ISO/TS 22317:2021 – Ein Standard für Business Impact Analyse

Die Maßnahmen nach Katastrophen und schweren Beeinträchtigungen eines Unternehmens können und müssen geplant werden. So entsteht Business Continuity – also ein unterbrechungsfreier Geschäftsbetrieb, der in den meisten Fällen von einem unterbrechungsfreien IT-Betrieb abhängig ist. Eine der wichtigen Maßnahmen beim Planen für die organisatorische und die technische Wiederherstellung ist die Analyse der Auswirkungen von Störungen auf den Betrieb.

Bei einer Business Impact Analysis (BIA) werden Geschäftsprozesse und -aktivitäten identifiziert und analysiert, und es werden die Auswirkungen der Störungen auf eine Organisation bestimmt.

Der BIA-Prozess hat mit der „ISO/TS 22317:2021 Sicherheit und Widerstandsfähigkeit – Business Continuity Management Systems – Guidelines for Business Impact Analysis“ durch die ISO einen wichtigen Unterbau erhalten.

Wie passt eine Norm in den BIA-Prozess?

Die ISO/TS 22317:2021 beschreibt die Planung und Durchführung einer BIA. Die Inhalte der Norm können auch bei der Überprüfung der Ergebnisse helfen. Die Norm enthält zwar keine Vorlagen oder Hilfsmittel, wenn man sich jedoch an der Gliederung und den empfohlenen Maßnahmen der Norm orientiert, kann man sich relativ sicher sein, dass der Betrieb die richtigen Probleme korrekt angeht.

BIAs werden traditionell mit hauseigenen Ansätzen und Formularen erarbeitet. Oft werden BIAs von den Mitarbeitern gemeinsam mit externen Beratern durchgeführt.

Zu den üblichen Werkzeugen gehören MS Word und MS Excel, wobei zum Beispiel das Projektmanagement von MS Project unterstützt wird. Fortgeschrittene Berater setzen auch Tools zur Geschäftsprozessanalyse ein. Es gibt auch Softwarelösungen für die Entwicklung von BC/DR-Plänen, die BIA-Module umfassen.

Zusammen mit der Risikoanalyse liefert die BIA wesentliche betriebswirtschaftliche, kaufmännische, wettbewerbsrelevante und die Reputation betreffende Informationen. Die kritischsten Prozesse, Mitarbeiter, Einrichtungen und Technologien werden identifiziert. So zeigen sich auch die zu befürchtenden Folgen, falls ein Ereignis den Betrieb derartig beschädigt, dass eine kurzfristige Reparatur nicht mehr möglich ist. Darüber hinaus werden in den BIA-Ergebnissen kritische Zeitrahmen in Form von zwei zentralen Kennzahlen ermittelt: Ziel für die Wiederherstellungszeit (RTO) und Ziel für den Wiederherstellungspunkt (RPO).

Auch bei Audits kann die ISO/TS 22317:2021 eine wichtige Grundlage für die Entwicklung einer BIA sein, da der Nachweis der Einhaltung der Norm eine wichtige Erkenntnis für die Auditoren darstellt.

Wie die ISO/TS 22317:2021 aufgebaut ist

Im Folgenden haben wir die wichtigsten Teile des Inhaltsverzeichnisses der Norm mit Erläuterungen zu den einzelnen Bestandteilen versehen. Die komplette Norm kann auf den ISO-Webseiten eingesehen werden.

4. Voraussetzungen. Stellt die Struktur der Norm vor und beschreibt allgemeine Ansätze.

4.2. Kontext und Umfang. Beschreibt, was bei hinsichtlich des Umfangs eines BIA-Projekts und im Kontext mit der Analyse zu berücksichtigen ist.

4.3. Rollen und Verantwortlichkeiten. Beschreibt die verschiedenen Mitarbeiter, die an einer BIA teilnehmen – von der Geschäftsleitung über die Projektleiter bis hin zu den Analysten, die die BIA-Daten verarbeiten.

