So planen Sie Ihr Notfall-Management mit ISO 22320:2018

Erste Schritte mit ISO 22320:2018

Die Anleitungen in der ISO 22320:2018 können den IT-Verantwortlichen bei der Entwicklung, Prüfung und Pflege von Notfall-Management-Plänen helfen. Die Norm legt den Schwerpunkt auf die Zusammenarbeit, auf eine Kommunikation während des gesamten Prozesses und auf eine gute Vorbereitung.

Der erste wichtige Abschnitt nach der Einführung erörtert die Grundsätze des IT-Incident-Managements, einschließlich des Risikomanagements, ethischer Aspekte und der Sicherheit:

 4. Grundlagen

4.1 Allgemeines. Hier wird die Anwendung spezifischer Grundsätze für das Störfall-Management angeregt.

4.2 Ethik. Hier wird betont, wie wichtig es ist, bei der Bewältigung von Zwischenfällen mit Integrität und der Fürsorgepflicht gegenüber dem Leben und der Würde des Menschen vorzugehen.

4.3 Einheitliche Leitung. Jedes Mitglied eines Notfall- oder Störfall-Teams untersteht nur einer Person in einer Führungsrolle.

4.4 Zusammenarbeiten. Die Notwendigkeit der Zusammenarbeit zwischen allen Teammitgliedern und unterstützenden Organisationen wird gefördert.

4.5 Alle-Gefahren-Ansatz. Anstatt sich auf ein bestimmtes Risiko zu konzentrieren, wird den Fachleuten für das Management von Zwischenfällen nahegelegt, einen Alle-Gefahren-Ansatz zu verfolgen.

4.6 Risikomanagement. Das Management von Zwischenfällen ist eine Aktivität des Risiko-Managements. Ein Verständnis der Risiken, Bedrohungen und Schwachstellen ist für die Planung eines Programms für das Management von Zwischenfällen unerlässlich.

4.7 Vorbereitet sein. Wie bei den meisten BC/DR-Aktivitäten ist eine sorgfältige Vorausplanung eine Schlüsselkomponente erfolgreicher Pläne für das Zwischenfall-Management.

4.8 Informationsaustausch. Die Teams für das Management von Zwischenfällen müssen sich dazu verpflichten, relevante Daten über einen Zwischenfall mit allen Beteiligten zu teilen und auszutauschen.

4.9 Sicherheit. Ein sicheres Arbeitsumfeld und die Betonung der Sicherheit während eines Ereignisses - sowohl für die Einsatzkräfte als auch für die Betroffenen - sind Voraussetzungen für das Störfall-Management.

4.10 Flexibilität. Die Fähigkeit, sich an einen Vorfall und seine Unvorhersehbarkeit anzupassen, ist eine wichtige Fähigkeit für einen Notfall-Management-Plan und das dazugehörige Team.

4.11 Menschliche und kulturelle Faktoren. Neben der Bewertung der operativen Merkmale und Auswirkungen eines Ereignisses müssen die Incident-Management-Teams auch in der Lage sein, menschliche und kulturelle Faktoren zu unterstützen.

 4.12 Kontinuierliche Verbesserung. Organisationen sollten die Pläne und Programme regelmäßig überprüfen und aktualisieren, um sie zu verbessern.

Prozesse und Struktur des Incident-Managements

Der fünfte Abschnitt der Norm befasst sich mit den vielen verschiedenen Aspekten des Störfall-Managements. Neben einer allgemeinen Einführung in das Störfall-Management werden in den Abschnitten 5.2 und 5.3 der Prozess beziehungsweise die Struktur des Störfall-Managements erläutert.

In Abschnitt 5.2 listet die Norm die Prozesse auf, die Organisationen bei der Entwicklung eines Programms und Plans für das Störfall-Management berücksichtigen müssen – sowohl während des Jahres als auch während eines Ereignisses. Zu den wichtigen Aktivitäten gehören neben der allgemeinen Sicherheit auch die folgenden:

