Liebe Kundinnen, liebe Kunden,
wir verabschieden uns in die Feiertage und sind ab dem 2. Januar 2025 wieder persönlich für Sie da.
Bitte beachten Sie, dass neue Registrierungen und manuell zu bearbeitende Anliegen erst ab diesem Zeitpunkt bearbeitet werden.
Bestellungen und Downloads können Sie selbstverständlich jederzeit online durchführen, und unsere FAQ bieten Ihnen viele hilfreiche Informationen.
Wir wünschen Ihnen schöne Feiertage, eine besinnliche Zeit und ein gesundes Neues Jahr!
Ihre DIN Media GmbH
Montag bis Freitag von 08:00 bis 15:00 Uhr
Unternehmen und andere Organisationen sind ständig Gefahren ausgesetzt. Doch auch wenn Krisen und Störfälle sich nicht immer vermeiden lassen: Eine durchdachte Vorbereitung hilft. Mit Normen für stärkere Belastbarkeit, Risikomanagement und Business Continuity Management.
Die Fähigkeit, Veränderungen in der Umgebung aufzunehmen und sich an diese anzupassen, wird gemeinhin als Resilienz beschrieben. Ein Unternehmen (oder eine andere Organisation) soll in die Lage versetzt werden, Belastungen zu überstehen, dabei die gesteckten Ziele zu erreichen und sich vorteilhaft zu entwickeln.
Es gibt keine absolute Kennzahl oder ein bestimmtes Ziel für Resilienz. Eine Organisation kann nur relativ gesehen – mehr oder weniger – resilient (belastbar) sein. Organisationen, die stärker belastbar sind, können Bedrohungen und Chancen, die sich aus plötzlichen oder schleichenden Veränderungen ihrer Umgebung entwickeln, vorausahnen und darauf reagieren.
Die eigene Belastbarkeit zu steigern, kann ein strategisches Ziel der Organisation sein und ist das Ergebnis guter und verantwortungsvoller Unternehmensführung sowie eines wirksamen Umgangs mit Risiken.
Es gibt keinen allgemeingültigen Lösungsansatz, um die Belastbarkeit einer Organisation zu erhöhen. Zwar gibt es etablierte Führungsmethoden, die zur Belastbarkeit des Unternehmens beitragen – aber einzeln betrachtet reichen diese Methoden nicht aus, um die Belastbarkeit abzusichern. Die Belastbarkeit einer Organisation ist das Ergebnis des Zusammenspiels von Merkmalen und Maßnahmen sowie Beiträgen verschiedener Führungs-Fachgebiete. Sie werden vor allem durch drei Faktoren beeinflusst: den Umgang mit Unsicherheiten, die Art der Entscheidungsfindung und die Qualität der Zusammenarbeit in der Belegschaft.
Verpflichtet sich eine Organisation auf das Ziel, ihre Belastbarkeit zu erhöhen, erreicht sie dadurch:
Die ISO 22316 (Security and Resilience – Organizational Resilience – Principles and Attributes) kann Unternehmen dabei unterstützen, ihre Belastbarkeit zu erhöhen. Die internationale Norm enthält unter anderem:
In Abschnitt 4.1 der Norm werden die Grundsätze für einen verbesserten Stand der Belastbarkeit aufgeführt:
In einem koordinierten Ansatz soll die Organisation
Wenn eine Organisation (ein Unternehmen) sich die Grundlagen für die eigene Belastbarkeit angeeignet hat, wird sie in der Regel die Eigenschaften aufweisen, die in der Norm beschrieben sind:
Der Entwicklung und Koordination von Steuerungselementen kommt dabei besondere Bedeutung zu. Ihr Entwurf und ihre Entwicklung und Koordination sowie ihre Ausrichtung an den strategischen Zielen sind grundlegend für die Verstärkung der betrieblichen Belastbarkeit. Die Organisation sollte darstellen, dass sie
Die Bewertung stellt der Unternehmensleitung Einsichten und Informationen zur Verfügung, wie die Strategie und die Ziele der betrieblichen Belastbarkeit noch den Anforderungen der Organisation gerecht werden oder wo Chancen zur Verbesserung bestehen.
