitsvorteile für die Organisation und ihre Stakeholder


ISO 22301-Anforderungen

ISO 22301:2019 setzt den Rahmen, den grundlegenden Text und die Definitionen von Anhang L, ehemals Anhang SL, um. Anhang L legt einen übergeordneten Rahmen für ISO-Managementsystemstandards fest. Der Anhang wurde erstellt, um einen ähnlichen Kerntext sowie gemeinsame Terminologie und Konzepte aufzunehmen.

Mit Ausnahme von Abschnitt 8 decken die Anforderungen von Anhang L viele der gleichen Bereiche ab wie die Kernanforderungen von ISO 27001, die in den Abschnitten 4.1 bis 10.2 behandelt werden.

FAQs

Was ist ISO 22301?

ISO 22301:2019 ist der anerkannte internationale Standard der International Organization for Standardization (ISO) für Business Continuity Management Systems (BCMS).

ISO 22301:2012 war die erste Version dieser Norm und wurde am 22301. Oktober 2019 in ISO 31:2019 überarbeitet. ISO 22301:2019 ist auch die erste ISO-Norm, die Anhang L der ISO/IEC-Richtlinie 1 implementiert, der eine gemeinsame Norm bietet Grundlage für alle neuen ISO-Managementsystemstandards.


Warum ist ISO 22301 wichtig?

ISO 22301 ist für jedes Unternehmen relevant, da es den Stakeholdern zeigt, dass die Organisation in der Lage ist, auf störende Vorfälle zu reagieren und im Katastrophenfall wichtige Geschäftsprozesse zu unterstützen. Zu den Vorteilen von ISO 22301 gehören:

  • Aufrechterhaltung wesentlicher Funktionen in Krisenzeiten
  • Widerstandsfähigkeit gegenüber Verbrauchern, Lieferanten und Ausschreibungsanfragen demonstrieren
  • Erkennen und Behandeln aktueller und potenzieller Risiken für Ihr Unternehmen
  • Wir verfolgen einen proaktiven Ansatz, um die Auswirkungen störender Vorfälle abzumildern

Wenn es gut gemacht ist, ist es möglich, es umzusetzen ISO 22301 und Business Continuity Management bei gleichzeitiger Übernahme anderer Managementsystemstandards.


Was ist ein Business Continuity Management System (BCMS)?

Einfach ausgedrückt ist ein Business Continuity Management System (BCMS) eine bewährte Lösung, um sicherzustellen, dass ein Unternehmen den Betrieb aufrechterhalten und effizient auf störende Vorfälle reagieren kann. Damit das BCMS ordnungsgemäß funktioniert, muss es:

  • Zeigen Sie, dass das Unternehmen die Bedeutung und Anforderungen von Geschäftskontinuitätsrichtlinien und -zielen erkennt
  • Verfahren für Vorfallmanagementstrategien und andere Maßnahmen einführen und ausführen, um sicherzustellen, dass die Organisation eine Störung effektiv bewältigt und sich davon erholt
  • verfolgen und Kontinuierliche Verbesserung des Business-Continuity-Systems

Verwendung eines BCMS, das kompatibel ist mit ISO 22301 teilt den Stakeholdern mit, dass Ihre Geschäftskontinuitätsfähigkeit für die Größe und den Umfang Ihrer Organisation akzeptabel ist.


Was sind Geschäftskontinuitätsrisiken?

Unter Geschäftskontinuitätsrisiken versteht man alle Risiken, die zu einer Störung des effektiven Betriebs der Organisation führen könnten.

Beispiele für Geschäftskontinuitätsrisiken sind:

  • Cyberangriffe und Datenschutzverletzungen
  • Ungeplante IT- und Telekommunikationsausfälle
  • Unterbrechung der Versorgung
  • Ungünstige Wetterbedingungen und andere Umwelteinflüsse
  • Pandemien und Epidemien
  • Terrorakte
  • Sicherheitsvorfälle
  • Feuer
  • Flut
  • Verlust von Schlüsselpersonal
  • Zerstörung von physischem Eigentum oder materieller Verlust

Ein Business-Continuity-Management mit einem gut dokumentierten Managementsystem hilft Ihnen, störende Vorfälle besser zu erkennen und deren Wahrscheinlichkeit zu verringern oder Business-Continuity-Risiken zu begegnen. Business-Continuity-Management führt zum Wachstum eines stabileren Umfelds, obwohl Unternehmen ohne erfolgreiche Business-Continuity-Systeme die Chancen deutlich erhöhen.

