ISO/DIS 22398 Guidelines for exercises and testing – der neue Standard für Tests und Übungen
Ein Familienmitglied der neuen ISO-Standardfamilie für BCM des TC 223 ist der “ISO/DIS 22398 – Guidelines for exercises and testing”. Wie der ISO 22313 Guidance befindet er sich aktuell in der Kommentierungsphase – noch bis zum 13.05.2012. So wird die Familie langsam vollständig. Testen und Üben, der aus meiner Sicht wichtigste Part des BCM Lifecycle wird bislang leider etwas stiefmütterlich behandelt. Dabei würden gerade hier Standards und Anleitungen eine große Unterstützung für den Praktiker bieten. Es gibt zwar zum Testen und Üben von British Standard das Published Document BS 25666 :2010 , doch vermochte mich dieses Dokument nicht zu überzeugen. Umso gespannter war ich natürlich auf die Inhalte des künftigen ISO-Standards. Die aktuellen Drafts, die das Technical Committee 223 des ISO bislang vorgelegt hat, haben die Messlatte hoch gelegt. Insbesondere der ISO 22313 vermag mich nach mehrmaligem Lesen zu überzeugen. Der ISO/DIS 22398 hat einen Umfang von nahezu 50 Seiten. Also genug Raum, um hilfreiche Unterstützung für dieses Thema zu geben. Der Standard orientiert sich an dem Phasenmodell für das Testen und Üben
- Establishing the Foundation
- Planning, design & Development
- Conducting
- Improvement.
Eingeleitet wird der Standard durch die Definition der wichtigsten relevanten Begriffe, die dem neuen ISO 22300 entstammen.
Im Teil “Establishing the foundation” steht die Bedarfs- und GAP-Analyse für das Testen und Üben im Vordergrund. Eine wichtige Grundlage hierfür sind die Ergebnisse der BIA mit den identifizierten kritischen Geschäftsprozesse. Grundlegend ist laut ISO/DIS 22398 auch das Commitment des Management, die Einbettung in ein Test- und Übungs-Framework sowie die Definition des Sscopes für das Testen und Üben. Wie wahr.
Der Teil “Planning and design” spricht die wesentlichen Bausteine einer Übungsvorbereitung an. Hierzu gehören wiederum die Definition der konkreten Übungsziele, das Team Management, Risiko Management und die Kommunikation. “Design and development” unterscheidet die grundlegenden Typen einer Übung, beschreibt die Bestandteile einer szenariobasierten Übung sowie die wesentlichen Dokumenttypen zur Dokumentation einer Übung.
Die Teile “Conducting” und “Improvement” fallen etwas kürzer aus und beschreiben die Teilschritte der Durchführung und das Review nach einer Übung. Dies entspricht aus meiner Sicht aber auch der Bedeutung der Übungsvorbereitung gegenüber der eigentlichen Durchführung, die gerne unterschätzt wird.
Ergänzt wird der Standard durch einen sehr umfangreichen Anhang mit hilfreichen Templates.
Dieser ISO-Standard ist eine gute Grundlage um ein Übungs-Framework aufzubauen und aus meiner Sicht ein großer Schritt nach vorne, wenn man dies mit den bestehenden Standards hierzu vergleicht.
Die Drafts für die neuen Standards ISO 22313 und ISO 22398 werden übrigens von ContinuityInsights zum kostenfreien Download zur Verfügung gestellt. Den Schwaben freuts, und nicht nur den.
Ich bin schon gespannt auf die Meinung von Christian Zänker, der sicherlich bereits sein scharfes Auge auf den neuen ISO-Standard wirft.
Auch ich habe den Standard Draft mit großer Erwartung gelesen. Ja, der ISO/DIS 22390 bietet eine Fülle an Informationen und schon der erste Satz der Einleitung, dass dieser internationale Standard die Verfahren für Planung, Umsetzung, Management, Ergebnisüberprüfung, Berichtswesen und Verbesserungsprozess von Übungen beschreibe, fesselt von Anbeginn die Aufmerksamkeit. Umso größer ist am Ende aber die Enttäuschung.
Man kann nicht sagen, dass der Standard nicht hält, was er verspricht. Seine Zielrichtung ist jedoch eine andere, als die von mir erwartete. Die ISO Serie 223XX, in die BCM integriert wurde, heißt nun einmal „Societal security“, was einem im deutschen Sprachgebrauch mit „Gesellschaftliche Sicherheit“ bereits quer auf der Zunge liegt. Die hier in einer Norm formulierten Anleitungen für Übungen und Testen beziehen sich m.E. auf die Durchführung von Großübungen wie zum Beispiel zum Schutz kritischer Infrastrukturen (Kritis) in Deutschland oder für den Katastrophenschutz und Heimatschutz / Homeland Security in den USA.
Der BCM Praktiker, der eine Anleitung für die jährliche Testplanung sucht, findet zwar die eine oder andere weitere Anregung, die ihm aber in der Regel nicht wirklich helfen wird, wie zum Beispiel, dass die Verantwortlichen das Mandat des Top Management haben sollten oder dass die BIA dabei hilft, die mission-critical Prozesse und erforderlichen Ressourcen zu identifizieren. Ebenso ist es zwar richtig, dass Übungen als Projekte durchzuführen und zu steuern sind und dass notwendigerweise entlang der einzelnen Stufen des Planungsprozesses Risikobewertungen durchzuführen sind, aber wenn auf diese allgemein gültigen Aussagen nur der Hinweis auf weitere Anleitungen im ISO 22301 oder ISO 31000 folgt, ist das für mich zu wenig.
Dies gilt auch für das umfangreiche Kapitel 5 Planung und Design. Man greift auf Kapitel 5.1.3 Risk Management und Information Security zu und findet nicht mehr als die lapidaren Aussagen, dass durch die effektive Nutzung von Risikoanalyse und Risikobehandlung Risiken ausgeräumt oder reduziert werden sollen und dass die Organisation die Sicherheit aller Übungsdokumente bestimmen und managen sollte.
Ein wenig versöhnlich stimmt der Anhang, der fast die Hälfte des Dokumentes ausmacht und die eine oder andere Anregung bereithält. Alles in allem ist der ISO/DIS 22390 (oder heißt er doch 22398 wie in den Kopfzeilen gesetzt?) für den BCM Praktiker wenig geeignet. Die Anforderungen an Ressourcentests werden nur high level überrissen und IT Tests finden sich überhaupt nicht wieder. Und gerade diese Kompetenz sucht doch der BC Manager, siehe die Anregung in der kleinen Brainstorming Umfrage bcm-news 09.02.12:
„.. aber so viel IT Know How, um mit den ITlern “auf Augenhöhe” reden zu können“.