Als erste Organisation in Österreich hat die MA 14 der Stadt Wien Business Continuity nach ISO 22301 zertifizieren lassen: Das BCM-System soll IT-unterstützte Kommunikation sowie interne Geschäftsprozesse auch im Katastrophenfall funktionsfähig halten. [...]
Krisen kann man nicht vorhersehen, nicht planen und nicht mit Checklisten abarbeiten. „Wir bereiten uns aber bestmöglich darauf vor, Krisensituationen mit erprobten Abläufen und Strukturen professionell zu bewältigen“, illustriert Johann Klar, Abteilungsleiter der Magistratsabteilung 14 (Automationsunterstützte Datenverarbeitung, Informations- und Kommunikationstechnologie) der Stadt Wien, die Bedeutung eines Managementsystems nach ISO 22301 für Business Continuity.
Als erste Organisation in Österreich hat die MA 14 den international anerkannten BCM-Standard ISO 22301 systematisch implementiert und zertifizieren lassen – und ist somit Vorreiter für dieses sich neu und dynamisch entwickelnde Management-Thema. „Für die MA 14 als IT-Abteilung der Stadt Wien sind Krisenmanagement und Business Continuity deshalb wichtige Themen, weil die moderne Verwaltung ganz auf IT-Einsatz basiert – für die Kommunikation zwischen Bürger und Bürgerinnen, Unternehmen und Verwaltung sowie für interne Geschäftsprozesse“, unterstreicht Klar gegenüber der COMPUTERWELT.
„Business Continuity Management ist ein Schlüsselthema für all jene Unternehmen und Organisationen, die eine wichtige Versorgerrolle für die Gesellschaft einnehmen oder sogenannte kritische Infrastrukturen bereitstellen. Dazu gehören neben Stromversorgern, Banken, IT-Anbietern oder Logistikunternehmen auch öffentliche Verwaltungen“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, die für ISO 22301 staatlich akkreditiert ist und als Zertifizierungspartner der MA 14 fungiert. „Von seinem Inhalt her ist der BCM-Standard kompakt und übersichtlich“, erklärt Scheiber. Die internationale Norm legt die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, zu betreiben und ständig zu verbessern. Die wichtigsten Ziele bestehen darin, eine Organisation gegen Zwischenfälle mit Betriebsunterbrechungen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern und im Fall des Falles rasch und koordiniert reagieren zu können, um so rasch wie möglich alle Leistungen wieder im gewohnten Umfang bereitzustellen.
SCHLÜSSELTHEMA FÜR VERSORGER
Normexperten gehen davon aus, dass sich das noch recht junge Thema Business Continuity in den kommenden Jahren zunehmend in der Unternehmenslandschaft verbreiten wird. Das Bewusstsein in den Riegen der Führungskräfte steigt, Zertifizierungen für Business Continuity zeichnen sich weltweit als neuer Trend ab. Die Thematik hat sich aus dem militärischen Bereich stark in den IT-Sektor verlagert und mit der ISO 22301 schließlich zur Enterprise Business Continuity weiter entwickelt. Nach der Veröffentlichung des internationalen Standards ISO 22301 für „Societal security – Business continuity management systems“ im Jahr 2012, die auf der Grundlage der britischen Vorgängernorm BS 25999 basiert, gibt es in Österreich seit dem vergangenen Jahr auch die dazugehörige und textgleiche ÖNORM EN ISO 22301. Ihr Titel ist selbsterklärend: „Sicherheit und Schutz des Gemeinwesens – Business Continuity Management System – Anforderungen.“ Der internationale Standard ISO 22301 dient der MA 14 als inhaltliches Rahmenwerk für ihr Business Continuity Managementsystem, wobei die generisch gehaltene Norm die Methodenwahl zur Umsetzung der einzelnen BCM-Ziele offen lässt. Daher wendet die MA 14 für die Umsetzung der Normforderungen die Richtlinie für Staatliches Krisen- und Katastrophenschutzmanagement (SKKM) des Österreichischen Bundesministeriums für Inneres an. In dieser Richtlinie werden Methoden, Verfahren und Stabstrukturen zum Führen im Katastrophenfall konkret beschrieben. „Die systematische Umsetzung der BCM-Inhalte brauchen wir als Teil der Stadtverwaltung, weil die Verfügbarkeit unserer Leistungen für das reibungslose Funktionieren sämtlicher Verwaltungsabläufe unbedingt notwendig sind“, erklärt Manuel Stecher, der in der MA 14 für die ISO-22301-Implementierung verantwortlich zeichnet. „Auf allen Ebenen der Verwaltung könnte ein Betriebsstillstand zu chaotischen Zuständen mit unabsehbaren Folgen führen“, betont Stecher.
