1 Einführung und Zielsetzung
Die Technische Spezifikation ISO/TS 22317:2021 [1] stellt eine detaillierte Anleitung zur Etablierung und Aufrechterhaltung eines BIA-Prozesses als Teil eines Business Continuity Management System (BCMS) bereit, das die Anforderungen der ISO 22301– Business continuity management systems – Requirements [2] – in Normkapitel 8.2.2 erfüllt.
BIA
Der BIA-Prozess analysiert die Auswirkungen einer Unterbrechung von Geschäftsprozessen für die Organisation und führt zu einer Festlegung von BC-Prioritäten und -Anforderungen, um diese Auswirkungen auf ein akzeptables Maß zu begrenzen.
Der BIA-Prozess analysiert die Auswirkungen einer Unterbrechung von Geschäftsprozessen für die Organisation und führt zu einer Festlegung von BC-Prioritäten und -Anforderungen, um diese Auswirkungen auf ein akzeptables Maß zu begrenzen.
Der erste Schritt einer BIA ist die Priorisierung von Produkten und Dienstleistungen, gefolgt von einer Reihe von Prozess-BIAs (optional) und Aktivitäten-BIAs. Der Umfang jeder dieser BIAs kann begrenzt sein, aber zusammen sollten sie den gesamten Geltungsbereich des BCMS abdecken. Organisationen sollten den BIA-Prozess regelmäßig überprüfen und durchführen.
BIA-Ergebnisse
Die Ergebnisse des BIA-Prozesses beinhalten u. a.
Die Ergebnisse des BIA-Prozesses beinhalten u. a.
| • | Prüfung und ggf. Modifikation des BCMS-Geltungsbereichs, |
| • | Identifizierung relevanter Geschäftsanforderungen und ihrer Auswirkungen auf Prioritäten und BC-Anforderungen, |
| • | Bewertung der zeitabhängigen Schadenshöhe von Störungen als Rechtfertigung für Prioritäten und BC-Anforderungen, |
| • | Schätzung der erforderlichen Zeit, bis die negativen Auswirkungen auf Produkte und Dienstleistungen inakzeptabel werden (MTPD: maximal tolerierbarer Zeitraum der Unterbrechung) |
| • | Ermittlung der Anforderungen MTPD und Recovery Time Objective (RTO) für die priorisierten Aktivitäten; |
| • | Identifizierung der Ressourcen, die für die Durchführung der priorisierten Aktivitäten nach einer Unterbrechung erforderlich sind, unter Angabe von RTOs und Recovery Point Objectives (RPOs); |
| • | Identifizierung der Abhängigkeiten, einschließlich Lieferanten, Partner und anderer interessierter Parteien; |
| • | Identifizierung der gegenseitigen Abhängigkeiten der priorisierten Aktivitäten. |
2.1 Aufbau
Normkapitel 1 bis 3
Die ISO-typischen einführenden Kapitel beschreiben
Die ISO-typischen einführenden Kapitel beschreiben
| • | in Normkapitel 1 den Anwendungsbereich (Scope),der beliebige Organisationen umfasst. | ||||
| • | in Normkapitel 2 folgende Normative Referenzen:
| ||||
| • | in Normkapitel 3 – Begriffe und Definitionen;wird neben ISO 22300 und ISO 22301 auf die Terminologie-Datenbanken verwiesen von ISO – iso.org/obp undIEC – electropedia.org |
Hauptkapitel
Die Hauptkapitel der ISO/TS 22317 haben folgende Themen:
Die Hauptkapitel der ISO/TS 22317 haben folgende Themen:
| • | Normkapitel 4 – Voraussetzungen (für die Durchführung einer BIA), vgl. Abschnitt 3.1 |
| • | Normkapitel 5 – Der BIA-Prozess, vgl. Abschnitt 3.2 |
| • | Normkapitel 6 – Review der BIA, vgl. Abschnitt 3.3 |
Anhänge
In den vier Anhängen der ISO/TS 22317 werden ergänzend dargestellt:
In den vier Anhängen der ISO/TS 22317 werden ergänzend dargestellt:
| • | BIA innerhalb eines BCMS nach ISO 22301:2019, vgl. Abschnitt 4.1 |
| • | Methoden zur Informationssammlung für eine BIA, vgl. Abschnitt 4.2 |
| • | Weitere Nutzung des BIA-Prozesses, vgl. Abschnitt 4.3 |
| • | Beispiele zur Durchführung einer BIA, vgl. Abschnitt 4.4 |