ISO 27001 & BS 25999

Macht es Sinn, betriebliches Kontinuitätsmanagement in kleineren Unternehmen umzusetzen? Warum sollten diese Unternehmen eine derart kostenaufwendige Sache benötigen, wenn der Inhaber des Unternehmens doch über alle notwendigen Informationen in seinem/ihrem Kopf verfügt?

Lassen Sie mich mit einer Geschichte beginnen, die ich vor Kurzem gehört habe. Es geht um ein kleines Unternehmen (für den Vertrieb verschiedener Geräte an einen großen Kundenstamm), das ausgeraubt wurde. Der Dieb brach nachts in das Büro ein und stahl neben anderen Wertsachen auch alle Computer. Das Problem bestand darin, dass der Inhaber dieses Unternehmens alle Daten gesichert hatte, dieses Back-up jedoch auf einem anderen Computer im selben Büro aufbewahrte. Sehr bald ging die Firma bankrott. Sie war einfach nicht in der Lage, wichtige geschäftliche Informationen zurückzugewinnen.

Dies ist ein klassisches Beispiel für das „Das wird mir nie passieren“-Syndrom, unter dem die Mehrzahl der kleinen Unternehmen leidet.

Rahmen für betriebliches Kontinuitätsmanagement

Bedeutet dies, dass kleine Unternehmen in kostspielige Notfallstandorte einschließlich Geräten mit hoher Verfügbarkeit investieren müssen? Sicher nicht.

In einigen Fällen ist betriebliches Kontinuitätsmanagement wirklich nicht notwendig, weil der Eigentümer des Unternehmens alle Informationen in seinem/ihrem Kopf hat. Aber solche Fälle sind sehr selten – wie viele von diesen haben kein Notebook mit verschiedenen Arten wichtiger Informationen? Darüber nachzudenken, wie diese Informationen im Falle einer Katastrophe verfügbar bleiben, ist bereits Teil eines Versuchs des betrieblichen Kontinuitätsmanagements.

Eigentümer von Kleinunternehmen müssen genau überlegen, welche Informationen (und andere Ressourcen) für ihr Geschäft wichtig sind, wie gewährleistet wird, dass diese Informationen und andere Ressourcen im Falle einer Katastrophe zur Verfügung stehen, und welche Schritte notwendig sind, um die Geschäftstätigkeit im Falle einer Katastrophe wieder aufzunehmen. Diese Schritte sind nichts anderes als die Erstellung einer Geschäftsauswirkungsanalyse, einer Strategie des betrieblichen Kontinuitätsmanagements und von Plänen zum betrieblichen Kontinuitätsmanagement, wie es jedes größere Unternehmen bei der Umsetzung des betrieblichen Qualitätsmanagements machen würde. Sämtliche dieser Vorgänge werden in einer führenden Norm zum betrieblichen Kontinuitätsmanagement – BS 25999-2 – beschrieben.

Vorbereitung

Der Unterschied zwischen kleinen und großen Unternehmen liegt in der Komplexität und den Kosten der Vorbereitung, die für das betriebliche Kontinuitätsmanagement kleiner Unternehmen anfallen:

• Sicherung elektronischer Daten– kleine Unternehmen können einige der Werkzeuge verwenden, mit denen die Daten von ihren Computern fast umgehend in der Cloud gesichert werden. Natürlich muss sorgfältig drauf geachtet werden, dass alle notwendigen Daten berücksichtigt sind.
• Sicherung von Papierdokumenten – Kleine Unternehmen sind heute in der Lage, Papierdokumente fast vollständig aus ihrer täglichen Arbeit zu verbannen und alles in elektronische Form zu bringen. In den seltenen Fällen, in denen Papierdokumente erforderlich sind, können sie zum Zwecke des betrieblichen Kontinuitätsmanagements eingescannt werden.
• Alternative Bürostandorte – In den meisten Fällen wird es ausreichen, dass die Mitarbeiter den Geschäftsbetrieb von zuhause aus fortführen. Die Voraussetzung dafür wären eine Internetverbindung, Notebooks/PCs und Passwörter. Sollte die Arbeit von zuhause aus nicht angemessen sein, so kann in weniger als einer Stunde immer noch ein Hotelzimmer gemietet werden.
• Hardware – Sofern in einem Unternehmen keine spezielle Art von Computern eingesetzt wird, ist es sehr einfach, eine Alternative zu finden. In der Regel ist das ein privater Computer zu Hause, oder von einem Verwandten kann ein Gerät ausgeliehen werden, oder man kann einen Computer im Laden nebenan erwerben.
• Arbeitskraft – Dies ist wahrscheinlich der schwierigste Punkt. Nehmen wir einmal an, dass ein Mitarbeiter nicht verfügbar ist und er der Einzige ist, dem bestimmte Informationen bekannt sind (z. B. Administratoren-Passwörter, notwendige Schritte in einem wichtigen Projekt usw.). Für solche Fälle bestünde die Vorbereitung darin, sämtliche dieser Informationen zu dokumentieren, so dass sie verwendet werden können, ohne dass der Mitarbeiter anwesend sein muss. Der andere Fall träte ein, wenn ein Mitarbeiter fehlt und niemand sonst die Zeit oder die Fähigkeiten hat, seine Arbeit zu erledigen. Für diesen Fall bestünde die Vorbereitung darin, im Voraus festzulegen, wer für eine kurzfristige Einstellung zur Verfügung stünde, um die Aufgaben des fehlenden Mitarbeiters wahrzunehmen. Der springende Punkt ist hier natürlich, jemanden mit den richtigen Fähigkeiten / Qualifikationen zu finden.

Zusammengefasst ist festzustellen, dass es hinsichtlich des Rahmens für betriebliches Kontinuitätsmanagement keinen Unterschied zwischen großen und kleinen Unternehmensorganisationen gibt. Beide müssen detailliert planen, welche Vorbereitungen notwendig sind, um eine Katastrophe zu überleben. Der Unterschied liegt im Vorbereitungsaufwand: Kleinere Unternehmen schaffen es mit einem sehr niedrigen Investitionsaufwand.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 3: Business Continuity Planning ansehen (kommerzielles Training).

Ist es Ihnen schon passiert, dass Ihr Management Ihnen die Verantwortung für Umsetzung des betrieblichen Kontinuitätsmanagements übertragen hat, nur weil Sie in der IT-Abteilung arbeiten? Warum wird betriebliches Kontinuitätsmanagement in der Regel mit Informationstechnologie in Verbindung gebracht?

Das liegt wahrscheinlich daran, dass betriebliches Kontinuitätsmanagement aus dem ‚Disaster Recovery‘ (DR) entstanden ist, und Disaster Recovery im Grunde auf Informationstechnologie basiert. Vor 20 oder 30 Jahren gab es das betriebliche Kontinuitätsmanagement als Konzept noch nicht, dafür aber Disaster Recovery (DR) – das Hauptanliegen war, im Falle einer Katastrophe die Daten zu retten. Damals war es sehr beliebt, teure Geräte zu kaufen und an einem entfernten Ort aufzustellen, so dass alle wichtigen Daten eines Unternehmens zum Beispiel im Falle eines Erdbebens erhalten blieben. Nicht nur erhalten, sondern auch, dass die Daten mit mehr oder weniger der gleichen Kapazität verarbeitet würden, als ob sie sich am Hauptstandort befunden hätten.

Nach einer Weile wurde jedoch klar – was würde mit den Daten gemacht werden können, falls es keine Geschäftstätigkeit mehr gäbe, um diese Daten zu nutzen? So wurde die Idee des betrieblichen Kontinuitätsmanagements geboren – sein Zweck bestand darin, den fortlaufenden Betrieb des Unternehmens selbst im Falle eines größeren Vorfalls zu ermöglichen.

