Allgemein

Mit 17 Schritten zur ISO 22301-Zertifizierung

Team Profil-Law

Es gibt mehrere Möglichkeiten, nachzuweisen, dass ein Unternehmen seine normalen Aktivitäten nach einem Cybersicherheitsvorfall fortsetzen kann. Der zuverlässigste Weg ist jedoch die Zertifizierung nach ISO 22301 – Business Continuity Management Systems. Es wurde von der International Organization for Standardization (ISO) veröffentlicht und beschreibt, wie die Geschäftskontinuität in einem Unternehmen nach unerwünschten Ereignissen verwaltet werden kann – sei es aufgrund einer Verletzung der digitalen Sicherheit oder aus anderen Gründen.

Inhalt der Seite Anzeigen

Vorteile der Zertifizierung nach ISO 22301

Zu den vielen Vorteilen dieser Zertifizierung gehört der Wettbewerbsvorteil. Im Vergleich zu Wettbewerbern ohne dieses Siegel hat ein nach ISO 22301 akkreditiertes Unternehmen eine bessere Sichtbarkeit auf dem Markt – insbesondere bei Kunden, die darauf achten, die Kontinuität ihres Betriebs und die Bereitstellung ihrer Produkte und Dienstleistungen aufrechtzuerhalten.

Darüber hinaus kann diese ISO den Ruf verbessern und dabei helfen, neue Kunden zu gewinnen, wodurch es einfacher wird, zu demonstrieren, dass ein bestimmtes Unternehmen zu den besten der Branche gehört. Schließlich hat es eine Dokumentation, die es beweist.

Diese Schritte müssen Sie für die ISO 22301 befolgen

Die Implementierung von Business Continuity ist jedoch keine leichte Aufgabe. Es müssen sogar 17 Schritte befolgt werden, die gemäß ISO 22301 obligatorisch sind. Nachfolgend finden Sie die Checkliste, die die zur Implementierung des Standards erforderlichen Schritte abdeckt, wobei zu beachten ist, dass es zusätzliche Aufgaben gibt, die zur Wartung des Systems nach der Installation erforderlich sind.

1) Unterstützung durch Manager

Um ein Projekt dieser Größenordnung zu starten, müssen die Manager des Unternehmens bereit sein, in personelle, finanzielle und technologische Ressourcen zu investieren. Dazu müssen sie sich aller Vorteile bewusst sein, um die notwendige Unterstützung für die Zertifizierung zu erhalten. In diesem Zusammenhang ist es notwendig, alle einzubeziehen und alles zu klären, was ISO abdeckt.

2) Ermittlung der Anforderungen

Bevor Sie Maßnahmen ergreifen, müssen Sie sicherstellen, dass sie den Wünschen Ihrer Stakeholder entsprechen. Es sind nicht nur Gesetze und Verordnungen, sondern auch die Anforderungen in bereits geschlossenen Verträgen mit Kunden, Wünsche der Firmeninhaber etc. Sie müssen alle diese Anforderungen auflisten und definieren, wie Sie mit jeder der interessierten Parteien kommunizieren.

3) Geschäftskontinuitätsrichtlinie und -ziele

Hier ist der Punkt, an dem es notwendig ist, einige der wichtigsten Verantwortlichkeiten und Regeln für die Geschäftskontinuität zu definieren. Dafür ist eine Geschäftskontinuitätsrichtlinie da, aber die Direktoren müssen auch genau bestimmen, was von der Geschäftskontinuität erwartet wird – und klare Ziele setzen. Es ist grundlegend für jeden, der herausfinden möchte, ob Business Continuity seinen Zweck erfüllt hat.

4) Dokumente zur Unterstützung des Managementsystems

Ob Business Continuity, Informationssicherheit, Qualitätsmanagement oder Umweltschutz, Managementsysteme haben eine Reihe von Verfahren gemeinsam, auf denen sie basieren. Dazu gehören die Kontrolle von Dokumenten und Aufzeichnungen, interne Audits und Korrekturmaßnahmen. In Unternehmen, die bereits über solche Assets verfügen, wird es viel einfacher sein, das System zu betreiben.

5) Risikobewertung und Behandlung

Um eventuellen Störfällen begegnen zu können – oder sie sogar zu verhindern – ist es notwendig herauszufinden, welche Probleme häufiger auftreten können. Dann ist es an der Zeit, zu definieren, welche Kontrollen angewendet werden können, um sie zu mindern, was auf den Kern der Risikobewertung und -behandlung zurückgeht.

6) Business-Impact-Analyse

Die Analyse endet nicht mit der Risikobewertung, da mindestens zwei Fragen gestellt werden müssen. Beim ersten geht es darum, wie schnell Sie sich erholen müssen, und beim zweiten darum, was es braucht, um mit dieser Erholung erfolgreich zu sein. Daher besteht der Zweck der Business-Impact-Analyse darin, das Wiederherstellungszeitziel und die dafür erforderlichen Ressourcen zu definieren.

7) Geschäftskontinuitätsstrategie

Der siebte Schritt ist die Zeit, nach Wegen zu suchen, um alles, was in den vorherigen Schritten aufgeführt ist, mit einem Minimum an Investitionen zu erreichen und unnötige Ausgaben zu vermeiden, die in den folgenden Phasen einen Unterschied machen können. Das ist vielleicht der mühseligste Punkt, aber hier unterscheidet sich ein seriöses Projekt von einem Plan ohne gebührende Details.