Die Unternehmensleitung muss dafür
Die Organisation soll
Im Anhang der Norm werden Steuerungselemente aufgezählt, die die Empfehlungen der Norm im Abschnitt 5.8 unterstützen.
asset management | Asset-Management |
business continuity management | Business Continuity Management |
crisis management | Krisenmanagement |
cyber security management | Management von Cybersicherheit |
communications management | Steuerung der Kommunikation |
emergency management | Gefahrenabwehr |
environmental management | Umweltmanagement |
facility management | Facility Management |
financial control | Steuerung der Finanzen |
fraud control | Betrugsprävention |
governance | Governance |
health and safety management | Management von Sicherheit und Gesundheit bei der Arbeit |
human resources management | Personalmanagement |
information security management | Informationssicherheitsmanagement |
information, communications and technology | Informations- und Kommunikationstechnologien |
physical security management | Steuerung der physischen Sicherheit |
quality management | Qualitätsmanagement |
risk management | Risikomanagement |
supply chain management | Steuerung von Lieferketten |
strategic planning | Strategische Planung |
Resilienz ist in der Definition der ISO-Normen kein unternehmerisches Steuerungselement, sondern das Ergebnis der Anwendung von Steuerungselementen, deren Anforderungen den Managementsystemnormen zu entnehmen sind. Daher reicht es nicht, die ISO 22316 anzuwenden. Sie ist nur eine Hilfsnorm, die den Zusammenhang mit Empfehlungen beschreibt. Die Liste der Steuerungselemente im Anhang A liefert den relevanten Gesamtzusammenhang für die Belastbarkeit einer Organisation.
Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen. |
Norm [AKTUELL] 2019-07
DIN ISO 22320:2019-07ab 91,80 EUR inkl. MwSt.
ab 85,79 EUR exkl. MwSt.
Publikation DIN Media Praxis 2021-03
Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeitab 48,00 EUR inkl. MwSt.
ab 44,86 EUR exkl. MwSt.
In einem Markt mit globalen Lieferketten können sich Störfälle zu unerwarteten Gefährdungen entwickeln. Die Corona-Pandemie hat gezeigt, wie anfällig viele Unternehmen zum Beispiel im Fall eines Lockdowns sind. Auch wenn nicht alle potenziellen Risiken im Vorfeld abgewendet werden können: Ein Business Continuity Management (BCM) nach ISO 22301 erleichtert die Aufrechterhaltung der Betriebsfähigkeit im Ernstfall erheblich.
Zu den für die Belastbarkeit (Resilienz) eines Unternehmens relevanten Steuerungselementen gehört die Aufrechterhaltung der Betriebsfähigkeit durch Business Continuity Management (BCM). Die Anforderungen für das BCM ergeben sich aus der DIN EN ISO 22301:2020-06; ergänzende Empfehlungen finden sich in den Begleitnormen. Auch in kleinen und mittleren Unternehmen lassen sich die Normen ohne Weiteres umsetzen.
Seit 2012 stellt die ISO 22301 ein Rahmenwerk zur Verfügung, mit dem sich ein Business Continuity Managementsystem (BCMS) nicht nur planen, entwickeln, einführen und betreiben, sondern auch überwachen und überprüfen lässt. Die Norm war weltweit der erste Standard, der die Anforderungen beschreibt, die nötig sind, um die Aufrechterhaltung der Betriebsfähigkeit zu steuern. Im Oktober 2019 wurde sie mit der Veröffentlichung der neuen englischen Fassung aktualisiert sowie als europäische Norm – und damit auch als deutsche Norm (DIN EN ISO 22301) – übernommen.
Die Norm folgt dem PDCA-Ansatz (Plan – Do – Check – Act), der für alle ISO‑Managementsystemnormen gilt.
