This document gives guidelines for the planning and development of policies, strategies and procedures for the preparation and management of people affected by an incident.

This includes:

preparation through awareness, analysis of needs, and learning and development;
coping with the immediate effects of the incident (respond);
managing people during the period of disruption (recover);
continuing to support the workforce after returning to business as usual (restore).

The management of people relating to civil emergencies or other societal disruption is out of the scope of this document.

Quelle: ISO 22330:2018

ASIS Security and Resilience in Organizations and Their Supply Chains—Requirements with Guidance (ORM.1)

25. Juni 2017 Antworten

ASIS International (ASIS) has released a new standard, Security and Resilience in Organizations and Their Supply Chains—Requirements with Guidance (ORM.1)that provides security professionals with an integrated risk-based management systems approach to manage risk and enhance resilience in organizations and their supply chain. ASIS, the leading organization for security professionals worldwide, is an ANSI Accredited Standards Developer. (ASIS, 19. Juni 2017).

The ORM.1 replaces two legacy ASIS standards that had been up for review: the ANSI/ASIS Organizational Resilience: Security, Preparedness and Continuity Management Systems (SPC.1) and ANSI/ASIS/BSI Business Continuity Management Standard (BCM.1).

ISO 44001:2017 Collaborative business relationship management systems — Requirements and framework

6. März 2017 Antworten

ISO 44001:2017 specifies requirements for the effective identification, development and management of collaborative business relationships within or between organizations.

ISO 44001:2017 is applicable to private and public organizations of all sizes, from large multinational corporations and government organizations, to non-profit organizations and micro/small businesses.

Application of ISO 44001:2017 can be on several different levels, e.g.

· a single application (including operating unit, operating division, single project or programme, mergers and acquisitions);

· an individual relationship (including one-to-one relationships, alliance, partnership, business customers, joint venture);

· multiple identified relationships (including multiple partner alliances, consortia, joint ventures, networks, extended enterprise arrangements and end-to-end supply chains);

· full application organization-wide for all identified relationship types.

Quelle: ISO

vds 3473 Cyber Security für kleine und mittelständische Unternehmen (KMU)

13. September 2016 Antworten

Eine umfassende Norm, die es auch KMU möglich macht, praxis- und zielorientiert Informationssicherheit umzusetzen, ohne sich direkt an einem ISO 27001 verheben zu müssen.

Die Norm ist kostenfrei beim vds zu beziehen.

NIS-Richtlinie

18. Januar 2016 Antworten

Direktive für Netz- und Informationssicherheit (Network and Information Security Directive) der EU. Die Vertreter der EU-Kommission, des Europaparlaments und der Mitgliedstaaten haben sich im Dezember 2015 auf das erste europäische Gesetz zur Cybersicherheit geeinigt. Unternehmen der Kritischen Infrastrukturen müssen nach dieser Direktive Hackervorfälle melden und Mindestsicherheitsmaßnahmen umsetzen. Die EU-Mitgliedsländer müssen die Direktive in nationalen Gesetzen umsetzen. In Deutschland wurde im Sommer bereits das IT-Sicherheitsgesetz als Sammlung von Gesetzesänderungen beschlossen. Die NIS-Richtlinie kann zu Anpassungen im IT-Sicherheitsgesetz führen.
Link zur Pressemitteilung der EU:
http://www.europarl.europa.eu/news/en/news-room/20151207IPR06449/MEPs-close-deal-with-Council-on-first-ever-EU-rules-on-cybersecurity

BS 16000:2015 Security management. Strategic and operational guidelines

27. November 2015 Antworten

BS 16000 Security management – Strategic and operational guidelines

“While there are many standards that cover specific security topics, such as alarms, CCTV and screening, BS 16000 provides a much needed generic, security management framework.

BS 16000 provides the vocabulary and basic principles of security management, and demonstrates how security can be embedded in an organization, and discusses security solutions – including physical, technical, information, procedural and personnel solutions.

The new standard includes guidance on:

Developing a security framework
Risk assessment
Understanding your organization’s context
Implementing and monitoring the security programme

Even if you have already implemented security solutions in your organization, BS 16000 can help you monitor and review your security management and identify ways to improve it. BS 16000 complements existing management standards including ISO 27001, ISO 14001, ISO 22301, ISO 22313, ISO 31000 and ISO 9001. As a generic, high-level guidance standard, it will be invaluable to anyone responsible for aspects of security in any organization – large or small, public or private. BS 16000 will help to support your organization’s viability, productivity, reputation, resilience and sustainability.”

Bezug: BSI Shop

BS 12999:2015 Damage management

27. November 2015 Antworten

BS 12999:2015
Damage management: Code of practice for the organization and management of the stabilization, mitigation and restoration of properties, contents, facilities and assets following incident damage

“When an accident or crime causes damage to property or other assets, it can leave a complex mess to clear up. So BSI has developed a new standard that can help you respond effectively in the event of such damaging incidents.

BS 12999 outlines how to reinstate property and assets and ensure their future integrity, which in turn helps restore equilibrium to people affected. The standard applies to a wide range of incident types, including fires, floods, contamination and explosions. It does not advocate specific technologies or methodologies, but rather identifies generic processes applicable to all these incidents.

