BCM (Business Continuity Management) ist der systematische Prozess zur Sicherstellung des Geschäftsbetriebs bei Störungen, Krisen und Katastrophen. Ziel ist es, kritische Geschäftsprozesse innerhalb definierter Zeitrahmen wiederherzustellen.
ISO 27001 Annex A Control A.5.30 (ICT-Bereitschaft für Business Continuity) verlangt, dass die IT-Kontinuität in das BCM der Organisation eingebettet ist. Der internationale Standard für BCM ist ISO 22301. Ein BCM-Programm umfasst typischerweise: Business Impact Analysis (BIA) zur Identifikation kritischer Prozesse und ihrer maximal tolerierbaren Ausfallzeit (MTPD), Entwicklung von Kontinuitätsplänen, regelmäßige Tests und Übungen sowie eine Krisenorganisation mit klaren Rollen. BCM geht über IT-Disaster-Recovery hinaus und berücksichtigt auch Personal, Lieferanten und Standorte.