Definitionen

Werfen wir einen Blick auf die Definitionen – betriebliches Kontinuitätsmanagement ist die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“ (BS 25999-2:2007), während die Wiederherstellung im Notfall die „Prozesse, Leitlinien und Verfahren für die Wiederherstellung oder Fortsetzung der kritischen technologischen Infrastruktur eines Unternehmens nach einer natürlichen oder vom Menschen verursachten Katastrophe“ umfasst (englischsprachige Wikipedia).

Wie Sie den Definitionen entnehmen können, liegt der Schwerpunkt in der DR auf der Technologie, während es im BC vor allem um den Geschäftsbetrieb geht. Daher ist Disaster Recovery Teil des betrieblichen Kontinuitätsmanagements. Sie können DR als einen der wichtigsten Faktoren des Geschäftsbetriebs oder als den technologischen Teil des betrieblichen Kontinuitätsmanagements betrachten.

Vielleicht haben Sie auch etwas anderes bemerkt: Die Definition des BC entstammt der BS 25999-2, der führenden Norm für betriebliches Kontinuitätsmanagement, während die Definition von DR aus der Wikipedia zitiert wird. Eigentlich ist „Betriebliches Kontinuitätsmanagement“ eine offizielle, in Normen anerkannte Bezeichnung, „Disaster Recovery“ ist es dagegen nicht.

Auswirkungen auf Umsetzung

Warum ist es eine schlechte Idee, dass die IT-Abteilung das betriebliche Kontinuitätsmanagement für das gesamte Unternehmen umsetzt? Weil betriebliches Kontinuitätsmanagement vor allem ein Thema für das Unternehmen und kein IT-Problem ist. Falls die IT-Abteilung betriebliches Kontinuitätsmanagement für das gesamte Unternehmen umsetzt, so könnte sie weder die kritische Bedeutung der Geschäftstätigkeit noch die Wichtigkeit von Informationen zu definieren. Außerdem steht infrage, ob die IT-Abteilung das Engagement der geschäftlichen Unternehmensteile erreichen würde.

Der beste Weg, um betriebliches Kontinuitätsmanagement umzusetzen und zu organisieren, besteht darin, dass der geschäftliche Teil des Unternehmens ein solches Projekt leitet – so werden ein größeres Bewusstsein und stärkere Akzeptanz aller Unternehmensteile erreicht. Die IT-Abteilung sollte natürlich ihre Rolle in einem solchen Projekt – eine entscheidende Rolle – wahrnehmen, um Disaster Notfallpläne vorzubereiten.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 1: Business Impact Analysis ansehen (kommerzielles Training).

Haben Sie jemals etwas gehört wie „es kann nicht durchgeführt werden“, „es hat keinen Sinn“, oder „es ist nutzlos, wenn eine größere Katastrophe eintritt“? Falls Sie betriebliches Kontinuitätsmanagement umgesetzt haben, so ist dies wahrscheinlich der Fall. Natürlich würde eine solche Haltung Ihr Projekt nicht voranbringen. Daher folgen einige Vorschläge, wie man mit solchen Leuten umgeht.

„Falls eine größere Katastrophe eintritt, werden wir nichts tun können“

Dies ist wahrscheinlich das häufigste Gegenargument. Nun, das kann stimmen, sofern Sie Ihre Strategie des betrieblichen Kontinuitätsmanagements und Ihre Pläne des betrieblichen Kontinuitätsmanagements nicht unter Berücksichtigung aller möglichen Szenarien erstellt haben. Sollten Sie dies jedoch gemacht haben, dann können Sie entgegnen, dass Sie einen alternativen Standort vorbereitet haben, der für jede Art von Katastrophe weit genug entfernt ist, dass Sie eine Sicherungskopie der Daten vorgenommen haben, dass es einen Ersatz für jeden Mitarbeiter des Unternehmens gibt, dass Sie alternative Anbieter für jede kritische Dienstleistung haben usw.

