Allgemein

Was ist ISO 22301?

Team Profil-Law

Die Fähigkeit eines Unternehmens, seine normalen Aktivitäten nach digitalen Sicherheitsvorfällen fortzusetzen, ist so relevant, dass es bereits über eine ISO-Zertifizierung für das Thema verfügt. Es ist die ISO 22301 – Business Continuity Management Systems. Es wurde von der International Organization for Standardization (ISO) veröffentlicht und beschreibt, wie die Geschäftskontinuität in einem Unternehmen nach unerwünschten Ereignissen verwaltet werden kann – unabhängig davon, ob es sich um eine Verletzung der digitalen Sicherheit handelt oder nicht.

Inhalt der Seite Anzeigen

Wofür ist dir ISO 22301 gedacht?

In diesem Zusammenhang ist es wichtig zu betonen, dass Geschäftskontinuität die Fähigkeit eines Unternehmens ist, Produkte oder Dienstleistungen nach einem Unterbrechungsvorfall auf einem vordefinierten akzeptablen Niveau bereitzustellen. Es geht also darum, eine Organisation darauf vorzubereiten, mit Situationen umzugehen, die sie daran hindern könnten, ihre grundlegendsten täglichen Ziele zu erreichen – sowie mittel- und langfristige.

Mit ISO 22301 kann ein Unternehmen von einer vertrauenswürdigen Zertifizierungsstelle akkreditiert werden und seine Einhaltung gegenüber seinen Kunden, Partnern, Lieferanten und anderen interessierten Parteien nachweisen.

Daher definiert ISO 22301 Business Continuity Management als Teil des gesamten Risikomanagements in einem Unternehmen, das sich teilweise mit dem Informationssicherheitsmanagement und dem IT-Management überschneidet. ISO wird auch zu einem relevanten Argument für Verkaufsteams, die neue Kunden suchen können, indem sie in ihren Betrieben eine internationale Sicherheitszertifizierung vorweisen.

Vorteile von ISO 22301

Neben dieser Stärkung des gewerblichen Sektors gibt es noch einige weitere Vorteile. Die erste davon betrifft die Einhaltung gesetzlicher Anforderungen. Immer mehr Länder definieren Gesetze und Vorschriften, die die Einhaltung der Geschäftskontinuität erfordern.

Einige private Finanzinstitute verlangen auch von ihren Anbietern und Partnern, dass sie solche Lösungen implementieren. Somit bietet ISO 22301 einen Rahmen und eine Methodik, die die Einhaltung dieser Anforderungen unterstützt. Dies reduziert den administrativen und operativen Aufwand sowie die Anzahl der zu zahlenden Strafen bei unerwünschten Ereignissen.

Marktdifferenzierung ist ein weiterer Vorteil. Gegenüber Konkurrenten ohne Zertifizierung hat ein nach ISO 22301 akkreditiertes Unternehmen einen wichtigen Vorteil – insbesondere im Umgang mit Kunden, die darauf achten, die Kontinuität ihres Betriebs und die Lieferung ihrer Produkte und Dienstleistungen aufrechtzuerhalten. Darüber hinaus kann diese ISO den Ruf verbessern und dabei helfen, neue Kunden zu gewinnen, wodurch es einfacher wird, zu demonstrieren, dass ein bestimmtes Unternehmen zu den besten der Branche gehört.

Es gibt auch einen Vorteil, der eigentlich eine Folge der ISO 22301 ist: die Verringerung der Abhängigkeit von bestimmten Fachleuten. Oft hängen bestimmte kritische Aktivitäten eines Unternehmens von wenigen Mitarbeitern ab, die schwer zu ersetzen sind und deren Fähigkeiten auf dem Markt seltener sind. Manager, die sich dessen bewusst sind, können Business Continuity-Praktiken nutzen, um diesen Personen nicht ausgeliefert zu sein – entweder aufgrund implementierter Workarounds oder der Dokumentation damit verbundener Aufgaben.

