Die Hauptkapitel der ISO 22301 beschreiben die notwendigen Schritte zum Implementieren und Betreiben eines BCM-Systems: Zunächst gilt es gemäß Kapitel 4 den Kontext der Organisation mit ihren Anforderungen an Compliance und erforderliche Ressourcen – Services, Rohstoffe, Personal – zu beleuchten und den Geltungsbereich der Zertifizierung festzulegen. [...]
„Anders als bei ISO 9001 und ISO 27001 können bei ISO 22301 nicht nur Unternehmensbereiche, sondern auch einzelne Produkte, Services oder Prozesse zertifiziert werden“, so Peter Wörgötter, Auditor der Zertifizierungsorganisation CIS. Als nächster Schritt folgt die Business Impact Analyse mit einer Risikobewertung gemäß Kapitel 8.2-3. Dabei werden die Folgen eines Ausfalls abgeschätzt, bewertet und jener kritische Schwellenwert eruiert, ab wann eine Situation exististenzbedrohend werden kann. Bei der Risikoanalyse referenziert die BCM-Norm auf den internationalen Riskmanagement-Standard ISO 31000. „Inhaltlich ergibt sich hier auch eine Überschneidung mit ISO 27001 für Informationssicherheit, wo Risikoanalysen ebenfalls eine zentrale Rolle spielen“, führt der CIS-Auditor aus.
Als nächster Schritt folgt gemäß Kapitel 8.4 die Einführung und Umsetzung von Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit. Ganz wichtig sind das Testen und Trainieren der Notfall- und Desaster-Recovery-Pläne, woraus sich der letzte Schritt gemäß Kapitel 9 logisch ergibt: Die Überwachung, Messung, Analyse und Bewertung der umgesetzten Maßnahmen sowie die Durchführung von internen Audits und Reviews ermöglichen schließlich die Feststellung von Abweichungen, Einleitung von Korrekturmaßnahmen und die kontinuierliche Systemverbesserung. (wf)
Be the first to comment