Das Public Document PD 25111 “Guidance on human aspects of business continuity”

Abgelegt in: Antworten

BSi ergänzt sukzessive den Standard BS 25999 um sogenannte Public Documents (PD), die Themen aus dem Standard vertiefen oder, wie in diesem Falle, erweiternde Thematiken beleuchten.

Human aspects sind ein wichtiges und weites Feld im BCM. Oftmals wird der Schwerpunkt im BCM sehr stark auf technologische und organisatorische Aspekte gelegt. Die Wurzeln im IT Disaster Recovery haben halt manche Stämme etwas dicker ausprägen lassen als andere. Auf der anderen Seite gibt es aus der Psychologie und dem Krisen- und Katastrophenmanagement einige Disziplinen, die sich schwerpunktmäßig mit den humanen Aspekten eines BCM-Ereignisses beschäftigen. Höchste Zeit also, die Methoden und Verfahren des BCM, des Krisen- und Katastrophenmanagements und der Psychologie zusammenzubringen.

Unter human aspects of business continuity versteht das PD “elements associated with the management of people involved in, or affected by, a disruptive event in order to minimize trauma and maximize productivity and recovery, and achieve the objectives of business continuity”.

Das Dokument empfiehlt die ökonomisch ausgerichtete BIA durch eine “human impact analysis” zu ergänzen, um auch die Auswirkungen von BCM-Ereignissen auf die Menschen zu betrachten. Diese möglichen Auswirkungen werden in einem Anhang zum Dokument aufgelistet und reichen von Stress, weil Termine nicht gehalten werden können, bis zu Ängsten wegen des Verlusts persönlichen Eigentums, Gehaltseinbußen oder gar des Arbeitsplatzes.

Das Dokument unterscheidet hierbei drei Kernelemente, die berücksichtigt werden müssen:

  • Well-being of staff
  • Communications
  • Mobilization of support services.

Diese drei Kernelemente werden im Dokument über die drei Phasen

  • Immediate effects of the incident
  • During continuity phase
  • After recovery

betrachtet. Die Kombination dieser Dimensionen ergibt eine sehr hilfreiche Struktur, um die jeweils notwendigen Aspekte in den einzelnen Phasen berücksichtigen zu können.

In der Phase “immediate response” werden im Kernelement “well-being of staff” die humanitären Aspekte für die Themen Evakuierung, Bezug von Ausweichlokationen oder Heimarbeitsplätzen sowie Umgang mit verletzten oder gar getöteten Mitarbeitern behandelt.

Das PD gibt sowohl mit der Phasenorientierung als auch der Betrachtung der unterschiedlichen Aspekte in den drei Phasen einen Rahmen für die strukturierte Berücksichtigung dieses weitreichenden Themenkomplexes im Business Continuity Management. Das PD ist daher eine sehr hilfreiche Erweiterung des bestehenden Standards, der diese Aspekte nicht angemessen berücksichtigt.

PD 25111 im Onlineshop des BSi

Neuer Standard für das Krisenmanagement PAS 200 des BSI

Abgelegt in: Antworten

Das britische BSI bereitet derzeit einen neuen Standard für das Krisenmanagement vor. Krisenmanagement ist ein wichtiger Part im BCM, wird aber durch die bestehenden Standards BS 25999-1, -2 nicht adressiert. Der neue PAS 200 (Publicly Available Specification) wird diese Lücke gegen Ende diesen Jahres schliessen:

Crises present organizations with complex and difficult challenges that may have profound and far-reaching consequences, sometimes irrespective of how successfully they are seen to be managed.  These consequences can be very damaging if it is perceived that the organization has failed to prepare for, manage or recover from a crisis – to the extent that there is a risk of significant damage to reputation and possibly a total collapse of the business and its operations. This suggests that directors should give careful consideration to their organization’s resilience and its ability to deal with crises. This PAS provides a summary of good practice in crisis management, and has been written specifically for those with strategic responsibilities in organizations. (BSI)

Um über das Erscheinen des PAS 200 infomiert zu werden, kann man sich hier in die Mailingliste beim BSI eintragen.

