02518 Kurzhinweise: ISO/TS 22318 – Security and resilience – Business continuity management systems – Guidelines for supply chain continuity management
von:
1 Einführung und Zielsetzung
Die Technische Spezifikation ISO/TS 22318 [1] versteht sich als Erweiterung zu den Ausführungen der Standards ISO 22301 Business continuity management systems – Requirements sowie ISO 22313 Business continuity management systems – Guidance, die den Aufbau und Betrieb eines Business Continuity Management System (BCMS) darstellen.
SCCM
ISO/TS 22318 enthält Anleitungen zur Etablierung eines angemessenen Supply Chain Continuity Management (SCCM) innerhalb der Lieferkette einer Organisation, sowohl für externe Lieferanten als auch für interne Lieferbeziehungen. Dabei wird angenommen, dass die Organisation bereits ein BCMS etabliert oder dessen Einführung geplant hat und in diesem Zuge eine ausreichende Kontinuität ihrer Lieferanten gewährleisten will. Die ISO/TS 22318:2021 wird in diesem Kurzbeitrag als ISO/TS 22318 oder einfach als „Spezifikation” zitiert.
ISO/TS 22318 enthält Anleitungen zur Etablierung eines angemessenen Supply Chain Continuity Management (SCCM) innerhalb der Lieferkette einer Organisation, sowohl für externe Lieferanten als auch für interne Lieferbeziehungen. Dabei wird angenommen, dass die Organisation bereits ein BCMS etabliert oder dessen Einführung geplant hat und in diesem Zuge eine ausreichende Kontinuität ihrer Lieferanten gewährleisten will. Die ISO/TS 22318:2021 wird in diesem Kurzbeitrag als ISO/TS 22318 oder einfach als „Spezifikation” zitiert.
Klassifizierung von Lieferanten
Die Kritikalität der Lieferanten und die erforderliche Wiederherstellungszeit werden im Rahmen einer Business Impact Analysis (BIA) (s. ISO/TS 22317 in Kap. 02517) des BCMS bestimmt. Lieferanten werden klassifiziert gemäß der Kritikalität ihrer Produkte oder Services, d. h. den Auswirkungen von Lieferverzögerung oder -ausfall, sowie ihrer „Nähe” zur beauftragenden Organisation.
Die Kritikalität der Lieferanten und die erforderliche Wiederherstellungszeit werden im Rahmen einer Business Impact Analysis (BIA) (s. ISO/TS 22317 in Kap. 02517) des BCMS bestimmt. Lieferanten werden klassifiziert gemäß der Kritikalität ihrer Produkte oder Services, d. h. den Auswirkungen von Lieferverzögerung oder -ausfall, sowie ihrer „Nähe” zur beauftragenden Organisation.
Prioritäre Lieferanten sind diejenigen, die priorisierte Aktivitäten unterstützen und als diejenigen identifiziert werden, deren Verzögerung oder Ausfall die größten Auswirkungen auf Produkte und Services der Organisation hat. Tier-1-Lieferanten haben eine direkte Vertragsbeziehung mit der Organisation, während Tier-2-Lieferanten an Tier-1-Lieferanten liefern, Tier-3-Lieferanten an Tier-2-Lieferanten und so fort. Damit sind Tier-1-Lieferanten typischerweise gegenüber der Organisation für die gesamte Lieferkette verantwortlich. Diese Lieferanten sollten ermutigt werden, SCCM in ihrer eigenen Lieferkette zu implementieren, wodurch die Kontinuität der gesamten Lieferkette verbessert wird.
ISO 28000
Neben der ISO/TS 22318 existiert die ISO 28000:2022 [2] ; Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen für die Lieferkette. Die deutsche Übersetzung der vorherigen Edition ist als DIN ISO 28000:2015-08 verfügbar. Darin werden über die Kontinuitätsaspekte der ISO/TS 22318 hinaus Sicherheitsanforderungen für Lieferketten in der Struktur eines prozess- und risikobasierten PDCA-Managementsystems festgelegt.
Neben der ISO/TS 22318 existiert die ISO 28000:2022 [2] ; Sicherheit und Belastbarkeit – Sicherheitsmanagementsysteme – Anforderungen für die Lieferkette. Die deutsche Übersetzung der vorherigen Edition ist als DIN ISO 28000:2015-08 verfügbar. Darin werden über die Kontinuitätsaspekte der ISO/TS 22318 hinaus Sicherheitsanforderungen für Lieferketten in der Struktur eines prozess- und risikobasierten PDCA-Managementsystems festgelegt.
2.1 Aufbau
Normkapitel 1 bis 3
Die für ISO typischen einführenden Kapitel beschreiben
Die für ISO typischen einführenden Kapitel beschreiben
| • | in Normkapitel 1 den Anwendungsbereich (Scope).Zusätzlich zu den bereits in Abschnitt 1 gemachten Ausführungen wird darin dargestellt:
| ||||||
| • | in Normkapitel 2 Normative Referenzen;hier werden genannt:
| ||||||
| • |
Hauptkapitel
Die Hauptkapitel 4 bis 7 des Standards haben folgende Themen:
Die Hauptkapitel 4 bis 7 des Standards haben folgende Themen:
| Normkapitel 4 | Der Wert von SCCM (vgl. Abschnitt 3.1) |
| Normkapitel 5 | BCMS-Voraussetzungen für SCCM (vgl. Abschnitt 3.2) |
| Normkapitel 6 | Effektives SCCM (vgl. Abschnitt 3.3) |
| Normkapitel 7 | Wartung, Leistung und kontinuierliche Verbesserung (vgl. Abschnitt 3.4) |
Anhänge
In den drei Anhängen der ISO/TS 22318 werden ergänzend dargestellt:
In den drei Anhängen der ISO/TS 22318 werden ergänzend dargestellt:
| A) | Beispiel für allgemeine Fragen an prioritäre Lieferanten, vgl. Abschnitt 4.1 |
| B) | Management von Störungen bei prioritären Lieferanten, vgl. Abschnitt 4.2 |
| C) | Beispiele für gemeinsame Übungen mit Lieferanten, vgl. Abschnitt 4.3 |