Auch wenn die meisten Zwischenfälle klein sind, können sie bedeutende Auswirkungen haben. Deshalb lohnt sich ein BCM zu jeder Zeit. Inzwischen gibt es ein globales Bewusstsein dafür, dass Organisationen im öffentlichen und privaten Sektor wissen müssen, wie sie sich auf unerwartete Störfälle vorbereiten und auf diese reagieren.
Für die Aufrechterhaltung der Betriebsfähigkeit stellt die Internationale Organisation für Normung (ISO) eine Dokumentenfamilie zur Verfügung. ISO 22301 ist die Basisnorm für die Aufrechterhaltung der Betriebsfähigkeit. Sie wird unterstützt von der ISO 22313 (Sicherheit und Schutz des Gemeinwesens – Business Continuity Management Systems – Leitlinie), die Leitlinien zur Implementierung der ISO 22301 enthält. Vertiefende Information und Beispiele, die ein umfänglicheres Verständnis für das BCMS enthalten, finden sich in mehreren Technischen Spezifikationen (TS). Die wichtigsten:
Der erste Schritt bei der Einführung der ISO 22301 in einem Unternehmen konzentriert sich auf vier Abschnitte der Norm, deren Anforderungen für ein wirksames Business Continuity Management System (BCMS) berücksichtigt werden müssen:
Jedes Thema in einem Unternehmen kann mit Risiken oder Chancen verbunden sein, die gegebenenfalls Maßnahmen erforderlich machen. Im Zusammenhang mit Abschnitt 6 beziehen sich Risiken und Chancen auf die Wirksamkeit des Steuerungssystems, mit dem die Betriebsfähigkeit aufrechterhalten werden soll.
Die Organisation muss die Ziele zur Aufrechterhaltung der Betriebsfähigkeit konkretisieren: Sie müssen an den maßgeblichen Funktionen des Betriebes ausgerichtet werden. Dabei wird bestimmt, was getan werden muss, welche Hilfsmittel erforderlich sind, wer verantwortlich ist und wie die Ergebnisse bewertet werden.
Werden Schwachstellen oder Chancen für die Verbesserung des BCMS identifiziert, müssen Änderungen geplant und umgesetzt werden.
Abschnitt 8 der Norm beschreibt, wie die Fähigkeiten des Unternehmens zur Steuerung der Aufrechterhaltung der Betriebsfähigkeit festgelegt und umgesetzt werden. Dafür werden vier Themen angesprochen
1. Definieren der Anforderungen und des Gefahrenpotenzials (Business Impact Analyse und Risikobeurteilung, Abschnitt 8.2)
Anforderungen und Gefahrenpotenziale werden mittels einer Business Impact Analyse (BIA) und einer Risikobeurteilung (RA) definiert.
Um die Auswirkungen von Störungen (und den Zeitrahmen, über den ihr Ausmaß bewertet wird) zu verstehen, sind Kennzahlen erforderlich. Zwei Größen müssen bestimmt werden:
Wenn jeder Aktivität ein RTO zugeordnet wird, ergibt sich eine aufsteigende RTO-Liste, die es möglich macht, die Aktivitäten mit Priorität zu identifizieren. Um gleichzeitig die materiell wichtigen Ressourcen zu bestimmen, die für die Wiederherstellung einer Aktivität erforderlich sind, ist auch jeder Ressource das RTO der Aktivität zuzuordnen.
Das im Rahmen der Risikobeurteilung identifizierte Risiko muss im Zusammenhang mit Aktivitäten und Ressourcen hoher Priorität stehen. Maßgeblich sind dabei die Gefahren, die eine betriebliche Störung zur Folge haben können. Für den Prozess der Risikobeurteilung wird auf die ISO 31000 (Risikomanagement) verwiesen.
