3. Piste

Exklusiver Heftinhalt

Business Continuity statt Krise: Wien ist ISO-22301-Pionier

9. August 2016, 13:25

Als erste Organisation in Österreich hat die Magistratsabteilung 14 der Stadt Wien ein Managementsystem für Business Continuity nach ISO 22301 implementiert und zertifizieren lassen: Das BCM-System zielt darauf ab, sämtliche von der IT-Abteilung unterstützte Kommunikations- und Versorgungskanäle im Krisenfall funktionsfähig zu halten und dadurch rasch und professionell handeln zu können.

Artikel aus Ausgabe 2/2016 – hier geht es direkt zur Heftbestellung!

Wien ist anders. „Für die MA 14 als IT-Abteilung sind Krisenmanagement und Business Continuity besonders wichtige Themenbereiche – die moderne Verwaltung basiert auf dem Einsatz von IT für die Kommunikation zwischen BürgerInnen, Unternehmen und Verwaltung und der effizienten IT-Unterstützung von internen Geschäftsprozessen“, unterstreicht Ing. Dr. Johann Klar, Abteilungsleiter der MA 14 – Automationsunterstützte Datenverarbeitung, Informations- und Kommunikationstechnologie – die Bedeutung eines Managementsystems nach ISO 22301 und ergänzt: „Krisen kann man nicht vorhersehen, nicht planen und nicht mit Checklisten abarbeiten. Wir bereiten uns aber bestmöglich darauf vor, Krisensituationen mit erprobten Abläufen und Strukturen professionell zu bewältigen.“

Der im Jahr 2012 veröffentlichte internationale Standard ISO 22301 für „Societal security – Business continuity management systems“ dient der MA 14 als inhaltliches Rahmenwerk und Zertifizierungsstandard. „Von seinem Inhalt her ist der BCM-Standard kompakt und übersichtlich“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS, die für die Durchführung von Zertifizierungen nach ISO 22301 staatlich akkreditiert ist und als Zertifizierungspartner der MA 14 fungiert. Die Norm legt die Anforderungen fest, um ein dokumentiertes Managementsystem für Business Continuity zu planen, einzuführen, zu betreiben und ständig zu verbessern. Die wichtigsten Ziele bestehen darin, eine Organisation gegen Zwischenfälle mit Betriebsunterbrechungen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, im Fall des Falles rasch und koordiniert zu reagieren – und so rasch wie möglich alle Leistungen wieder im gewohnten Umfang bereit zu stellen.

Schlüsselthema für Versorger

„BCM ist ein Schlüsselthema für alle Unternehmen und Organisationen, die eine wichtige Versorgerrolle für die Gesellschaft einnehmen und sogenannte kritische Infrastruktur bereit stellen. Dazu gehören neben Stromversorgern, Banken, IT-Anbietern oder Logistikunternehmen auch öffentliche Verwaltungen“, betont CIS-Chef Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS. Die IT-Abteilung des Magistrats der Stadt Wien wird in Kürze die erste Organisation in Österreich sein, die eine BCM-Zertifizierung nach ISO 22301 vorweisen kann. Normexperten gehen davon aus, dass sich das noch recht junge Thema Business Continuity in den kommenden Jahren zunehmend in der Unternehmenslandschaft verbreiten wird. Die Thematik hat sich in letzter Zeit stark in den IT-Bereich verlagert und mit der ISO 22301 zur Enterprise Business Continuity weiter entwickelt.

Methoden frei wählbar

Die generisch gehaltene Norm lässt die Methodenwahl zur Umsetzung der einzelnen BCM-Ziele offen. Daher wendet die MA 14 die
Richtlinie für Staatliches Krisen- und Katastrophenschutzmanagement (SKKM) des Bundesministeriums für Inneres an, in der Methoden, Verfahren und Stabstrukturen zum Führen im Katastrophenfall konkreter beschrieben werden. „Die Umsetzung der BCM-Inhalte brauchen wir als Teil der Stadtverwaltung deshalb, weil unsere Leistungen für das reibungslose Funktionieren der Verwaltungsabläufe unbedingt notwendig sind“, erklärt Mag. Manuel Stecher, verantwortlich für die Umsetzung der BCM-Zertifizierung in der MA 14. Der Geltungsbereich der Zertifizierung umfasst ebenso wie die bereits durchgeführte ISO-27001-Zertifizierung für Informationssicherheit die gesamte Magistratsabteilung 14, die für die IKT-Infrastruktur und -Services der Stadt Wien zuständig ist, sowie sämtliche IKT-Dienste, die von der MA 14 zur Verfügung gestellt werden. „In allen Bereichen der Verwaltung könnte ein Betriebsstillstand zu chaotischen Zuständen mit unabsehbaren Folgen führen“, berichtet Manuel Stecher.