„Falls ein Atomkrieg ausbricht, wird es nicht funktionieren“

Nun, sofern Sie kein militärischer Lieferant sind, spielt das keine Rolle, oder? Grundsätzlich hätte Ihr Unternehmen bei dieser Art von Katastrophenszenarien keinen Zweck mehr.

„Es hat keinen Sinn“

Beten Sie einfach, dass Sie nie wieder betriebliches Kontinuitätsmanagement brauchen Auch ohne Erwähnung der bekannten Beispiele wie der 11. September oder Hurrikan Katrina reicht es schon, zu fragen, ob Sie jemals einen Stromausfall erlebt haben? Oder ist Ihr Server ausgefallen? Oder vielleicht ein PC mit wichtigen Daten? Haben Sie jemals von einem Gebäude gehört, das vollständig abgebrannt ist? Es reicht aus, die Schlagzeilen einer Zeitung zu lesen, um zu verstehen, dass diese Dinge jedem passieren können.

„Wir tun dies nur, um den Auditor zufriedenzustellen“

Falsche Priorität. Wenn Sie es richtig machen, werden Sie sich selbst schützen, und als Folge dessen wird Ihr Auditor zufrieden sein.

„Wir können nicht alle Vorfälle voraussehen“

Das stimmt, zumindest am Anfang. Aber wenn Sie Ihre Risikoeinschätzung wichtig durchführen, nutzen Sie Literatur und verschiedene Ressourcen und prüfen die Einschätzung. Die Chancen stehen gut, dass Sie rechtzeitig in der Lage sind, auf alle möglichen Risiken einzugehen. Sobald Sie diese kennen, können Sie Ihre Antwort vorbereiten.

„Im Notfall werden die Menschen nach ihren Familien schauen, nicht nach dem Unternehmen.“

Auch wahr. Wer würde im Falle eines Erdbebens nicht zuerst seine/ihre Familie anrufen, ob sie alle gesund sind? Aber wenn Sie sehr sorgfältig planen, wer nach einem Vorfall direkt nach Hause gehen kann und wer bleiben und die Situation lösen muss, wenn Sie sich um die Familie der bleibenden Mitarbeiter kümmern (z. B. durch Zuweisung eines anderen Mitarbeiters für diese Aufgabe), dann haben Sie dieses Problem vermutlich gelöst.

„Menschen werden in Krisensituationen irrational reagieren“

Definitiv wahr. Aber wenn Sie Ihre Mitarbeiter (und Lieferanten/Partner) regelmäßig schulen, und wenn Sie Ihre Pläne für betriebliches Kontinuitätsmanagement üben, dann werden sie sich an Stresssituationen gewöhnen, und reagieren wahrscheinlich richtig, falls solche Situationen auftreten.

Wenn Sie ähnliche Projekte bereits umgesetzt werden, dann wissen Sie, wie wichtig die Sensibilisierung ist. Wenn Ihre Kollegen den Zweck solcher Projekte nicht erkennen, werden Sie bei der Umsetzung große Schwierigkeiten erleben. Nicht zu vergessen, dass Ihr Projekt insgesamt scheitern könnte – darum müssen Sie daran denken, rechtzeitig Bewusstsein zu schaffen.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Wenn Sie mit der Umsetzung des betrieblichen Kontinuitätsmanagements begonnen haben, so besteht die größte Herausforderung darin, die Pläne für das betriebliche Kontinuitätsmanagement zu verfassen.

Warum ist es so schwierig? Sie müssen sich verschiedene Szenarien vorstellen, unter denen eine Katastrophe (oder eine andere Störung der Geschäftstätigkeit) auftreten kann. Sie müssen über eine Möglichkeit nachdenken, wie diese außerordentlich seltenen, aber möglicherweise katastrophalen Vorfälle bewältigt werden können.

