33,99 €
Jeder Betrieb kann, auch unverschuldet, in eine Situation geraten, in der einfach nichts mehr geht: Die Produktion steht still, das Callcenter schweigt, Webseiten sind nicht mehr verfügbar, Schlüsselmitarbeiter sind ausgefallen. Betriebsunterbrechung. Jetzt ist guter Rat teuer, niemand weiß, wie es weitergeht. Ein proaktives, aktualisiertes und umfassendes Business Continuity Management (BCM) hilft Ihnen vorsorgend bei der Auswahl von angemessenen Lösungen für Krisensituationen. Das vorliegende Buch gibt Ihnen einen Einblick, was BCM bedeutet, warum sich Organisationen aller Größen mit der Thematik auseinandersetzen und ein entsprechendes Vorgehen planen, umsetzen und pflegen sollten. Wolfgang H. Mahr teilt seine profunde Expertise zu BCM, zum internationalen Standard ÖNORM EN ISO 22301:2020 und zu weiteren Regelwerken, ergänzt durch Praxistipps, -beispiele und eine Fallstudie zur COVID-19-Pandemie. Die Publikation richtet sich an vorausblickende Entscheider in Unternehmen, Business- und IT-Manager, die verantwortungsvoll und proaktiv das Unternehmen und die Mitarbeitenden vor Schaden bewahren wollen. So stärken Sie nachhaltig die Sicherheit und Resilienz Ihrer Organisation.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
978-3-85402-406-4
Auch als Buch verfügbar
978-3-85402-405-7
1. Auflage 2020
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung des Autors oder des Verlages
ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.
Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2020
Die Austrian Standards plus GmbH ist ein Unternehmen von Austrian Standards International.
Austrian Standards plus GmbH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-818
www.austrian-standards.at/fachliteratur
ProjektManagement
Gertraud Reznicek
LEKTORAT
Anna Giricz
Cover – Fotocredit
© iStockphoto.com ivanastar
gestaltung
Martin Aschauer
Druck
Primerate Kft., H-1044 Budapest
Ich möchte an dieser Stelle meinem Freund und Lehrmeister Terry Dawes danken, der mich seit meinen ersten Gehversuchen auf diesem Gebiet in großartiger Weise unterstützt hat.
Weiters geht mein Dank an die diversen Kollegen und Mitstreiter im ISO/TC 292, WG 2, die mein Bild von Business Continuity über die Jahre wesentlich mitgeprägt und geschärft haben.
Dieses Dokument und sein Inhalt sollten nicht als Grundlage für Entscheidungen oder Tätigkeiten dienen, die den Leser oder seine Organisation in irgendeiner Weise beeinflussen.
Der Autor ist nicht verantwortlich und übernimmt keine Haftung für Verluste, die irgendeine Person oder Organisation erleidet, die sich auf diese Publikation oder deren Inhalt stützt, um Business Continuity einzuführen.
Es wird empfohlen, dass der Leser weitere Beratung durch einen qualifizierten und zertifizierten BCM-Spezialisten erhält.
Abkürzungsverzeichnis
Vorwort
1 Einleitung
2 Grundsatzfragen
2.1 Warum sollte eine Organisation BCM implementieren?
2.2 Was ist Business Continuity Management?
2.3 Wo kann Business Continuity angewendet werden?
2.4 Wann kann Business Continuity eingesetzt werden?
2.5 Wer ist verantwortlich für Business Continuity?
2.6 Wo wird mit Business Continuity angefangen?
3 Nutzen und Wert
3.1 Schutz des Unternehmenswerts und der Reputation
3.2 Erhöhung der Konkurrenzfähigkeit
3.3 Compliance und Schutz von (im-)materiellen Werten
3.4 Proaktives Management
3.5 Unterbrechungsfreier Betrieb
4 Erstellung und Pflege
4.1 Positionierung im Unternehmen
4.2 ERSTELLUNG
4.3 Pflege
5 Verantwortung
5.1 Aufsichtsrat und Topmanagement
5.2 Business Continuity Management Team
5.3 Krisenstab
5.4 Verantwortung der Mitarbeitenden
5.5 Interne und externe Revision
5.6 Delegieren von Verantwortung
6 Erarbeitung eines BC-Vorgehens
7 Der BCM-Kreisprozess
7.1 Modul 1: Policy- und Programm-Management
7.2 Modul 2: Verankerung
7.3 Modul 3: Analyse
7.4 Modul 4: Design
7.5 Modul 5: Implementierung
7.6 Modul 6: Validierung
8 Projektstart
8.1 Vorgehensmodelle
8.2 Kritische Erfolgsfaktoren
9 Fazit und Ausblick
10 Frequently Asked Questions (FAQ)
11 Glossar Deutsch-Englisch
12 Glossar Englisch-Deutsch
13 Standards
13.1 Entwicklung der Standards
13.2 Übergreifende Standards
13.3 Business Continuity Management und Resilienz
13.4 Sicherheitsmanagement der Lieferkette
14 Struktur der ÖNORM EN ISO 22301:2020
14.1 Vorwort
14.2 Einleitung
14.3 1 Anwendungsbereich
14.4 2 Normative Verweisungen
14.5 3 Begriffe
14.6 4 Kontext der Organisation
14.7 5 Führung
14.8 6 Planung
14.9 7 Unterstützung
14.10 8 Betrieb
14.11 9 Bewertung der Leistung
14.12 10 Verbesserung
15 Fallstudie Pandemie 2020
15.1 Mitarbeitende
15.2 Gesundheit und Hygiene
15.3 Reisen
15.4 Information- und Kommunikationstechnologie
15.5 Lieferkette
15.6 Business Continuity Pläne
Literaturverzeichnis
Anhang A Beispiele von BC-Plänen
Anhang B Risikokatalog
Anhang C BC- und DR-Checkliste für KMUs
Der Autor
Abbildung 1 Symbolische Darstellung BCM
Abbildung 2Der BCM-Kreisprozess
Tabelle 1Module des BCM-Kreisprozesses
Tabelle 2Glossar Deutsch-Englisch
Tabelle 3Glossar Englisch-Deutsch
Tabelle 4 Struktur der ISO-MSS
Tabelle A.1 Beispiele von BC-Plänen
Tabelle B.1 Risikokatalog
Siehe auch die zweisprachigen Glossare in den Abschnitten 11 und 12.
