Die ISO 22301:2019 ist kürzlich veröffentlicht worden. Hat das Update den BCM-Standard verbessert oder nur verändert? Christian Zänker hat sich die finale Version zur Brust genommen und er ist bei Standards nicht schnell zu begeistern. Doch die Arbeit der erfahrenen Experten am Update scheint sich gelohnt zu haben.

Um es vorweg zu nehmen, die ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements ist alles andere als ein alter Hut. Es ist das beste, was ich in beinahe zwanzig Jahren BCM Praxis gelesen habe. War bereits die Anfang des Jahres veröffentlichte Draftversion ISO/DIS 22301 ein enormer Schritt voran gewesen, setzt die jetzt veröffentliche neue Fassung vom November 2019 noch einen drauf. Beispielhaft für einen kontinuierlichen Verbesserungsprozess. Der Standard ist bei der ISO, der BSi Group oder direkt im Handel zu beziehen. Ab Anfang Dezember bietet die BSi Group ihre Schulungen zum BCMS auf Basis der neuen ISO 22301:2019 an.

Ich möchte an dieser Stelle nicht noch einmal die Bewertungen wiederholen, die ich in den bcm-news zur Draftversion abgegeben habe. https://www.bcm-news.de/2019/01/22/die-neue-isodis-223012019-ist-veroeffentlicht/ und https://www.bcm-news.de/2019/02/04/prozesse-und-dokumentierte-information-in-der-neuen-isodis-223012019/. Sie sind nach wie vor gültig. Ich möchte mich ganz auf die Neuerungen in der vorliegenden neuen Fassung konzentrieren.

Folgende Neuerungen / Änderungen sind hinzugekommen.

Kapitel 3 Terms and definitions, wurde von 56 auf 31 Begriffe nahezu halbiert. Viele der nunmehr gelisteten Begriffe wurden neu gefasst, um wie es im Vorwort zur Norm heißt, für mehr Klarheit zu sorgen. Darüber hinaus steht mit der ISO 22300, Security and resilience — Vocabulary ein einheitliches Glossar zur Verfügung, so dass sich die hier aufgelisteten Begriffe mehrheitlich auf Managementsysteme beziehen: „This constitutes one of the common terms and core definitions of the high level structure for ISO management system standards“, oder spezielle Begrifflichkeiten des BCMS erläutern. Dankenswerter Weise erfolgt bei Änderungen immer in der Definition ein entsprechender Hinweis.

Die fundamentale Änderung ist allerdings die, die beim Blick auf das Inhaltsverzeichnis erst einmal nicht auffällt. Aber bereits beim Kapitel 1 Scope stutzt man. „This document specifies requirements to implement, maintain and improve a management system to…”. In der Vorgängerversion von 2012 kam der Begriff maintain nur einmal und das in der Illustration 1 zum PDCA vor. In der neuen Fassung erscheint der Begriff maintain resp. maintenance 27 mal.

Als Zweck („purpose“) des BCMS gilt nach Kapitel 0.2 jetzt: „to prepare for, provide and maintain controls and capabilities for managing an organization’s overall ability to continue to operate during disruptions.”

Dass das so verwunderlich ist, rührt vielleicht aus der Erfahrung als Tutor und langjähriger Praktiker, der in Seminaren und Schulungen immer wieder in fragende und verständnislose Augen blickt, wenn er auf die Bedeutung des Maintenance und Change Management zu sprechen kommt. Dazu gebe es doch im Standard keine Anforderungen Requirements…

Changes bezeichnen die einmaligen (größeren oder fundamentalen) Änderungen, die in der Regel im Rahmen von Änderungsprojekten umgesetzt werden und Maintenance die Wartung, kontinuierliche Aufrechterhaltung der für die Notfallplanung benötigten Ressourcen. Zum Beispiel das interne Arbeitsplatzsharing: Welche Arbeitsplätze werden anderen Fachbereichen als Notfallarbeitsplätze zur Verfügung gestellt? Projekt-, Praktikanten- und sonstige „unwichtige“ Arbeitsplätze – und welche werden am häufigsten umgewidmet oder verschoben, und die an Ihnen bereitgestellten Notfallressourcen zweckentfremdet oder piratisiert? Genau! Dasselbe gilt für Pläne, Verfahren, Ablaufbeschreibungen, Checklisten, die nur solange wertvoll sind, wie ihre Inhalte stimmen. Was und wem nützt ein Notruf ins Nirvana?