Ein häufiges Problem beim Verfassen dieser Pläne ist die Frage, was der Plan enthalten sollte (was sind die wichtigsten Elemente), wie lange (wie detailliert) er sein sollte, welche Schritte dazugehören usw.

Eine der besten Lösungen dieser schwierigen Probleme ist die Verwendung der Norm BS 25999-2, die zusammen mit BS 25999-1 einen Rahmen für das Schreiben dieser Pläne vorgibt.

Gemäß diesen Normen sollten die Pläne für betriebliches Kontinuitätsmanagement aus einem (1) Störfallreaktionsplan sowie (2) Wiederherstellungsplänen bestehen. Ein Störfallreaktionsplan ist in der Regel ein einzelner Plan für das gesamte Unternehmen, in dem beschrieben wird, was unmittelbar nach einer Katastrophe getan werden muss – um die Auswirkungen des Vorfalls einzudämmen, mit den Notdiensten zu kommunizieren, das Gebäude zu evakuieren, an Sammelstellen zusammenzukommen, den Transport zu alternativen Standorten zu organisieren usw.

Notfallpläne werden in der Regel separat für jede kritische Tätigkeit geschrieben. Die Schritte eines Notfallplans sehen in der Regel wie folgt aus: wann und wie mit verschiedenen Beteiligten kommuniziert wird (Mitarbeiter und deren Familien, Aktionäre, Kunden, Partner, Behörden, öffentliche Medien usw.), wie ein Team zusammengestellt wird, wie die Infrastruktur wiederhergestellt wird, wie geprüft wird, ob die Anwendungen funktionieren und ob die Zugriffsrechte angemessen sind, wie überprüft wird, welche Daten fehlen oder durch die Katastrophe beschädigt wurden, wie die Daten wiederhergestellt werden und wie entschieden wird, wann die Wiederherstellung abgeschlossen ist, damit der normale Betrieb wieder einsetzen kann.

IT-Notfallpläne (Notfallpläne der IKT-Infrastruktur) müssen mit großer Sorgfalt verfasst werden, weil sie beschreiben sollten, wie jedes System innerhalb des Recovery Time Objective einer bestimmten kritischen Tätigkeit eingestellt werden sollte. Dies geschieht normalerweise durch Verfassen eines detaillierten Wiederherstellungsplans für jedes System, das wiederhergestellt werden soll.

Die Faustregel besagt, dass sämtliche dieser Pläne so detailliert sein sollten, dass andere Mitarbeiter (oder externes Personal) in der Lage sind, den Plan auszuführen, falls die Mitarbeiter dieser kritischen Aktivität nicht verfügbar sind. Schreiben Sie diese Pläne also mit Vernunft – sie sollten für jeden verständlich sein, nicht nur für Sie.

Nach meiner Erfahrung besteht die größte Herausforderung beim Verfassen dieser Pläne darin, dass Mitarbeiter mit etwas ganz anderem konfrontiert werden, über das sie vorher nicht nachzudenken brauchten. Zur Überwindung solcher Probleme ist es am besten, einen Workshop mit oder ohne Moderator zu organisieren, in dem sich die Mitarbeiter austauschen können, was passieren würde, wenn … wie man reagiert, wenn … usw.

Tatsächlich ist mit dem Umstand, dass Ihre Mitarbeiter damit begonnen haben, über betriebliches Kontinuitätsmanagement nachzudenken, bereits die halbe Arbeit geleistet – mit einem solchen Ansatz wird ein viel besserer Plan für betriebliches Kontinuitätsmanagement ermöglicht.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 3: Business Continuity Planning ansehen (kommerzielles Training).

Sie denken darüber nach, die Norm BS 25999-2 / Betriebliches Kontinuitätsmanagement einzuführen? Aber dann hören Sie, dass es Sie viel kosten wird? Es wird wahrscheinlich kosten, aber nicht unbedingt so viel, wie Sie dachten – denn das können Sie mit einer guten Strategie für betriebliches Kontinuitätsmanagement lösen.