To help guide your response, the new standard includes:

Best practices to stabilise, mitigate, remediate and restore damage
A simple method to establish whether these activities have been conducted well
A guide to communication between parties who should be aware of an incident’s status

Compiled in line with good risk management practice and insurance principles, BS 12999 is intended to provide recommendations to individual damage management practitioners or organizations. It is also relevant to anyone who might be affected by damaging incidents – including property owners, emergency responders, insurers, facilities management, and those in government departments and local authorities. ”

Bezug: BSI Shop

ISO/TS 22317:2021

22. September 2015 Antworten

Titel:

Security and resilience – Business continuity management systems – Guidelines for business impact analysis

Herausgeber:

ISO (ISO/TC 292 Security and resilience)

Veröffentlichung / Aktualisierung:

2021-11

Beschreibung:

ISO-Standard zur Durchführung einer Business Impact Analyse

Abstract:

ISO/TS 22317:2021 provides guidance for an organization to establish, implement, and maintain a formal and documented business impact analysis (BIA) process. This Technical Specification does not prescribe a uniform process for performing a BIA, but will assist an organization to design a BIA process that is appropriate to its needs.

ISO/TS 22317:2021 is applicable to all organizations regardless of type, size, and nature, whether in the private, public, or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization.

It is intended for use by those responsible for the BIA process.

Zertifizierung:

Zertifizierung des BCM nach ISO 22301 möglich

Bezug:

Beuth Verlag

Inhaltsverzeichnis

IT-Sicherheitsgesetz

24. April 2015 Antworten

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Das Gesetz wurde am Freitag 12. Juni 2015 verabschiedet. Rechtsverordnungen legen fest, wer als Betreiber kritischer Infrastrukturen gilt und den Anforderungen des Gesetzes unterliegt. Zu den Anforderungen zählen die Herstellung eines Mindestniveaus an IT-Sicherheit nach Branchen-Standards, Nachweise mittels Zertifizierungen hierüber sowie eine Meldepflicht bei Störungen. Ein Verstoß gegen das Gesetz ist mit Bußgeldern bis 100.000 Euro bewehrt.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das andere Gesetze ändert und ergänzt. In erster Linie betrifft dies das BSI-Gesetz.

“Um Defiziten im Bereich der IT-Sicherheit insbesondere auch außerhalb der Bundesverwaltung wirksam zu begegnen, wurde das BSI mit neuen Aufgaben und Befugnissen ausgestattet:

Nach § 8a BSIG Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
Das BSI wird nach § 8b BSIG die zentrale Meldestelle für die IT-Sicherheit Kritischer Infrastrukturen. Diese müssen dem BSI erhebliche Störungen ihrer IT melden, sofern sie Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können. Umgekehrt hat das BSI sämtliche für Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen relevanten Informationen zu sammeln, zu bewerten und an die Betreiber sowie die zuständigen (Aufsichts-)Behörden weiterzuleiten.
Sofern bei einem Betreiber Kritischer Infrastrukturen meldepflichtige Störungen der IT auftreten, darf das BSI erforderlichenfalls auch die Hersteller der entsprechenden IT-Produkte und -systeme gemäß § 8b BSIG zur Mitwirkung verpflichten.
Dem BSI wird die Befugnis eingeräumt, zur Wahrnehmung seiner Aufgaben nach § 3 Abs. 1 S. 2 Nr. 1, 14 und 17 BSIG, IT-Produkte auf ihre Sicherheit hin zu untersuchen.
Die Befugnis des BSI aus § 5 BSIG zur Analyse von Schnittstellen- und Protokolldaten in den Netzen der Bundesverwaltung wird dahingehend erweitert, dass die Bundesbehörden das BSI nunmehr bei dieser Tätigkeit unterstützen müssen.
Zur Stärkung der IT-Sicherheit der Bundesverwaltung wird das BSI verpflichtet, Mindeststandards für die IT der Bundesverwaltung zu erarbeiten. Die Möglichkeit des BMI, diese Mindeststandards für alle Behörden als verbindlich zu erklären, wird erleichtert, da nur noch das Benehmen (statt des Einvernehmens) mit dem IT-Rat hergestellt werden muss.”

Die Erstellung der Rechtsverordnungen zur Umsetzung des IT-Sicherheitsgesetzes erfolgt in 2016 in zwei Losen:

Los 1: Energie, IT + TK, Ernährung, Wasser im 1. Qrt. 2016

Los 2: Finanzen, Transport + Verkehr, Gesundheit im 4. Qrt. 2016.

DIN V VDE V 0827 Notfall- und Gefahren-Reaktionssysteme (NGRS)

9. Januar 2015 Antworten

Die DIN V VDE V 0827 regelt, wie an Schulen in Notfall- und Gefahrensituationen auf zum Beispiel einen Amoklauf oder eine Bombendrohung reagiert werden soll.

Veröffentlichung:

Anfang 2015 (1. Fassung am 2. Juli 2014)

Herausgeber:

Arbeitskreis AK 713.1.19 der Deutschen Kommission Elektrotechnik (DKE)

Inhalte:

Teil 1: “Grundlegende Anforderungen, Aufgaben, Verantwortlichkeiten und Aktivitäten”

Teil 2: “Notfall- und Gefahren-Sprechanlagen (NGS)”