Umfangreiche Templatepakete für ISO 22301

IS&BCA (Information security & Business Continuity Academy) hat seine Dokumentationspakete für ISO 22301 und BS 25999 ins Deutsche übersetzt. Das Vorlagenpaket enthält eine Sammlung von 32 Dokumentvorlagen, die alle für eine Zertifizierung erforderlichen Dokumente enthalten soll. Nach Angaben des Herausgebers soll die Übersetzung durch einen Experten mit deutscher Muttersprache erfolgt sein. Wer andere Übersetzungen aus dem Englischen kennt, weiß die Bedeutung dieses Sachverhalts zu schätzen. Die Templatesammlung eignet sich in erster Linie für kleine und mittelständische Unternehmen. Diese werden auf der Webseite auch explizit als Zielgruppe genannt. Große Unternehmen können aus den Vorlagen “Honig ziehen”. Doch dürften häufig Anpassungen und Erweiterungen für ein bestehendes Dokumentationswesen erforderlich sein. Für kleine und mittelständische Unternehmen kann die Vorlagensammlung eine erhebliche Arbeitserleichterung darstellen. Das deutsche Dokumentationspaket mit 32 Vorlagen kostet 599 USD, das mit 59 Vorlagen umfangreichere Premiumpaket kostet 949 USD.

Über Rückmeldungen und Erfahrungen von Anwendern würde ich mich sehr freuen.

PAS 200 und Business Continuity Management

Mit der Veröffentlichung des PAS 200 ist das BSi daran gegangen, einen blinden Fleck in der Notfallvorsorgeplanung auszuleuchten. Matthias Hämmerle hat PAS 200 in bcm news vom 04.10.2011  bereits kurz vorgestellt und dabei zurecht auf seine große Flughöhe hingewiesen. Er richtet sich in erster Linie an das Top Management und erst an zweiter Stelle an diejenigen Mitarbeiter, die mit der Einführung, der Pflege und dem Testen der Krisenmanagement Verfahren betraut sind. Weiterlesen…

ISO 22301 geht in die finale Phase

Gemäß ContinuityCentral sind die Unstimmigkeiten zum neuen BCM Standard ISO 22301 ausgeräumt und der Standard kann in die letztmalige zweimonatige Konsultationsphase gehen. Diese soll im Januar 2012 starten und dauert zwei Monate. Mit der Veröffentlichung des neuen Standards ist Mitte 2012 zu rechnen. Welche Unstimmigkeiten die Verzögerung verursacht hat, ist nicht bekannt. Zur Frage, wie es mit BS 25999-1 und -2 weitergeht, gibt es hier weitergehende Informationen.

F24 AG ist nach BS25999 und ISO 27001 zertifiziert

Der namhafte Anbieter von Alarmierungssystemen F24 AG aus München hat sein integriertes Managementsystem nach den beiden Standards BS 25999-2 (BCM) und ISO/IEC 27001:2005 (Informationssicherheit) zertifizieren lassen.

“Die Zertifizierung beweist die Qualität unserer Dienstleistung. Mit dem integrierten Ansatz beider Managementsysteme besitzen wir nun die Basis für ein durchgängiges Business Continuity Management in unserem Konzern. Wir sind auf kritische Situationen sehr gut vorbereitet und können im Ernstfall sofort reagieren. Die Sicherheit von Daten und Informationen bleibt gewährleistet.” so Knut Rollig, Leiter IT und BCM Manager der F24 Gruppe.

Das BSI bestätigt mit der erfolgreichen Zertifizierung offiziell: Bei F24 existiert für den gesamten Konzern mit allen Auslandstöchtern für kritische Geschäftsprozesse ein integriertes Managementsystem gemäß den internationalen Standards ISO 27001 und BS-25999.

Das Public Document PD 25111 “Guidance on human aspects of business continuity”

BSi ergänzt sukzessive den Standard BS 25999 um sogenannte Public Documents (PD), die Themen aus dem Standard vertiefen oder, wie in diesem Falle, erweiternde Thematiken beleuchten.

Human aspects sind ein wichtiges und weites Feld im BCM. Oftmals wird der Schwerpunkt im BCM sehr stark auf technologische und organisatorische Aspekte gelegt. Die Wurzeln im IT Disaster Recovery haben halt manche Stämme etwas dicker ausprägen lassen als andere. Auf der anderen Seite gibt es aus der Psychologie und dem Krisen- und Katastrophenmanagement einige Disziplinen, die sich schwerpunktmäßig mit den humanen Aspekten eines BCM-Ereignisses beschäftigen. Höchste Zeit also, die Methoden und Verfahren des BCM, des Krisen- und Katastrophenmanagements und der Psychologie zusammenzubringen.

Unter human aspects of business continuity versteht das PD “elements associated with the management of people involved in, or affected by, a disruptive event in order to minimize trauma and maximize productivity and recovery, and achieve the objectives of business continuity”.

Das Dokument empfiehlt die ökonomisch ausgerichtete BIA durch eine “human impact analysis” zu ergänzen, um auch die Auswirkungen von BCM-Ereignissen auf die Menschen zu betrachten. Diese möglichen Auswirkungen werden in einem Anhang zum Dokument aufgelistet und reichen von Stress, weil Termine nicht gehalten werden können, bis zu Ängsten wegen des Verlusts persönlichen Eigentums, Gehaltseinbußen oder gar des Arbeitsplatzes.

Das Dokument unterscheidet hierbei drei Kernelemente, die berücksichtigt werden müssen:

  • Well-being of staff
  • Communications
  • Mobilization of support services.

