Links überspringen

ISO 22301 – Business Continuity Management

Business Continuity Management-System / BCMS

Business Continuity Management erhöht die Überlebensfähigkeit von Unternehmen nach Notfällen erheblich.

Die jüngste Vergangenheit hat gezeigt, dass die nächste Krise nicht weit ist. Aber auch lokale Notfälle in Unternehmen oder Organisationen können erhebliche Auswirkungen auf den Geschäftsbetrieb haben. Ein effektives Business Continuity Management System (BCMS) sichert das Überleben des Unternehmens oder der Organisation.

Die internationale Norm ISO 22301 bietet einen Rahmen für die Einführung, den Betrieb und die kontinuierliche Verbesserung eines BCMS. Unternehmen können sich nach dieser Norm zertifizieren lassen.

ISO 22301 / Business Continuity Management (BCM) in Zahlen *
01
89,5 %
der Unternehmen halten Cyberattacken für das wahrscheinlichste Ausfallszenario
47,4 %
der Unternehmen haben im Jahr 2022 mehr als einmal einen BCM Plan aktiviert
84,2 %
der Unternehmen mit einem BCM orientieren sich bei der Umsetzung an der ISO 22301

Technisch &
organisatorisch

Wir stellen für Sie ein Umsetzungsteam mit den Expert:innen zusammen, die Sie benötigen. Dies beinhaltet eine Beratung von der Planung über die konkrete Umsetzung bis hin zur Begleitung der Zertifizierung.

Zertifizierte
Berater:inneninnen

Wir setzen ausschließlich zertifizierte Mitarbeiter:innen mit entsprechender Erfahrung ein. Unsere Expert:innen verfügen über eine nachgewiesene Implementor oder Auditor Zertifizierung nach ISO 22301.

Praxisorientierte
Notfallpläne & Übungen

Wir setzten in unseren Projekten nicht nur die ISO 22301 um, sondern entwickeln für Ihr Unternehmen oder Ihre Organisation praxisorientierte Notfallpläne. Natürlich Begleiten wir auch die Durchführung von Notfallübungen.

Effiziente
Durchführung

Durch unsere jahrelange Erfahrung sind wir in der Lage kleine und große Projekte sehr effizient und in kurzer Zeit durchzuführen. Unsere Beratung zum Business Continuity Management zeichnet sich durch einen hohen Praxisbezug aus und basiert auf Best-Practices.

ISO 22031 - Business Continuity Management Beratung
02

Welches Ausfallszenario halten Unternehmen am wahrscheinlichsten?

Im jährlichen BCM Barometer werden Unternehmen und Organisationen zum Thema BCM befragt. Das Ergebnis bzgl. der Frage nach den wahrscheinlichsten Ausfallszenarien und Bedrohungen ist eindeutig. Bei der Beantwortung der Fragen waren Mehrfachnennungen möglich.

What we do

BCM, dass wirkt

Die wichtigste Frage bei einem Business Continuity Management System ist die nach der Wirksamkeit. Dabei ist es egal welcher Standard als Grundlage zum Umsetzung herangezogen wird.

Neben der ISO 22301 stehen Unternehmen und Organisationen noch weitere Standards wie der BSI Standard 200-4 zur Verfügung. Dieser ist kompatibel zur ISO 22301 und eignet sich insbesondere für Unternehmen und Organisationen die den IT-Grundschutz bereits umsetzen.

Wir stellen sicher, dass das Managementsystem, die Prozesse und Notfall- und Krisenpläne im Bedarfsfall nicht nur vorhanden sind, sondern auch wirksam.

Der erste Schritt beim Aufbau eines BCMS ist die Identifikation der relevanten Prozesse. Es ist selten sinnvoll alle Prozesse im Rahmen des Business Continuity Systems zu betrachten. Vielmehr bedarf es einer Identifikation der wirklich wichtigen Prozesse für das Unternehmen oder die Organisation.

Einer der zentralen Elemente in einem Business Continuity Management System ist die Durchführung von Business Impact Analysen. Dabei wird der mögliche Schaden im zeitlichen Verlauf bewertet. Aus dieser Bewertung lassen sich Kennzahlen wie die maximal tolerierbare Ausfallzeit errechnen. Wir unterstützen Sie mit unserem Wissen bei der Bewertung Ihrer Prozesse.

Wie auch in der Informationssicherheit ist die Bewertung von Risiken ein wesentliches Element in der BCM Strategie. Dabei sollten einheitliche Prozesse zum Risikomanagement verwendet werden. Bei diesem Schritt ergeben sich große Synergien zur Informationssicherheit oder dem unternehmensweiten Risikomanagement.

Bei der Auswahl von Maßnahmen achten wir darauf, dass diese die gewünschten Ziele erreichen aber dennoch wirtschaftlich umzusetzen sind. Maßnahmen können organisatorisch oder technisch umgesetzt werden.