2. Definieren der Strategien, um die Anforderungen an die Aufrechterhaltung der Betriebsfähigkeit zu erfüllen, das Gefahrenpotential zu entschärfen und Lösungen zur Umsetzung auszuwählen (Abschnitt 8.3)
Die Organisation muss Strategien und Lösungen vor, während und nach einer Störung ermitteln und auswählen. Für jede Aktivität und Ressource mit Priorität sollte geschultes und erfahrenes Personal bei der Bestimmung von geeigneten Strategien zusammenarbeiten. Für jede ausgewählte Lösung müssen die für die Umsetzung der Lösung erforderlichen Hilfsmittel ermittelt werden.
3. Umsetzen dieser Lösungen durch Steuerungsmaßnahmen mittels Planung und kompetenter Teams (Abschnitt 8.4)
Basierend auf den Strategien und Lösungen sollte die Organisation eine dokumentierte Reaktionsstruktur haben: ein Dokument, das beschreibt, wie die Organisation während einer Störung gesteuert wird.
Für sich allein sind Pläne und Methoden nutzlos. Sie müssen von Teams befolgt werden, die so aufgestellt sind, dass sie die allgemeinen Bedürfnisse der Organisation während einer Störung erfüllen können. Wesentlich für eine erfolgreiche Reaktionsstruktur ist es, sicherzustellen, dass die Teams schnell eingesetzt werden können und dass jedes Team in der Lage ist, seine Ziele zu erreichen.
Um die Kompetenz, das Selbstvertrauen und das Wissen derjenigen zu verbessern, denen bestimmte Rollen bei der Reaktion auf eine Störung und der anschließenden Wiederaufnahme des Betriebs zukommen, wird das BCM durch Übungen und Prüfungen (samt Dokumentation der Ergebnisse) verankert. Zusätzliche Handlungsempfehlungen finden sich in der ISO 22398 (Sicherheit und Schutz des Gemeinwesens – Leitfaden für das Üben und Erproben).
Bewertungen der BC-Fähigkeiten und der Teamkompetenz sollen zeigen, ob diese weiterhin geeignet, angemessen und wirksam sind. Die Erfahrungen sollen helfen, die Prozesse bei ihrer Überprüfung zu verbessern und an die Leitlinien anzupassen.Am Ende der Norm steht – wie bei allen Managementsystemnormen der ISO die Anforderung, die Leistung und die Wirksamkeit des BCMS zu bewerten, die Möglichkeiten zur Verbesserung des BCMS zu bestimmen es fortlaufend zu verbessern.
Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen. |
Publikation DIN Media Praxis 2021-03
Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeitab 48,00 EUR inkl. MwSt.
ab 44,86 EUR exkl. MwSt.
Norm [AKTUELL] 2020-06
DIN EN ISO 22301:2020-06ab 112,30 EUR inkl. MwSt.
ab 104,95 EUR exkl. MwSt.
Norm [AKTUELL] 2020-10
DIN EN ISO 22313:2020-10ab 175,20 EUR inkl. MwSt.
ab 163,74 EUR exkl. MwSt.
Wenn ein gefährlicher Zwischenfall droht oder bereits eingetreten ist, muss schnell und wirksam gehandelt werden. Das gelingt am besten mit einer gut durchdachten Stabsstruktur, wie sie in DIN ISO 22320 beschrieben wird.
Die internationale Norm DIN ISO 22320 trägt im englischsprachigen Original den Titel Security and resilience - Emergency management - Guidelines for incident management (ISO 22320:2018). Ihr Inhalt beschreibt die Reaktion einer Organisation auf Schadensereignisse bzw. „Zwischenfälle“ (engl. incidents), zu deren Bekämpfung oder Verhinderung operative Maßnahmen erforderlich sind. Die Norm ist für öffentliche Institutionen der Gefahrenabwehr ebenso anwendbar wie für den privatwirtschaftlichen Sektor.