BSI veröffentlicht PD 25666:2010 Business continuity management – Guidance on exercising and testing for continuity and contingency programmes

Abgelegt in: 2 Antworten

BSi hat das PD (Published Document) PD 25666:2010 zu Tests und Übungen für das BCM am 31.07.2010 veröffentlicht. Das Dokument ist formal kein Standard, sondern eine Empfehlung und wurde vom Technical Committee BCM/1 erarbeitet. Das 20-seitige Dokument definiert im Teil “Terms and definitions” zunächst wichtige Begrifflichkeiten, Rollen sowie Übungs- und Testtypen.

Bei den Übungsformen wird unterschieden zwischen

  • drill
  • exercise
  • live play
  • seminar exercise
  • simulation
  • table-top exercise.

Nachfolgend werden die Übungs- und Testphasen mit den wichtigsten Inhalten und Ergebnissen beschrieben:

  • Proramme management
  • Planning an exercise as a project
  • Exercises
  • Exercise preparation
  • Conducting an erxercise
  • Post-exercise/real incident and disruptive events activities.

In der Anlage werden die Rollen der Übungsteilnehmer beschrieben.

Das Dokument kann beim BSi online als Download-Version oder Paperback zum Preis von 95 GBP erworben werden.

Das Dokument beschreibt wichtige Grundlagen des Test- und Übungsmanagement für das Business Continuity Management, indem Begrifflichkeiten, Rollen und Prozesse definiert und beschrieben werden und ergänzt hierdurch den BCM Standard BS 25999-1, -2. Wer jedoch praktische Unterstützung für die Durchführung von Tests und Übungen durch Templates und konkrete Good Practices sucht, wird durch dieses Dokument nicht bedient werden. Denn es orientiert sich von Aufbau und Inhalt an den Standards. Hier ist dann spezielle Literatur (siehe BCM-Shop in den bcm-news) und natürlich der Erfahrungsaustausch mit Kollegen gefragt.

bcaw Tag 3 (Mittwoch): Internationale Version 2010 des Good Practice Guide des bci

Abgelegt in: Antworten

Das bci hat die Good Practice Guidelines 2010 “Global Edition” veröffentlicht.

Hier die Änderungen (Originaltext des bci):

What has changed from the earlier version?

The main components remain the same but there have been some refinement of language and more emphasis on global trends and issues. There are no longer any cross references to BS25999 and no implied direct correlation between GPG 2010 and BS25999, other than at the highest level expressed by the Lifecyclemodel.

The Good Practice Guidelines 2010 still covers the six phases of the BCM Lifecycle but now links them more directly to what are now defined as Professional Practices (PP). The 6 PPs are sub-divided into 2 Management Practices and 4 Technical Practices.

Management Practices:

  • Programme Management
  • Embedding BCM in the Organization’s Culture

Technical Practices:

  • Understanding the Organization
  • Determining BCM Strategy
  • Developing and Implementing a BCM response
  • Exercising, Maintaining and Reviewing

A printed book of the GPG 2010 will be available to purchase from summer 2010. A discount will be available for BCI members.

Neue BCM-Standards in den USA

Abgelegt in: Antworten

Es gibt aktuelle neue Entwicklungen bei den BCM-Standards in den USA. Auf der einen Seite erfährt der amerikanische BCM Standard der National Fire Protection Association NFPA 1600 eine grundlegende Überarbeitung. Das Technical Committee des NFPA arbeitet derzeit an der NFPA 1600 2010 Edition, die im April 2010 veröffentlicht werden soll.

Überarbeitet werden insbesondere die Inhalte des Standards zum Programm-Management, zur Business Impact Analyse und zur BC Planung. Detailliertere Informationen zur Überarbeitung des Standards gibt es in diesem Podcast. Umfangreiche weiterführende Informationen und Links zum BCM-Standard NFPA 1600 und dessen Weiterentwicklung gibt es auf diesen Seiten.