Die Durchführung von Notfallübungen ist eine der wichtigsten und effektivsten Maßnahmen beim Business Continuity. Die Übungen sorgen nicht nur dafür, dass das Unternehmen oder die Organisation angemessen auf Situationen reagiert, sondern sie sind auch eine Möglichkeit die Wirksamkeit der Pläne zu überprüfen und anzupassen.

Wir erstellen individuelle Übungsszenarien und werten diese für Sie aus.

Wenn Sie die Umsetzung eines Business Continuity Management Systems nach der ISO 22301 gegenüber Kunden und Partner nachweisen möchten, unterstützen wir Sie bei der Durchführung der Zertifizierung. Wir begleiten Sie bereits bei der Auswahl der geeigneten Zertifizierungsstelle und der gesamten Beantragung und Vorbereitung der Zertifizierung.

Auch bei einem Notfall

Unsere Expertise steht Ihnen nicht nur in der Einführung und dem Betrieb des Managementsystems zur Verfügung, sondern auch wenn es zu einem Notfall kommt. Wir unterstützen Sie aktiv in Ihrer Notfallorganisation und stellen Ihnen die passende Unterstützung zur Seite.

  • Juristische Unterstützung bei Datenschutzvorfällen
  • Analyse von Angriffsvektoren durch Penetrationstester
  • Forensische Analysen durch externe Partner
Wichtige Fragen
03

und noch wichtigere Antworten

Wir haben typische Fragen, die uns im Rahmen der BCM Beratung erreichen, zusammengestellt und hier beantwortet.

Ja, eine ISO 22301 Zertifizierung kann unabhängig von einer ISO 27001 Zertifizierung beantragt werden. Die ISO 22301 bezieht sich auf das Business Continuity Management und stellt sicher, dass kritische Geschäftsprozesse auch in Notfällen fortgeführt werden können, während die ISO 27001 sich auf das Informationssicherheitsmanagementsystem konzentriert. Beide Normen können unabhängig voneinander implementiert und zertifiziert werden, um den spezifischen Anforderungen eines Unternehmens oder einer Organisation gerecht zu werden. Es ist jedoch zu beachten, dass beide Normen sich ergänzen können und große Synergien entstehen.

Ja, für die Erfüllung der KRITIS-Anforderungen ist ein Business Continuity Management (BCM) erforderlich. Die KRITIS-Anforderungen beinhalten die Aufrechterhaltung der organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme.

Allerdings wird keine Zertifizierung nach der Norm ISO 22031 vorgeschrieben. Die Anforderungen können also auch durch andere Normen oder durch Einzelnachweise erbracht werden.

Nein, ein Unternehmen oder eine Organisation kann sich nicht nach dem BSI-Standard 200-4 zertifizieren lassen. Der BSI-Standard 200-4 („Notfallmanagement“) ist Teil der BSI-Standards, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgibt und bietet Leitlinien und Empfehlungen für den Aufbau und die Aufrechterhaltung eines Notfallmanagements. Diese Standards dienen als Grundlage für die Erstellung und Implementierung eines Managementsystems für Informationssicherheit (ISMS) und ergänzen die ISO/IEC 27001-Norm.

Der BSI-Standard 200-4 kann jedoch als Hilfsmittel verwendet werden, um die Anforderungen der ISO/IEC 27001 und der ISO 22301 in Bezug auf Notfallmanagement zu erfüllen und zu dokumentieren.

Nein, es ist keine zwingende Anforderung der ISO 22301, dass alle Systeme redundant aufgebaut sein müssen, um eine Zertifizierung zu erhalten.

Die ISO 22301 schreibt nicht explizit vor, dass Redundanz für alle Systeme vorhanden sein muss. Stattdessen verlangt der Standard, dass die Organisation Strategien, Prozesse und Ressourcen implementiert, um die Kontinuität der priorisierten Aktivitäten bei einer Störung aufrechtzuerhalten.

Redundanz kann eine mögliche Maßnahme sein, um die Ausfallsicherheit kritischer Systeme zu erhöhen. Ob und in welchem Umfang Redundanzen erforderlich sind, hängt von der Risikoanalyse und den Kontinuitätsanforderungen der jeweiligen Aktivitäten ab.

Die Entscheidung für oder gegen redundante Systeme basiert auf einer Abwägung der Risiken, Kosten und des erforderlichen Kontinuitätslevels. Für weniger kritische Systeme können auch andere Maßnahmen wie Backups, Workarounds oder Ausweichlösungen akzeptabel sein.

Die Kernforderung der ISO 22301 ist, dass die Organisation ihre kritischen Produkte und Dienstleistungen im Notfall in angemessener Zeit wiederherstellen kann - wie dies im Einzelnen erreicht wird, bleibt der Organisation überlassen.

Sie möchten mehr Informationen oder haben

WEITERE Fragen?

Nutzen Sie unsere kostenlose Hotline,

oder senden Sie uns einfach eine E-Mail.

Fachartikel Informationssicherheit
04

Bleiben Sie mit unseren Fachartikel zum Thema Informationssicherheit auf dem Laufenden.

Sprechen Sie uns an.