Definition und Zweck

Der Zweck von ISO/IEC 22301 besteht darin, Organisationen einen Rahmen zu bieten, um ein BCMS zu planen, einzurichten, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und kontinuierlich zu verbessern. Es soll eine Organisation vor einer Vielzahl potenzieller Bedrohungen und Störungen schützen, wie z. B. Naturkatastrophen, IT-Ausfälle, Mitarbeiterkrankheiten, terroristische Aktivitäten oder andere Ereignisse, die den Betrieb stören könnten.

Verantwortliche Organisation

Die Norm wird von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht und gewartet.

Letzte Aktualisierung

Die neueste Version von ISO/IEC 22301 wurde 2019 veröffentlicht und ist als ISO/IEC 22301:2019 bekannt.

Gilt für

ISO/IEC 22301 ist auf jede Organisation anwendbar, unabhängig von ihrer Größe, Branche oder Geschäftstätigkeit. Es ist besonders relevant für Organisationen, die in risikoreichen Umgebungen arbeiten oder bei denen die Fähigkeit zur Fortführung des Betriebs von entscheidender Bedeutung ist.

Kontrollen und Anforderungen

ISO/IEC 22301 legt eine Reihe von Anforderungen für ein BCMS fest, einschließlich:

• Kontext der Organisation: Verständnis der Organisation und ihres Kontexts, der Bedürfnisse und Erwartungen interessierter Parteien sowie des Anwendungsbereichs des BCMS.
• Führung: Führung und Engagement, Politik, organisatorische Rollen, Verantwortlichkeiten und Befugnisse.
• Planung: Maßnahmen zur Behandlung von Risiken und Chancen, Geschäftsfortführungsziele und Pläne zu deren Erreichung.
• Unterstützung: Für das BCMS erforderliche Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Informationen.
• Betrieb: Operative Planung und Steuerung, die Geschäftsfolgenanalyse (BIA), Risikobewertung, Geschäftsfortführungsstrategien und -lösungen.
• Leistungsevaluation: Überwachung, Messung, Analyse, Bewertung, interne Audits und Managementbewertung.
• Verbesserung: Nichtkonformität und Korrekturmaßnahmen, kontinuierliche Verbesserung.

Für detaillierte Informationen zu Kontrollen und Anforderungen beachten Sie bitte die offizielle ISO/IEC 22301:2019 Dokumentation.

Audittyp, Frequenz und Dauer

Audits zur Überprüfung der ISO/IEC 22301-Konformität können intern, durch Kunden oder durch externe Zertifizierungsstellen durchgeführt werden. Zertifizierungsaudits werden in zwei Phasen durchgeführt: Phase 1 (Readiness Review) und Phase 2 (Bewertung der Implementierung). Interne Audits werden in der Regel jährlich durchgeführt, aber die Häufigkeit kann höher sein, abhängig von der Betriebsumgebung der Organisation. Überwachungsaudits durch Zertifizierungsstellen werden typischerweise jährlich durchgeführt, mit einem Rezertifizierungsaudit alle drei Jahre.

Die Dauer des Audits hängt von der Größe und Komplexität der Organisation, dem Umfang des BCMS und der Anzahl der im Umfang enthaltenen Standorte ab. Ein Audit kann von einem Tag für eine kleine Organisation bis zu mehreren Wochen für ein multinationales Unternehmen dauern.