Der Geltungsbereich der BCM-Zertifizierung umfasst die gesamte Magistratsabteilung 14, die nicht nur für die IKT-Infrastruktur und -Services der Stadt Wien zuständig ist, sondern auch spezifische IKT-Dienste für andere Auftraggeber zur Verfügung stellt. Der Geltungsbereich der BCM-Zertifizierung ist beim Magistrat Wien deckungsgleich mit jenem der bereits im Jahr 2012 durchgeführten ISO-27001-Zertifizierung für Informationssicherheit.
INCIDENT MANAGEMENT ALS BASIS
Das Fundament des BCM-Systems im Magistrat Wien bildet das Incident Management nach ITIL V3 sowie ISO 20000. Damit werden auf dem untersten Level die nicht-kritischen technischen Störungen wie etwa der Ausfall eines PCs adressiert. Alle Vorfälle, die kritische Auswirkungen auf die Kern-Services haben könnten, werden eine Stufe höher im Notfallmanagement behandelt. Das Notfallmanagement verfügt über erweiterte Kompetenzen, sodass selbstständig ein Lösungsteam aufgrund definierter Rollenbeschreibungen zusammengestellt werden kann. Und schließlich werden auf der höchsten Stufe all jene Vorfälle mit potenziellen dramatischen Auswirkungen auf die Geschäftsprozesse im Krisenmanagement oder Krisenstab behandelt. Als Krise sind Situationen mit Merkmalen definiert wie „existenzbedrohend für die Kernprozesse“, „komplex“, „mit normalen Organisationsabläufen nicht lösbar“. Organisatorisch ist das Betreiben des Managementsystems für Business Continuity nach ISO 22301 nahtlos mit dem Informationssicherheits-Managementsystem nach ISO 27001 verknüpft.
Die Einrichtung eines Krisenstabs wird zwar vom BCM-Standard ISO 22301 nicht explizit gefordert, erschien aber im Falle der Verantwortungsbereiche der MA 14 zielführend. Denn der Krisenstabsleiter hat im Ernstfall weitreichende Kompetenzen und kann vollkommen frei entscheiden, was wie wann durch wen zu tun ist. Dadurch werden sehr rasche Entscheidungen und ein hochflexibles Handeln ermöglicht – wie es eben im Falle einer Krise erforderlich ist. Im Krisenstab stehen für jede Funktion mehrere Mitarbeiterinnen und Mitarbeiter zur Verfügung, die gleichwertig ausgebildet sind und sich gegenseitig ersetzen können. „Wir haben ganz bewusst keine fertigen Krisen-Pläne in der Schublade, sondern statt dessen drei Hauptkategorien an möglichen Krisenfällen entwickelt. Die drei Kategorien umfassen technisches Versagen, umweltbezogene sowie intentionale Gefahren. Zu jedem dieser Themen nimmt unser Krisenstab drei bis fünf Mal im Jahr an entsprechenden Übungen teil, um seine Funktions- und Reaktionsfähigkeit gezielt zu testen und weiterzuentwickeln“, erklärt Manuel Stecher. So wurde zum Beispiel unter der Annahme einer Pandemie eine groß angelegte Übung durchgeführt, in deren Rahmen sämtliche IKT-Kernprozesse der MA 14 mit halber Belegschaft aufrechterhalten werden mussten. Es wurde simuliert, dass rund 50 Prozent aller Mitarbeiter sich im Krankenstand befanden, und es gelang tatsächlich einen reibungslosen IKT-Betrieb mit dezimierter Belegschaft aufrechtzuerhalten.
Solche Krisenfall-Übungen werden von professionellen Trainingsagenturen detailgenau vorbereitet und sind immer wieder ein Bewährungstest für das implementierte Business Managementsystem. Manuel Stecher bringt es auf den Punkt: „Erst der Krisenstab macht uns auch wirklich krisenfest.“ (wf)
Be the first to comment