Bei der Erarbeitung dieses internationalen Standards wurden Best-Practice-Verfahren verschiedener Länder zusammengeführt. Herausgekommen ist mehr als der kleinste gemeinsame Nenner. Da die Organisation und Umsetzung operativer Gefahrenabwehr-Maßnahmen in der Regel sehr zeitkritisch ist, beschreibt die Norm im Kern die Organisation und Arbeitsweise einer Stabs-Struktur, in der arbeitsteilig
Unter der Leitung einer gesamtverantwortlichen Person oder Gruppe sollen grundsätzlich die folgenden (Stabs-)Funktionen eingerichtet werden:
Eine Stärke der Norm liegt darin, dass sie eine auf den unterschiedlichen Ebenen gleiche Zusammenarbeit von Organisationen beschreibt, ohne dass es ein Über- oder Unterstellungsverhältnis geben muss. Das ist besonders dann hilfreich, wenn etwa im öffentlichen Bereich Einheiten der Gefahrenabwehr grenzüberschreitend oder international zusammenarbeiten sollen. Mit der DIN ISO 22320 steht ein Regelwerk zur Verfügung, mit dem es zum Beispiel möglich wird, dass nach einem Erdbeben Hilfskräfte aus unterschiedlichen Ländern nach einem einheitlichen und international anerkannten Verfahren zusammenarbeiten und in gleichen Strukturen geführt und geleitet werden.
Diese Vorteile bieten sich auch, wenn unterschiedliche Organisationen und Institutionen des privatwirtschaftlichen und öffentlichen Sektors Vereinbarungen zu einem konzertierten Vorgehen schließen. Die Norm ist dabei eine Orientierungshilfe, mit der sich vergleichbare Strukturen für besondere Lagen vorbereiten und im Ereignisfall einrichten lassen. Die Berücksichtigung der in der Norm empfohlenen Strukturen führt dann in jedem Fall zu einem besseren Verständnis der jeweiligen Entscheidungs- und Führungsprozesse.
Das folgende Schaubild macht diesen Charakter deutlich: Es stellt einen Führungsprozess dar, der von allen beteiligten Organisationen identisch vollzogen wird. Der Bedeutung angemessen beschreibt die Norm ausführlich auch die Voraussetzungen und Prozesse einer Zusammenarbeit der beteiligten Partner.
Koordinierter Führungsprozess (nach DIN ISO 22320)
Daneben gibt DIN ISO 22320 Hinweise zum Situationsbewusstsein, zur Informationsverarbeitung und zur durchgehenden Skalierbarkeit. Das Prinzip des „Situationsbewusstseins“ als Voraussetzung für Entscheidungen und als interner Prüfmaßstab ist Bestandteil der Norm. Bei der Zusammenarbeit verschiedener Organisationen wird es erweitert auf das „gemeinsame Situationsbewusstsein“. Dabei werden Informationen auf Verlässlichkeit und Relevanz geprüft. Den Betrachtungen der DIN ISO 22320 liegt die Annahme eines größeren (Schadens-)Ereignisses zugrunde. Das erleichtert die Skalierung auf kleinere Ereignisse durch Zusammenfassen oder Weglassen.
Leitender Branddirektor a. D. Benno Fritzen ist Leiter des Fachbereiches „Sicherheit und Schutz des Gemeinwesens“ (NA 031-05 FBR) sowie Obmann des DIN-Arbeitsausschuss „Organisations- und Steuerungsnormen für den Bevölkerungsschutz“ (NA 031-05-02 AA). |
Die meisten Unternehmen erfahren in einer globalen Welt mit ihren zahlreichen Bedrohungen verstärkt Unsicherheit und Unbeständigkeit ihrer Sicherheitsumgebung. Die daraus resultierenden Sicherheitslücken, Gefahren für die Sicherheit und Verletzungen ihrer Sicherheit beeinflussen ihre Ziele. Deshalb ist es sinnvoll, sich der Steuerung der Sicherheit der eigenen Organisation systematisch und grundsätzlich zu widmen. Frisch aus der ISO-Werkstatt wurde hierzu gerade die neue ISO 28000:2022 veröffentlicht.