Auf der anderen Seite haben ASIS International (ASIS) und das britische BSI gerade die gemeinsame Entwicklung eines neuen amerikanischen BCM-Standards auf Basis des BS 25999 angekündigt. Dieser neue Standard soll ebenfalls eine nationale und internationale Zertifizierung des BCM-Systems erlauben. ASIS wird ein Technical Committee einrichten, das die Entwicklung des neuen Standards betreibt, gemeinsam mit Vertretern des BSI und der Industrie. Erst im April diesen Jahres hatte ASIS den eigenen BCM Standard “ASIS Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use American National Standard” veröffentlicht. bcm-news hatte hierüber ausführlich berichtet.

Der Wettlauf um die vorderen Plätze bei der Entwicklung eines ISO-Standards für Business Continuity scheint entbrannt zu sein. Auch ist die BCM-Zertifizierung ein international wachsender und lukrativer Markt. Dies gilt im Moment insbesondere für den angelsächsischen und asiatischen Raum. In Deutschland stehen wir bei dieser Entwicklung derzeit eher am Seitenrand und schauen zu. Meine persönliche Erwartung ist jedoch, dass mittelfristig insbesondere die Service Provider unter zunehmenden Druck kommen, einen objektiven Nachweis für ihr Business Continuity Management System, vergleichbar mit dem Qualitäts- und Sicherheitsmanagementsystem, zu erbringen. Die Zertifizierung des BCM ist dann natürlich das Mittel der Wahl für diesen Nachweis.

Zu diesem Thema verweise ich auch gerne auf den Kommentar von Uwe Naujoks, unserem international erfahrenen Zertifizierungs-Experten, auf meinen letzten Artikel zu BCM-Standards in den bcm-news.

Übersicht der nationalen und internationalen BCM und ITSCM-Standards

Abgelegt in: Standards Antworten

Es wäre schön, eine gesammelte Übersicht der nationalen und internationalen BCM- und ITSCM-Standards zu haben.

Gemeinschaftlich ist diese Aufgabe viel einfacher zu bewältigen, habe ich mir gedacht. Ich habe hierzu mal wieder eine Mindmap angelegt mit einer Grundstruktur, die ich aber gerne zur Diskussion stelle.

Zur Mitarbeit an der Mindmap ist eine kostenlose Registrierung bei mindmeister beim Aufruf der Mindmap erforderlich.

Fröhliches mindmappen!

Berichtigung zum BCM Standard BS 25999 veröffentlicht

Abgelegt in: 2 Antworten

Auf continuitycentral wurde eine Berichtigung (“corrigendum for BS 25999”) zum BCM Standard BS 25999 veröffentlicht. Diese Berichtigung betrifft die Definitionen der Begriffe MTPoD (Maximum Tolerable Period of Disruption) und RTO (Recovery Time Objective). Die Berichtigungen wurden am 9. Juni durch das BSI BCM/1 Standard-Entwicklungs-Kommittee genehmigt. Weiterlesen…

Australien und Neuseeland bringen neuen BCM Standard auf den Weg

Abgelegt in: Antworten

Australien und Neuseeland haben einen neuen dreiteiligen BCM-Standard auf den Weg gebracht. Die Kommentierungsphase ist Ende April geschlossen worden.

Die drei Teile des neuen BCM-Standards:

Australian and New Zealand Standards for business continuity management Part 1:
Business continuity management system specification.
Draft No: 09013
Committee: OB-007
Project Manager: Susan Bostan
Email address: susan.bostan@standards.org.au
Date that comment closes: 29 April 2009

Australian and New Zealand Standards for business continuity management Part 2:
Business continuity management practice standard.
Draft No: 09014
Committee: OB-007
Project Manager: Susan Bostan
Email address: susan.bostan@standards.org.au
Date that comment closes: 29 April 2009

Australian and New Zealand Standards for business continuity management Part 3:
Business continuity management audit and assurance standard.
Draft No: 09015
Committee: OB-007
Project Manager: Susan Bostan
Email address: susan.bostan@standards.org.au
Date that comment closes: 29 April 2009

US-Standard für Organizational Resilience veröffentlicht

Abgelegt in: 1 Antwort

ASIS International, die Non-profit-Organisation für Security hat den amerikanischen Standard für Organizational Resilience veröffentlicht. “ASIS Organizational Resilience: Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use American National Standard”, so der offizielle Langtitel. Weiterlesen…