Gegenüber DIN EN ISO 22313:2016-05 wurden folgende Änderungen vorgenommen:

• a) Inhalt und Struktur des Dokuments wurden an die aktuelle Ausgabe von ISO 22301 angepasst;
• b) zusätzliche Erläuterungen zu einzelnen Begriffen hinzugefügt;
• c) Inhalte von 8.4 wurden entfernt, um diese zukünftig in ISO/TS 22332 aufzunehmen;
• d) redaktionelle Überarbeitung der Norm.

Dieses Dokument (EN ISO 22313:2020) wurde vom Technischen Komitee ISO/TC 292 "Security and resilience" in Zusammenarbeit mit dem Technischen Komitee CEN/TC 391 "Schutz und Sicherheit der Bürger" erarbeitet, dessen Sekretariat von AFNOR (Frankreich) gehalten wird. Das zuständige deutsche Normungsgremium ist der Gemeinschaftsarbeitsausschuss NA 175-00-05 GA "Sicherheit und Business Continuity" im DIN-Normenausschuss Organisationsprozesse (NAOrg).

Dieses Dokument gibt Leitlinien und Empfehlungen zur Anwendung der Anforderungen des Business Continuity Management Systems (BCMS), die in DIN EN ISO 22301 vorgegeben sind.

Die Leitlinien und Empfehlungen beruhen auf anerkannter internationaler Praxis. Dieses Dokument ist auf Organisationen anwendbar, die:

• a) ein BCMS umsetzen, aufrechterhalten und verbessern wollen;
• b) eine Übereinstimmung mit der erklärten Politik zur Aufrechterhaltung der Betriebsfähigkeit sicherstellen wollen;
• c) die Fähigkeit benötigen, die Belieferung mit Produkten und Dienstleistungen mit einer akzeptablen, zuvor festgelegten Kapazität während einer Betriebsstörung fortzusetzen;
• d) versuchen, ihre Resilienz durch die effektive Anwendung des BCMS zu verbessern.

Die Leitlinien und Empfehlungen sind anwendbar für alle Organisationsgrößen und -typen, einschließlich großer, mittlerer und kleiner Unternehmen, die im industriellen, kommerziellen, öffentlichen und gemeinnützigen Bereich tätig sind. Die angewendete Vorgehensweise ist von der betrieblichen Umgebung und der Komplexität der jeweiligen Organisation abhängig.

Inhaltsverzeichnis

Europäisches Vorwort
Vorwort
Einleitung

1 Anwendungsbereich

2 Normative Verweisungen

3 Begriffe

• Business Continuity Management (BCMS)

siehe Norm DIN EN ISO 22300

4 Kontext der Organisation

4.1 Verstehen der Organisation und ihres Kontextes

4.2 Verstehen der Erfordernisse und Erwartungen der interessierten Parteien

4.2.1 Allgemeines
4.2.2 Rechtliche und behördliche Anforderungen

4.3 Festlegung des Anwendungsbereichs des Business Continuity Management Systems

4.3.1 Allgemeines
4.3.2 Anwendungsbereichs des Business Continuity Management Systems
4.3.3 Ausschlüsse aus dem Anwendungsbereich

4.4 Business Continuity Management System

5 Führung

5.1 Führung und Verpflichtung

5.1.1 Allgemeines
5.1.2 Oberste Leitung
5.1.3 Andere Managementfunktionen

5.2 Politik

5.2.1 Erstellen der Politik zur Aufrechterhaltung der Betriebsfähigkeit
5.2.2 Kommunikation der Politik zur Aufrechterhaltung der Betriebsfähigkeit

5.3 Rollen, Verantwortlichkeiten und Befugnisse

6 Planung

6.1 Maßnahmen zum Umgang mit Risiken und Chancen

6.1.1 Bestimmung von Risiken und Chancen
6.1.2 Umgang mit Risiken und Chancen

6.2 Ziele zur Aufrechterhaltung der Betriebsfähigkeit und Planung, um diese zu erreichen

6.2.1 Festlegung von Zielen zur Aufrechterhaltung der Betriebsfähigkeit
6.2.2 Bestimmung der Ziele für die Aufrechterhaltung der Betriebsfähigkeit

6.3 Planung von Änderungen am BCMS

7 Unterstützung

7.1 Ressourcen

7.1.1 Allgemeines
7.1.2 BCMS-Ressourcen

7.2 Kompetenz

7.3 Bewusstsein

7.4 Kommunikation

7.5 Dokumentierte Information

7.5.1 Allgemeines
7.5.2 Erstellen und Aktualisieren
7.5.3 Lenkung dokumentierter Information
Zugriff auf dokumentierte Informationen
Arten der Lenkung

8 Betrieb

8.1 Betriebliche Planung und Steuerung

8.1.1 Allgemeines
8.1.2 Business Continuity Management
8.1.3 Aufrechterhaltung der Betriebsfähigkeit

8.2 Business-Impact-Analyse und Risikobeurteilung

8.2.1 Allgemeines
8.2.2 Business-Impact-Analyse
8.2.3 Risikobeurteilung

8.3 Strategien und Lösungen zur Aufrechterhaltung der Betriebsfähigkeit

8.3.1 Allgemeines
8.3.2 Festlegung der Strategien und Lösungen
8.3.3 Auswahl der Strategien und Lösungen
8.3.4 Ressourcenbedarf
8.3.5 Umsetzung von Lösungen

8.4 Pläne und Verfahren zur Aufrechterhaltung der Betriebsfähigkeit

8.4.1 Allgemeines
8.4.2 Reaktionsstruktur
8.4.2.1 Zweck
Gestaltung
Teamkapazitäten
Zusammensetzung des Teams und Leitlinien
8.4.3 Warnung und Kommunikation
Allgemeines
Alarmieren interessierter Parteien
8.4.4 Pläne zur Aufrechterhaltung der Betriebsfähigkeit
Umfang
Auf Zwischenfälle reagieren
Inhalt und Gebrauchstauglichkeit
Leitlinien und unterstützende Informationen
Gebrauchstauglichkeit
- Zwischenfallmanagement / strategisches Management
- Kommunikation
- Schutz und Wohlergehen
- Rettung und Schutz
- Wiederaufnahme von priorisierten Aktivitäten
- IKT-Systeme
8.4.5 Wiederherstellung

8.5 Übungsprogramm

8.5.1 Allgemeines
8.5.2 Gestaltung des Übungsprogramms
8.5.3 Übungen zu Plänen für die Aufrechterhaltung der Betriebsfähigkeit

8.6 Bewertung der Dokumentation und Fähigkeiten zur Aufrechterhaltung der Betriebsfähigkeit

8.6.1 Allgemeines
8.6.2 Messen der Wirksamkeit
8.6.3 Ergebnisse

9 Bewertung der Leistung

9.1 Überwachung, Messung, Analyse und Bewertung

9.1.1 Allgemeines
9.1.2 Aufbewahrung von Nachweisen
9.1.3 Bewertung der Leistung

9.2 Internes Audit

9.2.1 Allgemeines
9.2.2 Auditprogramm(e)

9.3 Managementbewertung

9.3.1 Allgemeines
9.3.2 Eingaben für die Managementbewertung
9.3.3 Ergebnisse der Managementbewertung
Verbesserung des BCMS
Aufbewahrung dokumentierter Informationen

10 Verbesserung

10.1 Nichtkonformität und Korrekturmaßnahmen

10.1.1 Allgemeines
10.1.2 Auftreten von Nichtkonformitäten
10.1.3 Aufbewahrung dokumentierter Informationen

10.2 Fortlaufende Verbesserung

Literaturhinweise