8) Geschäftskontinuitätsplan

Es sollte mindestens Pläne für die Reaktion auf Vorfälle und Wiederherstellungspläne geben, die detailliert beschreiben, was getan werden muss, um Aktivitäten einzuleiten. All dies muss strategisch erfolgen, damit beim Handeln nicht die Ressourcen ausgehen – sei es die Technik oder das Personal.

9) Schulung und Sensibilisierung

Zusätzlich zur Planung gegen mögliche Vorfälle müssen die Mitarbeiter wissen, wie sie diese umsetzen können. Daher ist es notwendig, den Mitarbeitern (und in einigen Fällen auch den Lieferanten) beizubringen, wie bestimmte Schritte des Plans ausgeführt werden, und zu betonen, warum all dies so wichtig ist. Ein solches Engagement ist für eine erfolgreiche ISO-Implementierung unerlässlich.

10) Pflege der Dokumentation

Mehrere Dokumente können ein Ablaufdatum haben, d. h. sie können veraltet sein. Dazu kommen und gehen Mitarbeiter, Arbeitsabläufe werden verändert, neue Technologien entstehen, Produkte werden auf den Markt gebracht – und all das muss sich in der Dokumentation widerspiegeln. Ohne Aufzeichnung dieser Änderungen wird niemand in der Lage sein, die Pläne umzusetzen, wenn sie am dringendsten benötigt werden.

11) Übung und Test

Das Training ist sehr wichtig, aber das Testen auch. Das Ideal ist dann, Situationen zu schaffen, in denen Pläne auf möglichst realistische Weise getestet werden können. Wenn Sie Pläne nicht auf die Probe stellen, um herauszufinden, wie sie sich in realen Situationen verhalten, werden Sie nie entdecken, wo Sie sich verbessern müssen. Daher ist die Durchführung regelmäßiger Übungen und Tests von größter Bedeutung, und diese Tests sollten nicht nur auf die IT beschränkt sein – alle, einschließlich der Geschäftsleitung und externer Partner und Anbieter, sollten einbezogen werden.

12) Überprüfungen nach dem Vorfall

Unfälle können passieren, selbst wenn alle Vorbereitungen der Welt getroffen werden. Wenn sie auftreten, ist es ideal, bereit zu sein und daraus zu lernen und daraus Lehren zu ziehen, um zu verhindern, dass ähnliche Probleme erneut auftreten. Es ist möglich, Punkte darüber zu analysieren, wie Menschen reagieren, wie bereit sie sind, welche Entwicklungen in den Plänen notwendig sind und ob die festgelegte Erholungszeit eingehalten wurde.

13) Kommunikation mit Stakeholdern

Dieser Schritt muss parallel zu allen anderen Schritten durchgeführt werden. Der Grund dafür ist, dass die Geschäftskontinuität auch von Aufsichtsbehörden, Behörden, Eigentümern, Mitarbeitern, Lieferanten usw. abhängen kann. Daher müssen sie sich über alles im Klaren sein und ordnungsgemäß über die sie betreffenden Einzelheiten informiert werden.

14) Messung und Auswertung

Die Idee hier ist zu wissen, ob die Ziele erreicht werden. Im Fall der Geschäftskontinuität werden in Schritt 3 Ziele definiert, und die Feststellung, ob diese Ziele erreicht werden, muss durch eine Art Metrik erfolgen. Es kann etwas Anspruchsvolles wie die Balanced Scorecard sein, aber es kann auch so einfach sein wie die Messung der RTO-Leistung während Übungen und Tests.

15) Internes Audit

Es ist nicht immer möglich, bei der Analyse der eigenen Arbeit völlig objektiv zu sein. Daher müssen andere Personen im Unternehmen das Projekt überprüfen und Verbesserungen vorschlagen – dies ist die Funktion eines internen Audits. Obwohl es oft als Belastung empfunden wird, ist ein internes Audit tatsächlich sehr hilfreich, wenn es darum geht, sich der Realität zu stellen und Teams einzuarbeiten.

16) Korrekturmaßnahmen

ISO 22301 führt zu täglichen Verbesserungen, die schließlich systematisch vorgenommen werden. Dies treibt ein Unternehmen dazu, herauszufinden, warum ein bestimmtes Problem aufgetreten ist, und sicherzustellen, dass es nie wieder auftritt. Der ISO-Text selbst spricht davon, „sicherzustellen, dass sich Nichtkonformitäten nicht wiederholen“. Es muss systematisch und transparent vorgegangen werden.

17) Überprüfung

Sobald alle diese Schritte unternommen wurden, muss das Top-Management sie bewerten und einige wichtige Entscheidungen treffen – wie unter anderem die Aktualisierung der Ziele, die Freigabe von Mitteln, die Durchführung zusätzlicher Verbesserungen. Schließlich tragen sie die letzte Verantwortung für die Überlebensfähigkeit des Unternehmens bei größeren Zwischenfällen.

Post Views: 118

Das könnte dir auch gefallen

Wie können Unternehmen ihre Cybersicherheit verbessern?

Wie können Unternehmen ihre Cybersicherheit verbessern?

Team Profil-Law
Die 7 besten kostenlosen Antivirus-Apps für Android

Die 7 besten kostenlosen Antivirus-Apps für Android

Team Profil-Law
2FA vs. MFA: Was ist der Unterschied?

2FA vs. MFA: Was ist der Unterschied?

Team Profil-Law

Pin It on Pinterest