Managementsysteme in Krisenzeiten

usd AG Financial Sector & Compliance, News

ISMS und BCM – wo liegen Schwerpunkte, wo Synergien?

Gerade in diesen Zeiten liegt ein besonderes Augenmerk auf ihnen: den hoffentlich funktionierenden Managementsystemen. Eine Pandemie und hieraus resultierende Engpässe, auftretende Störfälle sowie die Notwendigkeit zur Aktivierung von Notfallplänen, sind ein echter Stresstest für Unternehmen. Häufig zeigen sich nun Lücken in den vorhandenen Organisationen auf, sodass dies für viele Unternehmen derzeit Anlass ist, sich Gedanken über Verbesserungen zu machen. Das Informationssicherheitsmanagement sowie das Business Continuity Management sind zunehmend relevante Themen. Die internationalen ISO-Normen geben dazu hilfreiche Vorgaben zur Realisierung und den fortlaufenden Betrieb der jeweiligen Managementsysteme. Nachfolgend geben wir Ihnen einen kurzen Überblick, wie sie zusammenhängen und wo sich Synergien in der Umsetzung realisieren lassen.

Welches Ziel verfolgt das Business Continuity Management?

Das primäre Ziel des Business Continuity Managements (BCM) ist die Aufrechterhaltung kritischer Geschäftsprozesse im Krisen- oder Notfall. Sowohl die Fortführung der Prozesse in einem Notbetrieb als auch der schnelle Wiederanlauf des normalen Geschäftsbetriebs bilden dabei das Fundament einer effektiven Notfallbewältigung. Ein ausgereiftes BCM wird jedoch nicht erst bei Eintreten eines Notfalls aktiv, sondern gewährleistet bereits proaktiv eine erhöhte Widerstandsfähigkeit gegen Ausfälle von Geschäftsprozessen.

Viele Unternehmen kennen diese Art der Vorbereitung aus dem Notfallmanagement der IT- und Informationssicherheit. Das BCM greift aber viel weiter: Bei der Betrachtung wird das ganze Unternehmen mit einbezogen. Kritische Prozesse können dabei von der IT des Unternehmens abhängig sein, notwendig ist dies jedoch nicht. Denn die kritischen Geschäftsprozesse eines Unternehmens hängen maßgeblich von seiner jeweiligen Branche und dem Geschäftsfeld ab. Bei einem Cloud-Dienstleister wird der Betrieb der Informationstechnik im Mittelpunkt stehen, bei einem Beratungshaus die fachlich kompetente Beratung ihrer Mitarbeiter und bei einem Autohersteller die Produktion hochwertiger Fahrzeuge. Das BCM umfasst zudem Szenarien wie den Ausfall von Gebäuden, Arbeitsplätzen oder Personal.

Wo liegt der Schwerpunkt eines Informationssicherheitsmanagementsystems?

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 hat den Zweck, die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen des jeweiligen Business der Organisation zu gewährleisten. Während das Business Continuity Management System nach ISO 22301 stets den potenziellen Not- bzw. Krisenfall in seinem Fokus hat, liegt der Fokus des ISMS nach ISO 27001 auf dem Daily Business. Die ISO 27001 lässt sich im Wesentlichen in einem allgemeinen Managementrahmen und einem speziellen Anhang mit konkreten Controls und Control Objectives darstellen. In der 22301 ist ein solcher Anhang nicht vorhanden.

Welche Gemeinsamkeiten haben die ISO-Standards 27001 und 22301?

Gut ist, dass die ISO-Normen das gleiche Grundprinzip für den Aufbau und den Betrieb der Managementsysteme heranziehen und jeweils dem Prinzip „PDCA“, also Plan-Do-Check-Act folgen. Auf Managementebene sind die beiden Standards daher sehr ähnlich aufgebaut und lassen sich auf Wunsch auch als integrierte Managementsysteme implementieren und gemeinsam auditieren.

Gleiche Bestandteile in der Struktur der Normen sind zum Beispiel:

  • Kontextdefinition (Scope, interessierte Parteien, rechtliche Anforderungen,…)
  • Führung (Verpflichtung, Politik, Rollen und Verantwortlichkeiten)
  • Planung (Umgang mit Chancen und Risiken, Ziele)
  • Unterstützung (Ressourcen, Kompetenzen, Awareness, Kommunikation,…)
  • Bewertung der Leistung (Monitoring / KPIs, Internes Audit, Management Review)
  • Verbesserung (Nichtkonformitäten und Korrekturmaßnahmen, kontinuierliche Verbesserung)

Im Detail sind die unterschiedlichen Perspektiven, Ausrichtungen und Geschäftstätigkeiten zu berücksichtigen. Inhaltliche Aspekte und Maßnahmen weichen daher jeweils ab, so spielen im BCM zum Beispiel Notfall-Übungen eine wesentliche Rolle.

Ist es empfehlenswert zu einem bestehenden BCM nach ISO 22301 auch ein ISMS nach ISO 27001 aufzusetzen?

Für Unternehmen, deren Businesszweck hohe Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität ihrer den Prozessen zugrundeliegenden Informationen hat, ist ein ISMS sicherlich empfehlenswert. Information security continuity ist zudem ein Teil des Business Continuity Managements. Zu Beginn steht also die Frage nach dem Zweck der Organisation und dem Schutzbedarf der Informationen in diesem Kontext.

Kann ein ISMS nach ISO 27001 die Basis einer BCM-Implementierung sein?

Ein ISMS nach ISO 27001 bezieht sich ausschließlich auf Informationssicherheitsrisiken, ein BCM dagegen auf alle geschäftlichen Risiken (z.B. Ausfall von Personal, Gebäuden, Arbeitsplätzen). Wie gut ein BCM auf ein bestehendes ISMS aufgebaut werden kann, ist daher stark von den Geschäftsprozessen des Unternehmens abhängig.

Das BCM eines Unternehmens mit hauptsächlich IT-bezogenen Geschäftsprozessen kann gut auf einem ISMS aufbauen. Hier kann auf das bestehende Managementsystem zurückgegriffen werden und ein integriertes Managementsystem aus ISO 27001 und ISO 22301 entwickelt werden. In Abhängigkeit von der Branche kann der Betrachtungshorizont eines ISMS und eines BCM jedoch auch sehr weit auseinanderliegen. Im produzierenden Gewerbe beispielsweise sind die Risiken im BCM wesentlich weitläufiger als im ISMS. Hier müssten alle Risiken betrachtet und analysiert werden, welche die kritischen Geschäftsprozesse (die Produktion eines Produktes) betreffen. Diese können in Teilen Bestandteil eines ISMS sein (z.B. Sicherstellung der Integrität von digitalen Produktionsdaten) aber auch außerhalb dieser Betrachtung liegen (z.B. Sicherstellung der Materialien und Ressourcen, mechanische Risiken, Personalausfall, Lieferschwierigkeiten, Ausfall von technischen Geräten, Ausfall von Standorten). Grundsätzliche Managementprozesse, wie beispielsweise Monitoring, Protokollierung, Kommunikationsstrukturen und Dokumentationen können jedoch in den meisten denkbaren Szenarien gemeinsam genutzt werden.


Sie haben Fragen oder benötigen Unterstützung im Bereich ISMS? Sprechen Sie uns gerne an.