Incident Management als Basis

Das Fundament des BCM-Systems im Magistrat Wien bildet das Incident Management nach ITIL V3 sowie ISO 20000. Damit werden die nicht kritischen, technischen Störungen wie etwa der Ausfall eines PCs adressiert. Alle Vorfälle, die kritische Auswirkungen auf die Kernservices haben können, werden im Notfallmanagement behandelt. Das Notfallmanagement verfügt über erweiterte Kompetenzen, so dass selbständig ein Lösungsteam aufgrund definierter Rollenbeschreibungen zusammengestellt werden kann. Vorfälle mit potenziellen dramatischen Auswirkungen auf die Geschäftsprozesse werden im Krisenmanagement oder Krisenstab behandelt. Als Krise sind Situationen mit Merkmalen definiert wie: Existenzbedrohend für die Kernprozesse, komplex, mit normalen Organisationsabläufen nicht lösbar. Das Betreiben des BCM-Systems nach ISO 22301 ist organisatorisch nahtlos mit dem Informationssicherheits-Managementsystem nach ISO 27001 verknüpft.

Krisenstab zur flexiblen Steuerung

Die Einrichtung eines Krisenstabs wird zwar von der Norm nicht explizit gefordert, erschien aber im Falle der Verantwortungsbereiche der MA 14 zielführend. Der Krisenstabsleiter hat im Ernstfall weitreichende Kompetenzen und kann frei entscheiden was wie wann durch wen zu tun ist. Dadurch werden rasche Entscheidungen und flexibles Handeln ermöglicht. Im Krisenstab gibt es für jede Funktion mehrere Mitarbeiterinnen und Mitarbeiter, die gleichwertig ausgebildet sind und sich gegenseitig ersetzen können. „Wir haben keine fertigen Krisen-Pläne in der Schublade, sondern wir haben drei Hauptkategorien an möglichen Krisenfällen entwickelt, zu denen unser Krisenstab 3-5 mal im Jahr an entsprechenden Übungen teilnimmt, um seine Funktions- und Reaktionsfähigkeit ständig zu testen und weiter zu entwickeln“, erklärt Manuel Stecher. Die drei Kategorien umfassen technisches Versagen, umweltbezogene sowie intentionale Gefahren. So wurde zum Beispiel unter der Annahme einer Pandemie eine Übung durchgeführt, in deren Rahmen sämtliche IKT-Kernprozesse mit halber Belegschaft aufrechterhalten werden mussten. Zusammenfassend betont Stecher: „Erst der Krisenstab macht uns auch wirklich krisenfest.“

EXKLUSIVER HEFTINHALT

EU-Datenschutzgrundverordnung

Time is running out   Am 27. April 2016 wurde die neue EU-Datenschutzgrundverordnung (EU-DSGVO) erlassen. Sie gilt ab 25. Mai 2018, macht umfangreiche Dokumentationserfordernisse, Prüfungen und teilweise massive Umstellungen notwendig. Aus Gesprächen mit Unternehmensvertretern, Rechtsanwälten und Unternehmensberatern kristallisiert sich  [ weiterlesen ]

Qualität

Zukunft der Qualitätskontrolle

Smart Automation, Intertool und C4I in der Messe Wien Zukunft der Qualitätskontrolle: Showcase zeigt mobile Checklisten   Eine Modell-Straßenbahn gibt Einblick in die Qualitätskontrolle von morgen. Denn mobile Checklisten ersetzen die Kontrolle am Papier und bieten eine Reihe weiterer  [ weiterlesen ]

Qualität

CSR-Berichte: Wie viel sagen sie wirklich aus?

Alleine 100 große Unternehmen veröffentlichen jährlich rund 25.000 Seiten Geschäfts- bzw. Jahresberichte. Neben zahlreichen quantitativen Informationen legen Unternehmen darin auch ihr Engagement im Bereich Corporate Social Responsibility (CSR) offen. Die WU-Wissenschafterin Stéphanie Mittelbach-Hörmanseder erklärt in ihrer Forschung, warum sich  [ weiterlesen ]

Qualitätssicherung

Temperaturüberwachung sichert Qualität bei Migros

LOSTnFOUND ermöglicht lückenlose Dokumentation der Kühlkette bei der Migros-Genossenschaft Ostschweiz Temperaturüberschreitungen können rechtzeitig festgestellt und behoben werden   Für manche Unternehmen bedeutet eine Telematik-Lösung einfach, dass sie Zeit einsparen und sich die Abläufe etwas leichter machen, vielleicht etwas weniger Telefoniererei haben und somit  [ weiterlesen ]

Ausbildung

Österreichs beste Seminaranbieter

Studie: WIFI, Hernstein, Controller Institut, TÜV Austria und Berlitz sind Österreichs beste Seminaranbieter   Das Österreichische INDUSTRIEMAGAZIN befragte 378 Führungskräfte nach der Qualität von 88 Anbietern von Fortbildungsangeboten.   Wie schon im Vorjahr setzte sich in der Kategorie „Gesamtanbieter“  [ weiterlesen ]

Management

Digitalisierung verdoppelt sich in den DAX-Geschäftsberichten

Studie: Berichterstattung zum Thema Digitalisierung verdoppelt sich in den DAX-Geschäftsberichten – konkrete Projekte werden bei einigen Konzernen seltener   Die Digitalisierung mausert sich in den Geschäftsberichten der DAX-Konzerne immer mehr zum zentralen Thema. Die Informationen zum Thema Digitalisierung in  [ weiterlesen ]