ASI
Austrian Standards International, https://www.austrian-standards.at/
BC
Business Continuity
BCI
Business Continuity Institute, https://www.thebci.org/
BCM
Business Continuity Management
BCMS
Business Continuity Management System
BCP
Business Continuity Plan
BIA
Business Impact Analysis (Business Impact Analyse)
CASCO
Committee on Conformity Assessment (der ISO)
CBRN
chemisch, biologisch, radiologisch, nuklear
CEN
Comité Européen de Normalisation (Europäisches Komitee für Normung), https://www.cen.eu
DR
Disaster Recovery
EN
Europäische Norm, https://www.cencenelec.eu/standards/DefEN/Pages/default.aspx
GPG
Good Practice Guidelines [8] (des BCI), https://www.thebci.org
ISO
International Standards Organization, https://iso.org
ISO/TC
ISO Technical Committee (Technisches Komitee der ISO)
KMU
kleine und mittlere Unternehmen
OBP
Online Browsing Platform (der ISO), https://www.iso.org/obp/ui. Bietet u. A. eine frei verfügbare Einsicht in die Struktur von Standards.
OR
organisationale Resilienz
PDCA
Plan Do Check Act
MSS
Management System Standard
TS
Technical Specification (Technische Spezifikation)[1]
WG
Working Group (Arbeitsgruppe), Unterorganisation eines ISO/TC
1Die Bezeichnung Technical Specification kann irreführen, da es sich zumindest im Kontext des ISO/TC 232 um eine Art Leitfaden und keine Spezifikation im klassischen Sinne (mit numerischen Angaben, Toleranzen, Grenzwerten etc.) handelt. Eine TS führt in der Regel nicht zu einer Zertifizierung, sondern spielt hier die Rolle der Ergänzung eines MSS (einer Requirements Specification) und eines zugehörigen Guidance Documents. Siehe auch [23].
„Was einen treffen kann, kann jeden treffen.“
Lucius Annäus Seneca,römischer Politiker,Dichter und Philosoph,*4 v. Christus, †65,
Abhandlungen „Von der Gemütsruhe“
Business Continuity (BC) ist ein ganzheitlicher Ansatz, der ein Unternehmen vor den Folgen von Betriebsunterbrechungen schützt. Erst wenn viele Prozesse und Aktivitäten eingespielt sind und problemlos ineinandergreifen, kann ein Unternehmen seinen Daseinszweck erfüllen: Bereitstellung von Produkten und/oder Dienstleistungen für seine Kunden, die dadurch einen Mehrwert erfahren, wodurch ein Gewinn für die Unternehmung realisiert wird. Es gibt unzählige Beispiele, wo eben dies nicht der Fall ist und Kunden nicht das erwartete Produkt oder die erwartete Dienstleistung erhalten. Eine mehr oder weniger große Störung genügt, um dieses Räderwerk zum Stillstand zu bringen. Jeder kennt ausgefallene Flüge, Ausfälle in Mobilfunknetzen, nicht lieferbare Ersatzteile usw. Während die Mehrzahl dieser Zwischenfälle vorwiegend unerhebliche Folgen nach sich ziehen, gab und gibt es schwerwiegendere Betriebsunterbrechungen, die, falls sich das Unternehmen nicht oder nicht hinreichend vorbereitet hat, zu schwerwiegenden Konsequenzen führen.
Um sich gegen diese im Extremfall existenzbedrohenden Konsequenzen zu schützen, ist das Unternehmen gefordert, vorausschauend zu agieren und sich entsprechend vorzubereiten und in der Krise handlungsfähig zu bleiben.