Die geforderte Aufrechterhaltung, oder je nachdem Wartung, ist jetzt neben dem Scope Anforderung im 4.4 BCMS, 8.2 BIA und Risk Assessment, 8.3.5 Solutions, 8.4 Plans and Procedures, Response Structure, Warning and Communication, BC Plans, 8.5 Exercise Programme, 9.2 Internal Audit.

Weitere positive Anpassungen beziehen sich auf Kapitel 7.4 Communication, das im Vergleich zur ISO/DIS noch einmal erheblich verschlankt und von aus meiner Sicht unnötigem (wenn auch nicht überflüssigem) Ballast befreit wurde. Aber wir sprechen hier von requirements und nicht von guidance. Hier heißt es nur noch:

„The organization shall determine the internal and external communications relevant to the BCMS, including:

1. on what it will communicate;
2. when to communicate;
3. with whom to communicate;
4. how to communicate;
5. who will communicate.”

Ähnlich strukturierend wurde auch noch einmal in Kapitel 8.3 Business continuity strategies and solutions eingegriffen, wo in der neuen Fassung ein Unterkapitel sich mit der Identifikation und eines mit der Auswahl der geeigneten Strategien und Lösungen befassen. Darüber hinaus gibt es jetzt an vielen Stellen eine griffigere Struktur, wie z.B bei “6.2 Business continuity objectives and planning to achieve them“, die alle aufzulisten aber den Rahmen sprengen würde.

Das frühere Kapitel 9.1.2 ist aufgelöst und neu und wie gesagt auch besser strukturiert in Operations als letztes Kapitel unter 8.6 eingefügt.

“8.6 Evaluation of business continuity documentation and capabilities

The organization shall:

1. a) evaluate the suitability, adequacy and effectiveness of its business impact analysis, risk assessment, strategies, solutions, plans and procedures;
2. b) undertake evaluations through reviews, analysis, exercises, tests, post-incident reports and performance evaluations;
3. c) conduct evaluations of the business continuity capabilities of relevant partners and suppliers;
4. d) evaluate compliance with applicable legal and regulatory requirements, industry best practices, and conformity with its own business continuity policy and objectives;
5. e) update documentation and procedures in a timely manner.

These evaluations shall be conducted at planned intervals, after an incident or activation, and when significant changes occur.”

Kapitel 9 bezieht sich jetzt viel eindeutiger auf die Steuerungsfunktion

“9.1 Monitoring, measurement, analysis and evaluation

The organization shall determine:

1. a) what needs to be monitored and measured;
2. b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
3. c) when and by whom the monitoring and measuring shall be performed;
4. d) when and by whom the results from monitoring and measurement shall be analysed and evaluated.

The organization shall retain appropriate documented information as evidence of the results.

The organization shall evaluate the BCMS performance and the effectiveness of the BCMS.”

Übrigens sind die Erläuterungen zum P-D-C-A Zyklus (der jetzt zum Glück auch nicht mehr Model genannt wird wie in der Vorgängerversion) ebenfalls gestrafft worden. Dass bei der dankenswerten Kürzung auch ein Unterkapitel rausflog „0.4 Components of PDCA in this document“, ist der einzige Schönheitsfehler, der aber nur auffällt, wenn man stutzt, weil auf Unterkapitel 0.3 auf einmal 0.5 folgt und deswegen in der alten Version nachschlägt.

Abschließend noch ein Nachtrag zu meinem Beitrag Prozesse und dokumentierte Informationen. In der neuen Version der ISO 22301:2019 gibt es nur noch dokumentierte Informationen. Die frühere Unterscheidung zwischen „documents“ und „records“ ist entfallen. Heute wird unterschieden zwischen documented information, die als Anleitung zur Verfügung stehen müssen (available / documents) oder die als Nachweise aufbewahrt/aufrechterhalten werden (retained / records).

Die neue ISO 22301 ist zielführend und vielversprechend. Sie ist klar und auf den ersten Zugriff sinnvoll und nachvollziehbar strukturiert. Sie beinhaltet insgesamt 244 Anforderungen / requirements, die von einem Managementsystem für Business Continuity zu erfüllen sind. Eine Herausforderung, die auf Basis dieses Standards zu meistern ist.

Christian Zänker, bcmpartner, ist Berater für Business Continuity Managementsysteme und Tutor der BSi Group Deutschland in Frankfurt am Main