4.4. Engagement. Unterstreicht die Bedeutung des Engagements der Geschäftsleitung für ein BIA-Projekt, insbesondere im Hinblick auf das Verständnis der Schlüsselaspekte des Unternehmens, der vom Unternehmen benötigten Ressourcen und der kritischen Prioritäten für die Geschäftsprozesse.

5. Der BIA-Prozess. Dieser Abschnitt enthält Hinweise zur Vorbereitung, Durchführung, Berichterstattung und Übergabe einer BIA.

5.1. Grundlegendes. Bietet einen Überblick über die nachfolgenden Abschnitte und beschreibt die wesentlichen Zusammenhänge.

5.2. Planung einer BIA. Erörtert die Aktivitäten, die im Zuge der Vorbereitung eines BIA-Projekts durchzuführen sind, einschließlich der Unterstützung durch die Geschäftsleitung, der Bildung eines Projektteams, der Vorbereitung der Datenerfassung und der Festlegung von Zielen für das Projekt.

5.4. Priorisierung von Produkten und Dienstleistungen mit der Geschäftsführung. Mit der Unterstützung und dem Fachwissen des Top-Managements ermittelt das Team die wichtigsten Geschäftsprodukte und -dienstleistungen sowie die Zeitspanne, in der diese nicht verfügbar sein können, bevor das Unternehmen ernsthafte Verluste erleidet.

5.5. Festlegung und Priorisierung der Aktivitäten. In jedem Geschäftsprozess gibt es zahlreiche Aktivitäten, die bei einer Unterbrechung zum Ausfall des gesamten Geschäftsprozesses führen können. In diesem Abschnitt wird beschrieben, wie diese Aktivitäten identifiziert und priorisiert werden können.

5.5.4. RTO für die Aktivitäten festlegen. In diesem Schritt werden die übergeordneten Geschäftsprozesse, die die Organisation zur Erfüllung ihres Auftrags benötigt, sowie die zeitlichen Prioritäten für ihre Wiederherstellung und Wiederaufnahme nach einer Unterbrechung identifiziert und untersucht.

5.6. Identifizierung der Ressourcen und anderer Abhängigkeiten. Erörtert die notwendigen Komponenten für ein BIA-Projekt und laufende BIA-Aktivitäten, einschließlich Personal, Finanzierung und Zugang zu Fachleuten.

5.7. Analyse und Konsolidierung der BIA. Dieser Abschnitt beschreibt die zu untersuchenden und zu analysierenden Fragen, sobald die Organisation die relevanten Geschäftsprozessdaten gesammelt hat. Er beschreibt auch die Vorbereitung des BIA-Berichts zur Übergabe an die Geschäftsleitung.

5.8. Einholen der Bestätigung der BIA-Ergebnisse durch die Geschäftsführung. In diesem Abschnitt wird beschrieben, wie die Ergebnisse der BIA mit der Geschäftsleitung besprochen werden, wie deren Zustimmung zu den Ergebnissen und Empfehlungen des Berichts eingeholt wird und wie die nächsten Schritte vorbereitet werden.

6. Rückschau auf die BIA. In diesem Kapitel wird beschrieben, wie die Ergebnisse der BIA in Strategien zur Vorbereitung auf und Reaktion auf Betriebsunterbrechungen umgesetzt werden. Ein Beispiel hierfür wäre die schnellere Sicherung kritischer Daten mithilfe von Datenspiegelungstechniken und Cloud-Speicher. Ein anderes Beispiel wäre die Erhöhung der Überlebensfähigkeit des Rechenzentrums durch die Vergabe von Schlüsselprozessen an einen externen Anbieter von Managed Services.

Die ISO/TS 22317:2021 ergänzt die globale Business-Continuity-Norm „ISO 22301:2019 Sicherheit und Widerstandsfähigkeit – Business-Continuity-Managementsysteme – Anforderungen“ und ihre Begleitnorm „ISO 22313:2020 Sicherheit und Widerstandsfähigkeit – Business-Continuity-Managementsysteme – Leitfaden zur Anwendung von ISO 22301“.