20
Überblick über BCM-relevante Standards BCM Standards Matthias Hämmerle MBCI November 2014 Alle Rechte bei BCM-News, keine Veröffentlichung ohne ausdrückliche Genehmigung

BCM Standards 11.2014

Embed Size (px)

DESCRIPTION

Überblick über relevante Standards für Business Coninuity Management (deutsch und international).

Citation preview

Page 1: BCM Standards 11.2014

Überblick über BCM-relevante Standards

BCM Standards

Matthias Hämmerle MBCI

November 2014

Alle Rechte bei BCM-News, keine Veröffentlichung ohne ausdrückliche Genehmigung

Page 2: BCM Standards 11.2014

Standards und Good Practices für BCM

2

Gesetzliche und regulatorische

Anforderungen

Internationale und nationale

StandardsGood Practices

© BCM-News

Page 3: BCM Standards 11.2014

AktG

3

AktG:

§ 91: Organisation, Buchführung:(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den

Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

§ 93: Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder:(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften

Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information

zum Wohle der Gesellschaft zu handeln. (…)

§ 116: Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder:Für die Sorgfaltspflicht und Verantwortlichkeit der Aufsichtsratsmitglieder gilt § 93 mit Ausnahme des Absatzes 2 Satz 3

über die Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder sinngemäß.

© BCM-News

Page 4: BCM Standards 11.2014

AktG

4

AktG

§ 317: Gegenstand und Umfang der Prüfung:(4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen,

ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine

Aufgaben erfüllen kann.

§ 321: Prüfungsbericht:

(4) Ist im Rahmen der Prüfung eine Beurteilung nach § 317 Abs. 4 abgegeben worden, so ist deren Ergebnis in einem besonderen Teil des Prüfungsberichts darzustellen. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das interne Überwachungssystem zu verbessern.

© BCM-News

Page 5: BCM Standards 11.2014

GmbHG

5

GmbHG

§ 43: Haftung der Geschäftsführer:(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines

ordentlichen Geschäftsmannes anzuwenden.(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den

entstandenen Schaden.(3) Insbesondere sind sie zum Ersatz verpflichtet, wenn den Bestimmungen des §30 zuwider

Zahlungen aus dem zur Erhaltung des Stammkapitals erforderlichen Vermögen der Gesellschaft

gemacht oder den Bestimmungen des §33 zuwider eigene Geschäftsanteile der Gesellschaft erworben worden sind. Auf den Ersatzanspruch finden die Bestimmungen des § 9b Abs.1

entsprechende Anwendung. Soweit der Ersatz zur Befriedigung der Gläubiger der Gesellschaft erforderlich ist, wird die Verpflichtung der Geschäftsführer dadurch nicht aufgehoben, daßdieselben in Befolgung eines Beschlusses der Gesellschafter gehandelt haben.

(4) Die Ansprüche auf Grund der vorstehenden Bestimmungen verjähren in fünf Jahren.

© BCM-News

Page 6: BCM Standards 11.2014

MaRisk des BaFin

6

Mindestanforderungen für das Risikomanagement (MaRisk)*

AT 7.3 Abs. 1 Notfallkonzept

„Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die

im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher

Schäden zu reduzieren. Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch

Notfalltests zu überprüfen. Die Ergebnisse der Notfalltests sind den jeweiligen Verantwortlichen

mitzuteilen.

Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut

und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen.“

AT 7.3 Abs. 2 Notfallkonzept

„Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen. Die

Geschäftsfortführungspläne müssen gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur

Verfügung stehen. Die Wiederanlaufpläne müssen innerhalb eines angemessenen Zeitraums die

Rückkehr zum Normalbetrieb ermöglichen. Die im Notfall zu verwendenden Kommunikationswege sind

festzulegen.

Das Notfallkonzept muss den beteiligten Mitarbeitern zur Verfügung stehen.“

*(Rundschreiben 15/2009 des BaFin auf der Grundlage des § 25a Abs. 1 (Besondere organisatorische Pflichten von Instituten)

des Kreditwesengesetzes (KWG), Fassung vom 14.08.2009 © BCM-News

Page 7: BCM Standards 11.2014

BCI Good Practice Guidelines

7

© BCM-News

bci Good Practice Guidelines 2013 Herausgeber

Business Continuity Institute bci (UK)

Englisch (GPG 2013), Deutsch (GPG 2013)

Bezug über die Homepage des bci ,

Preis: 23 Euro, www.thebci.org

Inhalte

6 Phasen des BCM Lebenszyklus:

Management Practices

Policy & Programm Management

Einbettung in die Unternehmenskultur

Technical Practices

Verständnis des Geschäfts (BIA, RIA)

BCM Strategie

Notfallplanung

Tests, Maintenance, Monitoring

Page 8: BCM Standards 11.2014

BS 25999-1:2006

8

© BCM-News

BS 25999-1:2006 Code of Practice Herausgeber

British Standards (2006)

Englisch und Deutsch

Veröffentlichung: November 2006

Bezug über die Homepage von British Standards

(www.bsigroup.com)

Inhalte

Business Continuity Management Lifecycle:

BCM Programm Management

Verständnis des Geschäfts / BIA

Business Continuity Strategie

Notfallplanung

Tests, Maintenance, Monitoring

Einbettung in die Unternehmenskultur

Zertifizierung

Keine Zertifizierung nach BS 25999-1 möglich

Page 9: BCM Standards 11.2014

BS 25999-2:2007

9

© BCM-News

BS 25999-2:2007 Specification Herausgeber

British Standards

Englisch und Deutsch

Veröffentlichung: 20. November 2007

Inhalte

Anforderungen an ein Business Continuity

Management System für eine Zertifizierung

Business Continuity Management System BCMS

Implementierung und Betrieb des BCMS nach

BCM-Lebenszyklus

BCMS-Dokumentationen

Überwachung und Audit des BCMS

Weiterentwicklung und Verbesserung des BCMS

Zertifizierung

Zertifizierung eines BCMS nach BS 25999-2

während der Übergangsperiode zum ISO 22301

(November 2012)