Im März 2022 wurde die zweite Auflage der ISO 28000 veröffentlicht. Die Norm war ursprünglich im Technischen Komitee ISO/TC 8 Ships and marine technology entwickelt und 2007 veröffentlicht worden. Sie ist also eine sehr alte Norm, die über einen langen Zeitraum nicht überarbeitet wurde. Die alte Fassung wurde aber in zahlreichen Ländern zur Zertifizierung verwendet: 2016 stand dabei Indien mit 425 Zertifikaten an erster Stelle, gefolgt von Japan mit 299 und Spanien mit 231 Zertifikaten.
Am augenfälligsten ist die Änderung des Titels: In der Neufassung enthält er den Begriff „Lieferkette“ nicht mehr. Der Titel lautet jetzt ISO 28000:2022 Security and resilience - Security management systems - Requirements. Das bedeutet aber nicht, dass die Norm jetzt nicht mehr auf die Lieferkette angewendet werden kann. Der Anwendungsbereich ist im ersten Abschnitt (Scope) der Norm wie folgt beschrieben: „This document specifies requirements for a security management system, including aspects relevant to the supply chain.“ („Dieses Dokument legt die Anforderungen an ein Sicherheitsmanagementsystem fest, einschließlich der für die Lieferkette relevanten Aspekte.“) Das entspricht dem Scope in der alten Fassung der Norm. Auch die in der Norm beschriebenen Anforderungen haben sich nicht geändert. Bestehende Zertifizierungen bleiben gültig und können bei Endfälligkeit ohne Schwierigkeiten auf der Basis der überarbeiteten Norm erneuert werden.
Auch inhaltlich gab es zwei Änderungen:
Beide Änderungen sind nicht zertifizierungsrelevant, da es nach der Systematik der ISO keine Umsetzungsprüfung für Empfehlungen gibt – auch wenn manche Zertifizierungs-Berater*innen es gerne anders darstellen.
Die Übernahme der deutschen Fassung der Norm in den Normenkatalog des DIN hat der zuständige Ausschuss im DIN bereits beschlossen. Die Veröffentlichung ist noch 2022 zu erwarten.
Die Struktur der Norm folgt dem PDCA-Modell (Plan – Do – Check – Act), das bereits aus der DIN EN ISO 22301 zur Aufrechterhaltung der Betriebsfähigkeit und anderen Managementsystemnormen bekannt ist. Zudem folgt die Norm jetzt der HS (Harmonized Structure, früher: High Level Structure) aller modernen Managementsystemnormen der ISO, wodurch die Eingliederung ihrer Anforderungen und Empfehlungen in ein integriertes und nachhaltiges betriebliches Steuerungssystem ohne besonderen Aufwand möglich wird.
Die Zuordnung der Abschnitte der Norm zu den Teilen des PDCA-Modells, wie sie im DIN gelebt wird, findet sich in der Abbildung 1 in der Einleitung der Norm wieder. Sie entspricht der Struktur aller modernen Managementsystemnormen der ISO.
Abschnitt 4 enthält die grundsätzlichen und allgemein bekannten Unterabschnitte zum Umfeld der Organisation und den Erfordernissen und Erwartungen der interessierten Parteien. Neu sind die Grundsätze, die in der Abbildung 2 der Norm zusammengefasst sind:
Abbildung 2 der ISO 28000 – Principles
Im Mittelpunkt der Norm steht ihr Zweck, der wie bei jeder Norm darin besteht, Werte zu schaffen und zu schützen. Die um dieses Kernziel gruppierten Grundsätze sind
Ein Steuerungssystem für die betriebliche Sicherheit (SMS, Security Management System) muss unter Einbeziehung der erforderlichen Prozesse entwickelt, eingeführt, erhalten und beständig verbessert werden.
Die Verantwortlichkeiten der Unternehmensleitung sind im Abschnitt 5 dargelegt. Sie entsprechen wie die Ausführungen im Abschnitt 6 zu den Maßnahmen zum Umgang mit Risiken und Möglichkeiten des SMS und des Abschnitts 7 zu den Unterstützungsmaßnahmen den allgemeinen Anforderungen in Managementsystemnormen der ISO. Lediglich die Regelungen zum Umgang mit Risiken und Möglichkeiten sind detaillierter als die Mindestvorgaben der HS.