Dieses Vorgehen sollte nach allgemein anerkannten und in der Praxis erprobten Praktiken erfolgen (Best Practices), es sollte daher „das Rad nicht neu erfunden werden“. Aufgrund der Komplexität des Vorgehens, die allerdings durch den Einsatz geeigneter Werkzeuge hinreichend reduziert werden kann, ist ein derartiges Vorgehen nicht die Sache von Einzelpersonen oder Spezialisten, sondern fordert von allen Mitarbeitenden den entsprechenden Einsatz.
Best Practices entstehen nicht von alleine, sondern aus der Summe und dem Zusammenwirken vieler Akteure, die sich mit der Thematik jahrelang auseinandergesetzt haben. Meine Motivation, an der Entwicklung von derartigen Vorgaben (Standards) mitzuarbeiten, führte im Jahre 2009 dazu, mich einem ISO Technical Committee (TC) anzuschließen, das sich unter anderem zum Ziel gesetzt hatte, den ersten internationalen Standard für BC zu entwickeln. Im Jahre 2012 wurde mit der Publikation des ISO 22301:2012 BCMS (BC Management System) [1] ein erster Meilenstein erreicht. In der Folge erlangte dieser Standard in vielen Ländern große Beliebtheit, und es wurden ergänzende Regelwerke dazu geschaffen. Auf europäischer Ebene wurde dieser Standard zu einer Europäischen Norm (EN), wie beispielsweise die ÖNORM EN ISO 22301:2014 [2], die SN EN ISO 22301:2014 [3] und die DIN EN ISO 22301:2014 [4]. Die erste Revision der Ausgabe von 2012 wurde letztes Jahr als ISO 22301:2019 publiziert [5]. Dank der raschen Akzeptanz durch das Comité Européen de Normalisation (Europäisches Komitee für Normung, CEN) wurde diese Ausgabe quasi unmittelbar auch wieder zu einer Europäischen Norm, wie die BS EN ISO 22301:2019 [6]. Mitte April 2020 erfolgte die österreichische Ausgabe des Standards als ÖNORM EN ISO 22301:2020 [7].
Dieses Fachbuch zeigt Möglichkeiten der Herangehensweise an die Aufgabenstellung BC auf. Dazu werden nach einer Einleitung in Abschnitt 1 Grundsatzfragen gestellt und überblicksmäßig beantwortet (Abschnitt 2). Abschnitt 3 widmet sich dem Nutzen und Wert eines BC-Vorgehens. In Abschnitt 4 werden erste Schritte zur Erstellung und Pflege des Vorgehens erläutert. Es soll schon an dieser Stelle darauf hingewiesen werden, dass ein BC-Vorgehen keine einmalige Aktion darstellt, sondern das Unternehmen auf seinem Entwicklungsweg dauerhaft tatkräftig unterstützen soll. BC konzentriert sich geschäftsbegleitend auf die Aufrechterhaltung der prioritären Prozesse einer Organisation während einer Betriebsunterbrechung. Beispielsweise kann der Kundendienst einer Unternehmung während dieser Phase intensiver ausgelastet sein. Die Ressourcen für dessen Abwicklung basieren wiederum auf den Plänen für die sogenannte Disaster Recovery (DR) und Wiederherstellung für die IT, was aufzeigt, dass Überlegungen zu BC die verschiedensten Abläufe und deren Abhängigkeiten umfassen.
In Abschnitt 5 wird die Frage nach der Verantwortung beantwortet. Wesentlich dabei sind der Einsatz und das Vorbild des Topmanagements, was ausnahmslos in allen Vorgaben, Standards und Anleitungen hervorgehoben wird. Dreh- und Angelpunkt neben der obersten Führungsebene ist ein für das Vorgehen geschulter, mit entsprechender Erfahrung ausgestatteter BC-Manager. Aber auch die Leitungen der verschiedenen Fachabteilungen spielen eine wesentliche Rolle. Schließlich sollte aber auch jeder Mitarbeitende entsprechend seines Aufgabenbereiches/seiner Kompetenzen in das Konzept eingebunden werden. Nicht zuletzt im eigenen Interesse, steht doch bei Business Continuity Management (BCM) der Schutz der Mitarbeitenden mit im Zentrum der Betrachtungen. Es stellt sich in Abschnitt 6 die Frage, wie sich die ersten Schritte der Implementierung gestalten. Die Grundidee, ein Kreisprozess, wird in Abschnitt 7 vorgestellt. Es wird in diesem Zusammenhang auch vom BC-Kreisprozess gesprochen. Abschnitt 8 behandelt verschiedene Vorgehensmodelle und kritische Erfolgsfaktoren. Es werden dabei zwei Vorgehensmodelle detaillierter vorgestellt: die Good Practice Guidelines (GPG) des Business Continuity Institute (BCI) [8] und der auf internationaler Ebene erarbeitete Standard ÖNORM EN ISO 22301:2020 [7], ein Management System Standard (MSS), für den sich Unternehmen zertifizieren lassen können, um ihr hohes Implementierungsniveau eines BC-Vorgehens demonstrieren zu können.