Diese drei Kernelemente werden im Dokument über die drei Phasen

  • Immediate effects of the incident
  • During continuity phase
  • After recovery

betrachtet. Die Kombination dieser Dimensionen ergibt eine sehr hilfreiche Struktur, um die jeweils notwendigen Aspekte in den einzelnen Phasen berücksichtigen zu können.

In der Phase “immediate response” werden im Kernelement “well-being of staff” die humanitären Aspekte für die Themen Evakuierung, Bezug von Ausweichlokationen oder Heimarbeitsplätzen sowie Umgang mit verletzten oder gar getöteten Mitarbeitern behandelt.

Das PD gibt sowohl mit der Phasenorientierung als auch der Betrachtung der unterschiedlichen Aspekte in den drei Phasen einen Rahmen für die strukturierte Berücksichtigung dieses weitreichenden Themenkomplexes im Business Continuity Management. Das PD ist daher eine sehr hilfreiche Erweiterung des bestehenden Standards, der diese Aspekte nicht angemessen berücksichtigt.

PD 25111 im Onlineshop des BSi

Interxion lässt Rechenzentrum in der Schweiz nach ISO 27001 und BS 25999 zertifizieren

Interxion hat sein Rechenzentrum in Glattbrugg in der Schweiz erweitert und technologisch modernisiert. Im Rechenzentrum werden den Kunden Rechenzentrumsflächen und Infrastruktur wie hochverfügbare Stromversorgung und Konnektivitätsoptionen zu verschiedenen Providern angeboten. Laut Bericht des swissitmagazine wurden die Räumlichkeiten und Infrastruktur nach ISO 27001 und BS 25999 zertifiziert.

BSi veröffentlicht PD 25111:2010 Guidance on human aspects of business continuity

Nach dem ersten Public Document zu Tests und Übungen (PD 25666:2010), als Ergänzung zum Standard BS 25999, hat British Standards jetzt das Public Document zu “human aspects of bc” PD 25111:2010 veröffentlicht.

Das Dokument behandelt die menschlichen / personellen Aspekte des Krisenmanagements. Während der Standard BS 25999 das Krisenmanagement weitgehend ausblendet, finden sich in dieser ergänzenden Dokumentation diese wichtigen Aspekte wieder. Oft wird BCM stark aus einer stark oder manchmal auschliesslich technologischen Brille betrachtet. Doch bei jedem Ereignis gibt es betroffene Menschen. Seien es verletzte Mitarbeiter, traumatisierte Kollegen oder besorgte Angehörige. Die Fürsorgepflicht eines Unternehmens muß auch diese Aspekte mit einschliessen und nicht nur die Beschaffung von Ausweicharbeitsplätzen zur Fortsetzung der Geschäftsprozesse. Die Aufnahme dieser Thematik, ich rede gerne vom “Care-Konzept”, in die Dokumentationen rund um den Standard ist aus meiner Sicht eine wichtiger Fingerzeig in die richtige Richtung, auch wenn ich den Inhalt des Dokuments noch nicht im Einzelnen kenne. BCM-News wird das Dokument vorstellen, sobald es vorliegt.

Hier die Inhaltsangabe aus der Veröffentlichung des BSi:

Contents:
Foreword
1 Scope
2 Terms and definitions
3 Overview of the human aspects of business continuity
4 Arrangements for coping with the immediate effects of the incident
5 Arrangements for managing people during the continuity phase
6 Support for staff after recovery
Annexes
Annex A (informative) Groups of people that might be affected by a disruptive incident
Annex B (informative) Examples of human impacts of the most frequent disruptions
Annex C (informative) Example trauma leaflet
Annex D (informative) Communicating with staff in a crisis
Annex E (informative) Other staffing issues policies that might need modification
Annex F (informative) Vulnerable people and behaviour
Annex G (informative) Example of anniversary communication
Annex H (informative) Signs of distress
Annex I (informative) Facts, feelings and the future
Bibliography
List of figures
Figure 1 – Areas of focus for staff support
List of tables
Table A.1 – Groups of people that might be affected by a disruptive incident
Table B.1 – Human impacts of disruptions

Umfrage zum Konzept des mtpd auf continuitycentral

Das Konzept des maximum tolerable period of disruption (mtpd) hält die BCM-Community in Atem. Trotz der Veröffentlichung einer Berichtigung und Detaillierung des BCM-Standards BS 25999 zum Konzept des MTPD im Juni 2009 (Bericht hierzu in den bcm-news) herrscht noch keine Einigkeit und Klarheit zur Verwendung des mtpd. Insbesondere in den amerikanischen und britischen BCM-Foren wird dieses Thema zur Zeit wieder heiß diskutiert. Besonders betroffen von dieser Unsicherheit sind die Unternehmen, die sich nach dem Standard BS 25999-2 zertifizieren lassen wollen.

Auf continuitycentral gibt es jetzt eine Umfrage zum Verständnis und Einsatz des mtpd. Ich bin gespannt auf die Ergebnisse der Umfrage.

Übersicht BS 25999-zertifizierter Unternehmen weltweit

Es wäre doch schön, eine Übersicht zu haben, welche Unternehmen bereits weltweit nach BS 25999-2 zertifiziert sind. Ich habe bislang keine derartige Übersicht finden können. Wir können dies aber bestimmt hier mit unserem gemeinsam Wissen zusammentragen.

Ich habe hierfür eine mindmap vorbereitet, die einfach ergänzt werden kann. Die mindmap ist nach Regionen gegliedert. in Klammer stehen nach dem Unternehmen jeweils das Jahr der Zertifizierung sowie der Sektor.

Ich bin gespannt, was wir zusammenbringen.