Die Strategie für betriebliches Kontinuitätsmanagement, wie sie in der Norm BS 25999-2 definiert wird, ist eine „Herangehensweise an eine Organisation, mit der deren Wiederherstellung und Kontinuität angesichts einer Katastrophe oder eines anderen wichtigen Ereignisses oder Störung des Geschäftsbetriebs gewährleistet wird.“ Der springende Punkt ist also, sich in optimaler Art und Weise auf eine Katastrophe vorzubereiten, falls diese eintreten sollte. Diese Vorbereitung kann organisatorische Maßnahmen (Erstellung von Plänen, Verträge mit Lieferanten/Partnern, Übungen, Prüfungen, Sensibilisierung usw.) sowie weitere Schritte wie Investitionen in Ausrüstung, Infrastruktur usw. umfassen

Zeit ist ein sehr wichtiger Faktor bei der Wiederherstellung – sollten Sie Ihr Geschäft nicht rechtzeitig wiederherstellen, werden Sie wahrscheinlich Ihre Kunden und somit ebenso Ihr Geschäft verlieren. Daher muss die Strategie für betriebliches Kontinuitätsmanagement das Recovery Time Objective (RTO oder Wiederanlaufdauer) für jede Ihrer kritischen Aktivitäten festlegen, denn die RTO kann für jede von ihnen unterschiedlich sein.

Eine wichtige Überlegung lautet: Je kürzer die RTO, desto größer die von Ihnen benötigte Investition – wenn Sie beispielsweise Ihr Rechenzentrum in weniger als einer Stunde wiederherstellen möchten, müssen Sie in einen alternativen Standort mit fast der gleichen Ausstattung wie der primäre Standort investieren. Wollen Sie dagegen Ihr Rechenzentrum innerhalb von zwei Wochen wiederherstellen, sind die Investitionen wesentlich geringer, denn es würde ausreichen, die Back-up-Bänder am alternativen Standort aufzubewahren. So hätten Sie zwei Wochen Zeit, um die notwendige Ausrüstung zu beschaffen. Dies alles bedeutet, dass Ihre RTO weder zu lang noch zu kurz sein darf.

Sobald die RTO festgelegt ist, müssen Sie noch einige Investitionen tätigen. Mit einer guten Strategie für betriebliches Kontinuitätsmanagement werden Sie allerdings in der Lage sein, diese Investition zu senken, während Sie trotzdem in der Lage sind, Ihre kritischen Aktivitäten innerhalb des Recovery Time Objective wiederherzustellen. Hier sind einige Beispiele:

• Sie benötigen vermutlich kein eigenes Rechenzentrum an einem alternativen Standort – in den meisten Ländern können Sie diesen Ort von einer spezialisierten Firma mieten. Das bedeutet, dass sie nicht in die Infrastruktur zu investieren brauchen, vielleicht nicht einmal in Ausrüstung oder Software,
• Sie benötigen vermutlich keine Büros an einem alternativen Standort – Mitarbeiter, die keine Kunden persönlich treffen müssen, können von zuhause arbeiten,
• Sie benötigen vermutlich gar keinen alternativen Standort, falls Sie weitere Unternehmensabteilungen an verschiedenen Standorten haben, welche die kritischen Aktivitäten übernehmen könnten, soweit diese von der Katastrophe betroffen sind,
• Sie brauchen vermutlich keine Ausrüstung im Voraus zu kaufen, falls Sie auf einen Lieferanten zurückgreifen, der die Lieferung der Ausrüstung innerhalb Ihres RTO garantieren könnte
• usw.

In sämtlichen dieser Beispiele müssen Sie Ihre organisatorischen Fähigkeiten ausbauen. Wenn Sie doch etwas Geld sparen möchten, so wäre es der Gedanke daran sicher wert.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Auf den ersten Blick haben Informationssicherheit und betriebliches Kontinuitätsmanagement nicht viel gemeinsam – man möchte vielleicht anmerken, dass beide mit IT zu tun haben.