Ein gut entwickelter, organisierter und regelmäßig überprüfter Business Continuity Plan (BCP) kann dem Unternehmen oder der Organisation dabei helfen, sich schnellstmöglich von einem Vorfall zu erholen.

Es ist wichtig, dass die Verfahren aktuell, genau und effizient sind. Zu den Methoden gehören unter anderem Unternehmensrisikobewertungen, Informationssicherheitsrisikobewertungen und die Berücksichtigung Ihrer Gesundheits- und Sicherheitsrichtlinien sowie Ihres Kontinuitätsmanagementplans.


Sind Sie bereit, auf einen störenden Vorfall zu reagieren und sich davon zu erholen?

Zu den Risiken für die Geschäftskontinuität zählen Cyberangriffe, Datenschutzverletzungen, die die Informationssicherheit schwächen, sowie ungeplante IT- und Telekommunikationsausfälle. Das Risiko der Geschäftskontinuität kann auch in Form von Unwettern, Terroranschlägen und Bränden auftreten.

Um solche Risiken zu bewältigen, benötigen Unternehmen wirksame Geschäftskontinuitätsmanagementpläne, die ihnen helfen, sich schnell von einem Ereignis zu erholen.

Unternehmen, die in Business-Continuity-Management-Systeme investieren, verringern die Wahrscheinlichkeit von Umsatz- und Reputationsschäden bei Notfällen.


Was ist ein ISO 22301-Zertifikat?

ISO 22301:2019 bietet Unternehmen die aktuellste Zertifizierung für ein Business-Continuity-Management-System.

Der ISO 22301-Standard verfügt über eine „High-Level-Struktur“, die mit anderen ISO-Managementsystemstandards geteilt wird. Dadurch entsteht eine Konsistenz, die Unternehmen dabei helfen kann, mehrere Managementsysteme zu integrieren, um ihren Geschäftskontinuitätsanforderungen gerecht zu werden.


Was ist Business Continuity Management ISO 22301?

Ein an ISO 22301 ausgerichtetes Geschäftskontinuitätsmanagementsystem bietet einen Richtlinien- und Betriebsrahmen für Notfallwiederherstellungs- und Geschäftskontinuitätspläne. Wenn Sie über eine solche Lösung verfügen, kann Ihr Unternehmen kritische Betriebsabläufe so schnell wie möglich wiederherstellen, sodass Sie die Wahrscheinlichkeit eines Schadens für das Unternehmen verringern können.


Wie viele Schlüsselklauseln gibt es in ISO 22301?

Es gibt 10 Schlüsselklauseln in ISO 22301. Diese sind:

  • Geltungsbereich
  • Normative Verweisungen
  • Begriffe und Definitionen
  • Kontext
  • Leadership
  • Planung
  • Unterstützung
  • Produktion
  • Leistungsbewertung
  • Verbesserung


Was ist die neueste Version von ISO 22301?

Die neueste Version des ISO 22301-Standards ist ISO 22301:2019. Dies ist eine überarbeitete Version von ISO 22301 2012.

Die Dokumentation zum ISO 22301:2019-Standard finden Sie auf der offiziellen ISO-Website hier: https://www.iso.org/standard/75106.html


Warum ISMS.online wählen?

ISMS.online bietet eine umfassende und intuitive Auswahl an Tools für das Business Continuity Management, die Ihnen helfen, auf Unerwartetes zu planen und dann entsprechend zu reagieren. Mit unseren BCM-Tools können Sie alle Ihre für ISO 22301 und das Business Continuity Management System (BCMS) relevanten Arbeiten zusammenführen. Darüber hinaus können Sie ISO 22301 und ISO 27001 problemlos mit ISMS.online kombinieren und sich für beide auf unserer leistungsstarken All-in-One-Plattform zertifizieren lassen.


komplette Compliance-Lösung

Möchten Sie erkunden?
Starten Sie Ihre kostenlose Testversion.

Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat

Mehr erfahren

Der State of Information Security Report 2024 ist jetzt online – jetzt lesen