Welche Business-Continuity-Standards Compliance unterstützen

Governance, Risiko und Compliance sind wichtige Faktoren für Unternehmen und ihre Geschäftsleitung. Sie müssen beachtet und eingehalten werden, da prüfbar sind und nachgewiesen werden kann, wenn sie nicht eingehalten werden. Die Anzahl der Normen und Vorschriften, mit denen sich Unternehmen befassen müssen, ist in den letzten 20 Jahren stetig gestiegen. Compliance durch die Einhaltung spezifischer Standards für Business Continuity, Disaster Recovery und Cyber Security nachzuweisen, ist zu einem Wettbewerbsvorteil geworden.

So wünschen sich immer mehr Unternehmen konkrete Belege dafür, dass ein potenzieller Geschäftspartner bestimmte Normen wie zum Beispiel ISO 9000 (Qualitäts-Management) einhält. ISO-Normen werden von der Internationalen Organisation für Normung erstellt, einer nichtstaatlichen Organisation mit Vertretern aus über 160 Ländern. Aufgrund ihrer Prävalenz sind ISO-Normen in vielen Bereichen der IT weit verbreitet.

Immer mehr Organisationen beginnen verlangen einen Nachweis, dass Unternehmen die Standards für Business Continuity einhalten, wie ISO 22301, NFPA 1600 von der National Fire Protection Association oder die Regeln der Broschüre Business Continuity Planning vom Federal Financial Institutions Examination Council. Die Einhaltung solcher Standards zeigt deutlich, dass Unternehmen darauf achten, auch bei Störfall weiterhin operativ in Betrieb zu bleiben.

Mithilfe der folgenden Schritte lässt sich bestimmen, ob eine Cyber-Security-Strategie oder ein Business Continuity/Disaster Recovery (BC/DR)-Plan mit den heutigen Standards übereinstimmt:

• Identifizieren Sie die Normen und Vorschriften, deren Einhaltung erforderlich ist.
• Lesen und verstehen Sie die Normen und Vorschriften.
• Evaluierung des aktuellen Zustands des Unternehmens im Hinblick auf die Normen und Vorschriften.
• Stellen Sie fest, wo Änderungen vorgenommen werden müssen, um die Einhaltung der Vorschriften zu erreichen.
• Bestimmen Sie die Ressourcen und Mittel, die benötigt werden, um die für die Einhaltung der Vorschriften erforderlichen Änderungen vorzunehmen.
• Nehmen Sie die identifizierten Änderungen vor.
• Validierung und Dokumentation, dass der erforderliche Konformitätsgrad durch interne oder externe Auditoren erreicht wurde.

Das wohl Wichtigste ist die Dokumentation von Aktivitäten, die belegen, dass Sie die Compliance-Standards für Business Continuity, Disaster Recovery und Cyber Security erfüllen. Dazu gehören typischerweise Richtlinien und Verfahren, da sie einen realen Beweis dafür liefern, dass das Unternehmen die Anstrengungen unternommen hat, um die Vorschriften einzuhalten.

Sobald ein Unternehmen die Einhaltung der BC/DR- und Cyber-Security-Standards und -vorschriften erreicht und nachgewiesen hat, muss die Einhaltung regelmäßig überprüft und neu zertifiziert werden. Dies sollte jährlich durchgeführt werden. Zu den Normen für Business Continuity gehören neben ISO 22301 auch ISO 22316 und der Rest der ISO 223xx-Serie. Die Einhaltung der Cyber Security kann mit der ISO/IEC 27000-Serie festgelegt werden. Der Nachweis der Einhaltung von Normen und Vorschriften wird oft als Zertifikat erbracht, das gerahmt und dort angebracht werden kann, wo der Kunde es sehen kann.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!