Krisenfest durch

Business Continuity Management nach ISO 22301

Klaus Weitmann, Auditor, Quality Austria und CIS

Die größten globalen Geschäftsrisiken 2016

Allianz Global Risk Barometer 2016, Allianz Global Corporate & Specialty, Photo: Wutthichai / Shutterstock.com

2. Marktentwicklungen 3. Cybervorfälle

Business Continuity Management System ― Anforderungen

• ISO 22301:2012

– zertifizierbar • Aufrechterhaltung der

Betriebsfähigkeit • Zwischenfälle mit

Betriebsunterbrechung

Struktur der ISO 22301

Einleitung 1) Anwendungsbereich 2) Normative

Verweisungen 3) Begriffe 4) Kontext der

Organisation 5) Führung

6) Planung 7) Unterstützung 8) Betrieb 9) Leistungsüberprüfung 10) Verbesserung

• Umsetzen • Betreiben

• Überwachen • Überprüfen

• Einführen • Aufrecht-erhalten

• Verbessern

Handeln (Act)

Planen

Durch-führen

Prüfen (Check)

Business Continuity Management

ganzheitlicher Managementprozess • ermittelt potenzielle Bedrohungen für

Organisationen • deren Auswirkungen auf die Geschäftsabläufe • baut ein Gerüst zum Aufbau der Belastbarkeit

und Fähigkeit zur effektiven Reaktion auf • schützt Interessen ihrer zentralen

Interessensgruppen (Ansehen, Marke, wertschöpfende Tätigkeiten)

vgl. ÖNORM EN ISO 22301:2015, Abschnitt 3.4

4. Kontext der Organisation (1)

Sachverhalte • intern & extern • Strategien & Ziele

– Risiko relevant?

Stakeholder • Anforderungen • Speziell: §

Organi-sation

Eigen-tümer

Kunde

Lieferant

Gesetz-geber

Behörden

Öffentlich-keit

Medien

…

4. Kontext der Organisation (2)

• Festlegung des Anwendungsbereichs des BCMS • Business Continuity Management System

– einführen – umsetzen – aufrechterhalten – ständig verbessern

Prozesse Wechsel-

wirkungen

Führung (5)

Vorbild

Leitlinien

BCMS integrie-

ren

Ressour-cen

Kommuni-zieren

Personen anleiten

Ergebnis, Verbes-serung

6. Planung

• Maßnahmen zum Umgang mit Risiken und Möglichkeiten – Risiken und Möglichkeiten ermitteln - Maßnahmen – tlw. Überschneidung mit 8.2.3

• Zielsetzungen zur Aufrechterhaltung der Betriebsfähigkeit und Pläne zur Zielerreichung – minimale akzeptable Niveaustufe der Produkte und

Dienstleistungen – abgestimmt mit Leitlinien und Anforderungen – messbar, überwacht, aktuell

7. Unterstützung

notwendige Ressourcen bestimmen & bereitstellen • Kompetenz

• Bewusstseinsbildung

• Kommunikation

• Dokumentierte Information

8. Betrieb (1)

• Ablaufplanung und Kontrolle • Business Impact Analyse und

Risikobewertung – Allgemeines – Business Impact Analyse – Risikobewertung – …

Business Impact Analyse

Prozess < 1h <8h <24h <3d <7d <14d

Finanzieller Schaden

1. Verkauf keine gering mittel mittel hoch hoch

1.1 Außend. keine keine mittel mittel mittel hoch

1.2 Webshop keine gering gering mittel hoch hoch

2. Prozess keine keine hoch hoch hoch hoch

2.1 Subprozess keine keine gering gering mittel mittel

2.2 Subprozess keine keine hoch hoch hoch hoch

Risikobewertung

ONR 49001:2014

8. Betrieb (2)

• Strategie zur Aufrechterhaltung der Betriebsfähigkeit – Festlegung und Auswahl – Ressourcenbedarf – Schutz und Schadensminderung – …

Strategien zur Aufrechterhaltung

bsi.bund.de

8. Betrieb (3)

• Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit – Struktur zur Reaktion auf einen

Zwischenfall – Warnung und Kommunikation – Pläne zur Aufrechterhaltung der

Betriebsfähigkeit – Wiederherstellung

Übungen und Überprüfungen

Übungsprogramm

Planung

Vorbereitung

Durchführung

Nachbereitung

9. Leistungsüberprüfung

• Überwachung, Messung, Analyse und Bewertung – Allgemeines – Bewertung der Verfahren zur Aufrechterhaltung der

Betriebsfähigkeit • Internes Audit • Managementüberprüfung

10. Verbesserung

• Abweichungen und Korrekturmaßnahmen • Ständige Verbesserung

• Leadauditor und Trainer als Netzwerkpartner bei qualityaustria – ISO 9001, ISO 14001,OHSAS 18001, SCC, ONR 49000, …

• Manager integrierter Systeme • Risikomanager • Business Continuity Manager • Sicherheitsfachkraft • Brandschutz- /Abfallbeauftragter

Klaus Weitmann Managementsysteme e. U. Ing. Klaus Weitmann Hof 8, 4671 Neukirchen bei Lambach +43 (0) 664 54 56 948, klaus.weitmann@kwms.eu

"Es kommt nicht darauf an, die Zukunft vorauszusehen, sondern auf die Zukunft

vorbereitet zu sein.„

Perikles, griech. Staatsmann, 493-429 v. Chr.