BCM Standards: Status und Zukunft
Die Gartner-Studie zu BCM “Top-Five Issues and Research Agenda, 2008: The Business Continuity Manager” vom 26. März 2008 stellt zu BCM-Standards in den Key Findings fest:
“No BCM industry regulations or standards exist for most enterprises. Frameworks are available, but none are widely perceived as a complete set of industry-neutral best practices.”
Betrachtet man die bestehenden Standards und die weitere Entwicklung in der Zukunft, könnte die nächste Gartner-Studie zu dem Schluss kommen, dass es die Kunst des BCM-Managements ist, die richtige Kombination aus den BCM Standards zu wählen.
Schon heute verfügen wir über mehrere Standards zum Business Continuity Management und weitere sind in der Pipeline:
Aus Großbritannien haben wir den BCM Standard BS 25999-1 Code of Pracitice, sowie den Part 2 Specification als Grundlage für die Zertifizierung des BCM. Der Code of Practice basiert auf dem PAS56 sowie auf den Erfahrungen des britischen Business Continuity Institute (BCI) und den hieraus formulierten BCM Good Practice Guidelines (GPG), die kostenfrei von der Homepage des BCI zu beziehen sind. Die ersten Unternehmen haben bereits ihr BCM nach diesem Standard zertifizieren lassen und es gibt mittlerweile eine ganze Reihe zertifizierter BS 25999 Lead Auditoren – auch in Deutschland. British Standards ist gerade auch in Deutschland sehr bemüht, den Standard publik zu machen und im BCM-Markt als Standard durchzusetzen. Auf der BCM-Seite von British Standards werden Studien, Literatur und Trainings zum BCM angeboten.
Es wird auch angestrebt in den nächsten Jahren einen ISO-Standard aus den BS-Standards zu entwickeln.
Etwas überraschend kam daher die Veröffentlichung des ISO/PAS 22399 des ISO Technical Comittee 233 mit dem Titel “Societal security – Guideline for incident prepardness and operational continuity management”. Diese Publicly Available Specification (PAS) erhebt für sich den Anspruch, die bestehenden Standards zu integrieren:
“ISO/PAS 22399 was prepared by Technical Committee ISO/TC 223, Societal security. It includes parts of NFPA 1600:2004, BS 25999-1:2006, HB 221:2004, INS 24001:2007 and the compiled work of the Japanese Industrial Standards Committee”.
Der Standard wurde hier in bcm-news bereits vorgestellt. Ein Blick in das Arbeitsprogramm des Technical Committees TC 233 verrät, dass hier in absehbarer Zeit mit weiteren Veröffentlichungen in Ergänzung zum bestehenden ISO/PAS zu rechnen ist.
Auch der deutsche Standard zum Notfallmanagement “BSI Standard 100-4 Notfallmanagement” des deutschen Bundesamt für Sicherheit in der Informationstechnik BSI befindet sich auf der Zielgeraden. Die letzten Überarbeitungen in Version 0.9 wurden eingearbeitet und der Standard soll Ende diesen Jahres / Anfang nächsten Jahres in der Version 1.0 veröffentlicht werden.
Wir haben dann die Qual der Wahl,
- nach welchem Standard wir uns richten wollen
- ob überhaupt ein Standard die Grundlage sein soll
- ob ein “Best of Breed”-Ansatz gewählt wird.
Die Marktmechanismen werden uns bei der Auswahl unterstützen. Insbesondere in der Finanzdienstleistungsindustrie wird der Standard des Bundesamtes BSI 100-4 sehnsüchtig erwartet, um konkrete Ausgestaltungsempfehlungen für die Umsetzung der Anforderungen aus den MaRisk und MaRisk VA des BaFin für das Notfallmanagement zu erhalten. Auch die – nicht repräsentative – Umfrage auf bcm-news zu den BCM Standards verspricht eine hohe Akzeptanz des neuen Standards des deutschen BSI.
British Standards (BSi) wird versuchen sein Alleinstellungsmerkmal bei der Zertifizierung des BCM am Markt auszuspielen. Dies ist vor allem für große internationale Unternehmen, aber auch für Service Provider aus dem IT und Non-IT-Bereich immer bedeutsamer. Die Auftragnehmer fordern zunehmend den Nachweis der BCM-Fähigkeit ihrer Dienstleister. Mit einer Zertifizierung kann dies analog ISO 9000 effizient nachgewiesen werden. Auch die Ratingagenturen werden in Zukunft stärker auf die Risikovorsorge und das BCM achten (siehe bcm-news). Eine verbesserte Rating-Note ist natürlich ein richtiger Business-Case für das BCM, nach dem wir oft mühsam suchen.
Spannend wird die Entwicklung des ISP/PAS 22399 werden. Zumindest in Deutschland wird er aus meiner Erfahrung heraus kaum wahrgenommen, auch wenn der Standard auf Konferenzen und Veranstaltungen mittlerweile vorgestellt wird. Es bleibt abzuwarten, ob der existierende PAS und die zu erwartenden Ergänzungen des TC 233 ein Framework ergeben, das die mächtige Konkurrenz zu British Standards und zum deutschen Standard BSI 100-4 bestehen kann.
One Response
Ein Pingback