Informationssicherheit-Management wird in der internationalen Norm ISO/IEC 27001 am besten definiert, während die britische Norm BS 25999-2 betriebliches Kontinuitätsmanagement festlegt – wenn wir also diese beiden Themen vergleichen wollen, so ist es das Klügste, die Inhalte dieser beiden Normen anzuschauen.

Zunächst einmal ist IT ein wichtiger Teil sowohl der ISO 27001 als auch der BS 25999-2, aber beide Normen drehen sich keineswegs nur um IT – der Schwerpunkt liegt auf organisationseigenen Verfahren und Werten und den damit verbundenen Risiken. Es stimmt, dass IT das wichtigste Instrument ist, um Daten zu verarbeiten. Tatsache bleibt aber, dass die größten Risiken in bösartigen und unbeabsichtigten Aktivitäten von Mitarbeitern bestehen. Daher können die Risiken hinsichtlich der Informationssicherheit oder des betrieblichen Kontinuitätsmanagements nicht allein durch Informationstechnologie gelöst werden. Es ist viel wichtiger, Organisation, Verfahren und Verantwortlichkeiten innerhalb des Unternehmens zu definieren.

Aber was ist Informationssicherheit im Grunde? ISO 27001 definiert sie als „Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen“. Andererseits definiert BS 25999-2 betriebliches Kontinuitätsmanagements als die „strategische und taktische Fähigkeit des Unternehmens, für Vorfälle Störungen des Geschäftsbetriebs zu planen und auf diese zu reagieren, um betriebliche Abläufe auf einem vorab definierten akzeptablen Niveau weiterzuführen“.

Die beiden Normen scheinen sich nicht sehr ähnlich zu sein. Da gibt es jedoch einen sehr ähnlichen Aspekt – Verfügbarkeit. Der Schwerpunkt liegt sowohl bei der Informationssicherheit als auch beim betrieblichen Kontinuitätsmanagement darauf, Informationen für die Mitarbeiter verfügbar zu halten, die sie benötigen – diesbezüglich bietet der Anhang A der ISO 27001 einige Maßnahmen, die sich nur auf das betriebliche Kontinuitätsmanagement beziehen.

Außerdem verlangen beide Normen, dass die Risikoeinschätzung vorgenommen wird, um mögliche Probleme im Zusammenhang mit Informationen zu erkennen. Beide Normen machen zudem ein Dokumentenmanagement, die Durchführung interner Audits, Managementprüfungen sowie Korrektur- und Vorbeugungsmaßnahmen erforderlich. Sollten Sie also bereits über eine Dokumentation für ISO 27001 verfügen, so können sie die gleichen Verfahren auch für BS 25999-2 verwenden (mit nur geringfügigen Änderungen).

Was sind die Unterschiede? Der Hauptunterschied liegt in der Detailgenauigkeit. ISO 27001 deckt einen wesentlich größeren Bereich ab und ist daher bezüglich des betrieblichen Kontinuitätsmanagements nicht sehr genau. Andererseits beschreibt BS 25999-2 detailliert, wie eine Geschäftsauswirkungsanalyse durchzuführen ist, wie Strategien für betriebliches Kontinuitätsmanagement festgelegt werden, welche Inhalte die Pläne für betriebliches Kontinuitätsmanagement haben sollten usw.

Um es nochmals deutlich zu machen: Der springende Punkt ist hier also, dass man sich betriebliches Kontinuitätsmanagements als einen Teil der Informationssicherheit vorstellen kann. In der Praxis bedeutet das, dass Sie bei einer Umsetzung des betrieblichen Kontinuitätsmanagements im Rahmen der ISO 27001 optimalerweise Norm BS 25999-2 als Leitlinie verwenden sollten.

Sie können sich auch unser kostenloses Webinar ISO 27001 & BS 25999-2: Why is it better to implement them together? ansehen.