Page 10: BCM Standards 11.2014

ISO 22301:2012

10

ISO/IEC 22301 Herausgeber

International Organization for Standardization ISO

Englisch

Technical Committee ISO/TC 223

Veröffentlichung: 15. Mai 2012

Inhalte

Teil einer ISO-Familie zu Societal Security

Anforderungen an ein BCMS

Leadership, Planning, Support, Operation,

Performance evaluation, Improvement

Zertifizierung

Zertifizierung nach ISO 22301 möglich

© BCM-News

Page 11: BCM Standards 11.2014

ISO 22313:2012

11

ISO/IEC 22313 BCMS Guidance Herausgeber

International Organization for Standardization ISO

Englisch

Technical Committee ISO/TC 223

Veröffentlichung: Dezember 2012

Inhalte

Teil einer ISO-Familie zu Societal Security

Guidance zum ISO 22301

Leadership, Planning, Support, Operation,

Performance evaluation, Improvement

Zertifizierung

Zertifizierung nach ISO 22301 möglich

© BCM-News

Page 12: BCM Standards 11.2014

Gliederung von ISO 22301 und ISO 22313

12

© BCM-News

Page 13: BCM Standards 11.2014

BSI 100-4

13

BSI 100-4 Herausgeber

Bundesamt für Sicherheit in der

Informationstechnik

Deutsch

Veröffentlichung: 2008

Bezug kostenfrei über die Homepage des BSI

www.bsi.bund.de

Inhalte

Initiierung des Notfallmanagements (Organisation,

Rollen)

Notfallmanagement-Prozess

Konzeption einer Business Impact Analyse

Tests und Übungen

Krisenmanagement

Gliederungsbeispiele für Notfallhandbuch und

Geschäftsfortführungsplan

Zertifizierung

Keine Zertifizierung nach BSI 100-4 möglich

© BCM-News

Page 14: BCM Standards 11.2014

ISO 27031:2011

14

ISO/IEC 27031:2011 Herausgeber

ISO (the International Organization for

Standardization)

IEC (the International Electrotechnical

Commission)

Veröffentlichung: 31. März 2011

Inhalte

Plan – Do – Check – Act für die Implementierung

der Notfallvorsorge für Informations- und

Kommunikationstechnologie

Schnittstellen zum BCM

Plan: (Policy, Gap-Analyse, Strategie)

Do: IRBC Plan

Check: Monitoring, Review

Act: Management Review

Zertifizierung

Keine Zertifizierung möglich

© BCM-News

Page 15: BCM Standards 11.2014

ISO 24762:2008

15

ISO/IEC 24762:2008 Herausgeber

ISO (the International Organization for

Standardization)

IEC (the International Electrotechnical

Commission)

Veröffentlichung: 01. Februar 2008

Inhalte

Anforderungen an interne und externe Service

Provider für Disaster Recovery Services

Anforderungen an Implementierung, Betrieb,

Überwachung sowie Wartung und Aktualisierung

von DR Services

Zertifizierung

Zertifizierung nach ISO/IEC 24762:2008 möglich

© BCM-News

Page 16: BCM Standards 11.2014

ITIL

16

ITIL 2011 edition Herausgeber

TSO und itSMF Deutschland e.V.

www.itil-officialsite.com

Inhalte

Service Level Management

Service Catalogue Management

Information Security Management

Supplier Management

IT Service Continuity Management

Availability Management

Capacity Management

Zertifizierung

Zertifizierung nach ISO/IEC 20000-1:2011

© BCM-News

Page 17: BCM Standards 11.2014

BS 11000-1,-2

17

BS 11000-1:2010, BS 11000-2:2011 Herausgeber

BSi (2010, 2011)

Standard

Englisch

Bezug über die Homepage des BSi

Inhalte

awareness

knowledge

Internal assessment

partner selection

working together

value creation

staying together

exit strategy

© BCM-News

Page 18: BCM Standards 11.2014

PD 25222:2011

18

PD 25222:2011 Herausgeber

BSi (Dezember 2011)

Published Document (PD)

Englisch

Bezug über die Homepage des BSi

Inhalte

Why is supply chain important?

Analysis of the supply chain

Considering options: developing strategies

Operational considerations

Assurance, ongoing management and review

© BCM-News

Page 19: BCM Standards 11.2014

Internationale BCM-Standards (unvollständig)

19

ISO 22301:2011

BCM-Standards

National Fire Protection Association: NFPA 1600:2013

ASIS International: ASIS SPC.1-2009

ASIS International: Organizational Resilience Maturity Model ANSI Standard (ANSI/ASIS.SPC.4-2012)

Australia/New Zealand Standard: AS/ZS 5050:2010

Business Continuity – Managing disruption-related risk

Singapore Standard SS540:2008

Canadian Standard CSA Z1600 Emergency Management and Business Continuity Programs

Japanese Corporate Code – BC Guidelines 2005 by Ministry of Economy, Trade and Industry

National Institute of Standards and Technology: NIST SP 80034 – Contingency Planning Guide for Information Technology (IT) Systems; NIST SP 800-53 Rev. 3 Contingency Planning (CP) controls

New York Stock Exchange: NYSE Rule 446

Page 20: BCM Standards 11.2014

Kontakt

Matthias Hämmerle MBCIBusiness Continuity Manager

[email protected]

www.bcm-news.de