Eine umfassende Norm, die es auch KMU möglich macht, praxis- und zielorientiert Informationssicherheit umzusetzen, ohne sich direkt an einem ISO 27001 verheben zu müssen.

Die Norm ist kostenfrei beim vds zu beziehen.

Leitfaden des VdS mit Hinweisen zur Bewältigung von Betriebsunterbrechungen durch den Aufbau eines BCMS und dem Hinweis auf Versicherungslösungen.

Der Leitfaden adressiert produzierende Unternehmen und Unternehmen aus dem Logistikbereich.

Bezug: VdS-Webshop

WHO Pandemie Guidance “Pandemic Influenza Risk Management Interim Guidance”,

10. Juni 2013

Bezug: WHO

Wiederanlauf beschreibt die Phase vom Notbetrieb eines Geschäftsprozesses bis zur vollständigen Funktionsfähigkeit (Normalbetrieb). Nach Herstellung der vollen Funktionsfähigkeit von Geschäftsprozessen sind in der Regel Nacharbeiten aus dem Notbetrieb erforderlich, bis der vollständige Normalbetrieb wiederhergestellt ist.
Bei technischen Komponenten (IT, Gebäude etc.) spricht man von Wiederherstellung.

Anforderungen an Geschäftsprozesse und deren Ressourcen, um den Notbetrieb und die Wiederherstellung der Geschäftsprozesse nach einem Ausfall oder einer Unterbrechung im geforderten Maß sicherstellen zu können. Die Wiederherstellungsanforderungen betreffen zeitliche (RTO) und quantitative Verfügbarkeit von Prozessen und Ressourcen (MBCO).

Das Business Continuity Management System BCMS kann nach ISO 22301:2012 durch eine Zertifizierungsorganisation (Bsp. BSI, TÜV, DQS) im Rahmen eines Audits zertifiziert werden. Das nach erfolgreichem Audit erteilte Zertifikat hat eine Gültigkeit von ist drei Jahren. Durch jährliche Überwachungsaudits wird die Einhaltung der Norm überprüft.

Durch eine Zertifizierung des BCMS nach ISO 22310:2013 kann Kunden und Geschäftspartnern ein funktionsfähiges Business Continuity Management System nachgewiesen werden.

Bei der Einsichtnahme in das Zertifikat eines Dienstleisters ist neben der zeitlichen Gültigkeit insbesondere auf den Scope der Zertifizierung zu achten. Der Scope kann die Zertifizierung auf Standorte oder Geschäftsbereiche beschränken.

Die Zertifizierung trifft keine Aussage darüber, ob und in welchem Umfang die individuell benötigten Produkte, Services und Dienstleistungen durch das zertifizierte Unternehmen mit Notfallvorsorgemaßnahmen abgesichert sind und diese Notfallvorsorge des Ansprüchen des Kunden genügt.

Bei wesentlichen / kritischen Dienstleistern sind daher in regelmäßigen Abständen Dienstleister-Audits durchzuführen, die Notfallkonzepte aufeinander abzustimmen und gemeinsame Tests und Übungen durchzuführen.