Die Organisation muss Prozesse planen, umsetzen und steuern, mit denen die Anforderungen der Norm erfüllt werden, und diese in angemessener Weise dokumentieren. Zunächst muss sie die erforderlichen Prozesse identifizieren, die ihre Sicherheitsgrundsätze und zugleich die gesetzlichen und behördlichen Anforderungen sowie die Anforderungen der eigenen Satzung und die eigenen Ziele erfüllen.
Teilprozesse des Abschnittes 8 der ISO 28000
Ein Prozess zur Risikobewertung und -behandlung muss umgesetzt und erhalten werden, wofür auf die ISO 31000 (Risikomanagement) verwiesen wird. Hier geht es um Risiken, die sich auf die Sicherheit der Organisation beziehen, während in Abschnitt 6 Risiken für die Effektivität des Managementsystems behandelt werden.
Systematische Prozesse zur Analyse von Sicherheitslücken und Gefahren für die Sicherheit sollten umgesetzt und auf dieser Grundlage Sicherheitsstrategien entwickelt werden. Die dafür notwendigen Ressourcen müssen ermittelt und die erforderlichen Maßnahmen umgesetzt und erhalten werden.
Sicherheitspläne und Sicherheitsmaßnahmen müssen auf der Grundlage der Strategien entwickelt und dokumentiert werden. Eine Reaktionsstruktur muss umgesetzt und erhalten werden. Diese muss eine zeitnahe und effektive Steuerung der Organisation bei Sicherheitslücken und Gefahren für die Sicherheit oder Verletzungen der Sicherheit ermöglichen. Dazu sind Mitarbeitende zu benennen, denen entsprechende Rollen und Zuständigkeiten zugewiesen werden und entsprechende Verantwortung und Autorität übertragen wird. Kommunikationsstrukturen sind festzulegen.
Prozesse sollen sowohl für die Aktivierung der Maßnahmen zur Absicherung oder Wiederherstellung der erforderlichen Sicherheit als auch für die „Rückkehr zum Normalbetrieb“ aus den temporären Maßnahmen vor, während und nach einer Verletzung der Sicherheit festgelegt werden.
Am Ende der Norm stehen in den Abschnitte 9 und 10 – wie bei allen Managementsystemnormen der ISO – die Anforderungen,
Wenn es angebracht ist, kann ein Unternehmen sich nach der Norm zertifizieren lassen. Wichtiger aber als das Zertifikat ist die sachkundige Umsetzung ihrer Anforderungen, um die Sicherheit und damit die Belastbarkeit des Unternehmens zu erhöhen.
Dr. Frank Herdmann ist Inhaber der Auxilium Management Service, die kleine und mittelgroße Unternehmen bei der Organisation ihres Geschäfts unterstützt. Er leitet mehrere DIN-Gremien aus dem Bereich der Organisationsprozesse und vertritt den DIN als Experte für Managementsystemnormen bei der ISO. Es ist Autor mehrerer Publikationen zu Steuerungssystemen für Unternehmen. |
Publikation DIN Media Praxis 2021-03
Drei Schritte zur Aufrechterhaltung der Betriebsfähigkeitab 48,00 EUR inkl. MwSt.
ab 44,86 EUR exkl. MwSt.
Publikation DIN Media Praxis 2018-10
Drei Schritte zum effektiven und effizienten Risikomanagement nach DIN ISO 31000ab 39,00 EUR inkl. MwSt.
ab 36,45 EUR exkl. MwSt.
Publikation DIN Media Praxis 2017-10
Erfolgreiches Qualitätsmanagement nach DIN EN ISO 9001:2015ab 128,00 EUR inkl. MwSt.
ab 119,63 EUR exkl. MwSt.