• Ziele des Störfall-Managements. Pläne für das Management von Zwischenfällen müssen Ziele sowie den Umfang der Aktivitäten und Verantwortlichkeiten enthalten.
• Informationen über die Situation. Die Pläne müssen Schritte zur Identifizierung des störenden Ereignisses vorsehen und erste Daten über die Umstände und den möglichen Schweregrad enthalten.
• Überwachung und Bewertung der Situation. In den Plänen muss festgelegt werden, wie das sich entwickelnde Ereignis zu überwachen und Veränderungen zu bewerten sind.
• Planungsfunktion, die einen Aktionsplan für den Vorfall festlegt. Festlegung der Schritte, die während einer Störfallbewältigungsmaßnahme zu unternehmen sind.
• Zuteilung, Verfolgung und Freigabe von Ressourcen. Die Organisation muss alle Ressourcen – Menschen, Ausrüstung, Einrichtungen, Technik – verwalten, die sie bei der Reaktion auf einen Vorfall wahrscheinlich einsetzen wird.
• Kommunikation. Legen Sie fest, wer mit wem kommuniziert, den Inhalt der Notfallnachrichten, die Häufigkeit der Nachrichtenauslösung und die von der Organisation verwendeten Technologien.
• Beziehungen zu anderen Organisationen, gemeinsames Lagebild. Identifizieren Sie die primären und alternativen Organisationen, mit denen die Firma im Verlauf des Vorfalls zusammenarbeiten wird. Dazu können Ersthelfer, Mitarbeiter und Zulieferer gehören.
• Demobilisierung und Beendigung. Hier wird festgelegt, wie der Reaktionsprozess zurückgefahren oder beendet wird, nachdem die DR-Teams den Status des Vorfalls bewertet und die nächsten Schritte eingeleitet haben.
• Richtlinien für die Dokumentation. Hier wird festgelegt, welche Verfahrensdokumente Organisationen erstellen müssen und welche Berichte sie nach dem Vorfall erstellen müssen.

Abschnitt 5.3 legt fest, dass alle Aktivitäten im Rahmen des IT-Incident-Managements der folgenden Struktur folgen sollten:

• Führung. Dieses Element beschreibt die Führung und die Befugnisse für das Management des Vorfalls. Außerdem werden hier die Ziele, die Struktur und die Zuständigkeiten des Programms für die Ereignisbewältigung sowie die Anordnung und Freigabe von Ressourcen festgelegt.
• Planung. Dazu gehören die Sammlung, Auswertung und rechtzeitige Weitergabe von Daten und Informationen über den Vorfall, Statusberichte über Ressourcen und Personal sowie die Entwicklung und Dokumentation von Aktionsplänen für den Vorfall.
• Einsatz. Dieses Element spezifiziert die taktischen Ziele und die damit verbundenen Aktivitäten zur Erreichung der taktischen Ziele; Anleitungen zur Risikominderung, zum Schutz von Menschen, Eigentum und Umwelt sowie zur Kontrolle des Vorfalls und zum Übergang in eine Wiederherstellungsphase.
• Logistik. Hier werden die Beschaffung, Koordinierung und Bereitstellung von Unterstützung und Ressourcen für den Zwischenfall festgelegt. Zu den Aktivitäten gehören Einrichtungen, Transport, Versorgung, Wartung der Ausrüstung, Treibstoff, Verpflegung und medizinische Versorgung der Einsatzkräfte, Kommunikation und IT-Unterstützung.
• Finanzen und Verwaltung. Diese Komponente befasst sich mit allen administrativen und finanziellen Fragen im Zusammenhang mit dem Ereignis, einschließlich Entschädigung und Schadensersatz, Beschaffung, Kosten und Zeit.

Viele der in ISO 22320:2018 beschriebenen Elemente sind auch Teil eines Incident Command Systems. In den USA ist dies als Teil des „National Incident Management Systems“ ein weit verbreitetes Rahmenwerk, das von der Federal Emergency Management Agency entwickelt wurde, um alle Aspekte einer Katastrophe zu managen.

Weitere zu beachtende Hinweise

ISO 22320:2018 enthält auch vier Anhänge, die zusätzliche Details zur Planung des Notfall-Managements enthalten, die Organisationen bei der Formulierung von Plänen und Programmen nutzen können:

• Anhang A: Zusätzliche Hinweise zur Zusammenarbeit. Dieser Anhang enthält Anleitungen zur Zusammenarbeit, Kommunikation und Einrichtung von Kommunikationsprotokollen während eines Zwischenfalls.
• Anhang B: Zusätzlicher Leitfaden zur Struktur des Notfall-Managements. Hier finden Sie zusätzliche Informationen zu Struktur und Inhalt, die für die Erstellung eines Plans und Programms verwendet werden können.
• Anhang C: Beispiele für Aufgaben des Störfall-Managements. Diese können in die Pläne eingebaut werden und als Checklisten bei der Bewältigung eines Zwischenfalls dienen.
• Anhang D: Störfall-Management-Planung. Hier finden Sie Anleitungen für den Aufbau, die Übung und die Aufrechterhaltung eines Notfall-Managements.

DR-Teams und Notfallexperten können die vollständige Norm auf der ISO-Website einsehen (kostenpflichtig). Das Inhaltsverzeichnis der Norm ist auf diversen Servern frei zugänglich.