Es hilft auch, größere Schäden zu vermeiden. Heutzutage bedeutet jede Minute Leerlauf einen finanziellen Verlust. Und selbst wenn das Unternehmen nicht so empfindlich auf kurze Ausfallzeiten reagiert, werden Störfälle ihren Preis haben. Durch die Implementierung von ISO 22301-konformen Geschäftskontinuitätspraktiken spart das Unternehmen Geld – sowohl durch das Verhindern störender Vorfälle als auch durch eine schnellere Wiederherstellung.

Wie funktioniert ISO 22301?

Wie bereits gesehen, liegt der Fokus von ISO 22301 darauf, die Kontinuität der Bereitstellung von Produkten und Dienstleistungen nach dem Eintreten von Störsituationen – einschließlich Ereignissen im Zusammenhang mit digitaler Sicherheit – sicherzustellen. Dies geschieht durch die Festlegung von Prioritäten für die Geschäftskontinuität, durch Auswirkungsanalysen und die Identifizierung möglicher Ereignisse, die sich auf den Betrieb auswirken könnten.

Sie müssen dann abstimmen, was getan werden muss, um das Eintreten dieser Ereignisse zu verhindern, und dann definieren, wie Sie sich auf akzeptable Weise in kürzester Zeit erholen können – d. h. Risikominderung oder Risikobehandlung. Daher basiert die Hauptidee der ISO 22301 auf Auswirkungsanalyse und Risikomanagement. Auf diese Weise reicht es aus, herauszufinden, welche Aktivitäten am wichtigsten sind und welche Risiken sie betreffen können, und diese Risiken dann systematisch zu behandeln.

Die zu implementierenden Strategien und Lösungen liegen in der Regel in Form von Richtlinien, Verfahren und technischer/physischer Umsetzung vor – beispielsweise Einrichtungen, Software und Ausrüstung. In vielen Fällen verfügen Unternehmen nicht über die notwendige Hard- und Software. Daher umfasst die Implementierung von ISO 22301 nicht nur die Definition der organisatorischen Regeln, die zur Vermeidung von Störfällen erforderlich sind, sondern auch die Entwicklung von Plänen und die Zuweisung technischer Ressourcen, um die Kontinuität und Wiederherstellung von Routinetätigkeiten zu ermöglichen.

In der Norm verwendete Begriffe

  • Business-Continuity-Management-System (BCMS): – Es ist Teil eines Gesamtmanagementsystems, das sicherstellt, dass Business Continuity geplant, implementiert, aufrechterhalten und kontinuierlich verbessert wird.
  • Maximal zulässiger Interrupt (MAO): – definiert die maximale Zeitdauer, die eine Aktivität unterbrochen werden kann, ohne unannehmbaren Schaden zu verursachen (auch als Maximum Tolerable Interruption Period – MTPD bezeichnet)
  • Recovery Time Objective (RTO): – befasst sich mit der vorbestimmten Zeit, in der ein Produkt, eine Dienstleistung oder eine Aktivität wieder aufgenommen oder Ressourcen zurückgewonnen werden müssen.
  • Recovery Point Objective (RPO): – befasst sich mit dem maximalen Datenverlust, d. h. der minimalen Datenmenge, die von einer Aktivität verwendet wird, die wiederhergestellt werden muss.
  • Mindestziel für die Geschäftskontinuität (MBCO): – es ist das Mindestmaß an Dienstleistungen oder Produkten, das ein Unternehmen erbringen muss, um seine definierten Ziele nach der Wiederaufnahme seiner Geschäftstätigkeit zu erreichen.
Post Views: 106

Das könnte dir auch gefallen

Was ist eine UTM-Firewall und was steckt dahinter?

Was ist eine UTM-Firewall und was steckt dahinter?

Team Profil-Law
5 Möglichkeiten, Fehlkonfigurationen von AWS S3-Buckets zu verhindern

5 Möglichkeiten, Fehlkonfigurationen von AWS S3-Buckets zu verhindern

Team Profil-Law
Wie Geschäftsdaten auch bei Remote Workern geschützt werden können

Wie Geschäftsdaten auch bei Remote Workern geschützt werden können

Team Profil-Law

Pin It on Pinterest