SFS-EN ISO (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset SFS-seminaari

Transkriptio

1 SFS-EN ISO (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset SFS-seminaari Jyrki Lahnalahti Versio 1.0

2 Inspecta Sertifiointi, tarkastus, testaus, konsultointi, koulutus Inspecta-konserni Inspecta Sertifiointi Oy yli työntekijää yli asiakasta yli arviointia tai tarkastusta vuodessa liikevaihto n. 175 MEUR Pohjoismaat ja Baltia kesäkuusta 2015 alkaen osa ACTA*- konsernia (Hollanti) kokenut keski-ikäinen täyttää 40 vuonna 2015 yli 50 työntekijää tuote-, henkilö- ja järjestelmäsertifiointi johtava hallintajärjestelmien akkreditoitu sertifioija Suomessa ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC , ISO/IEC 27001, ISO 22301, ISO 50001, VAHTI 2/2010, Katakri, 2

3 Liiketoiminnan jatkuvuuden hallintajärjestelmät Standardi SFS-EN ISO (2014) 3

4 Liiketoiminnan jatkuvuuden hallintajärjestelmät Termejä ja sanastoa hallintajärjestelmä (SFS-EN ISO (2014)) joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan liiketoiminnan jatkuvuuden hallintajärjestelmä (BCMS) (SFS-EN ISO (2014)) yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään, seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet, suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit. liiketoiminnan jatkuvuus (SFS-EN ISO (2014)) organisaation kyky jatkaa tuotteiden tai palvelujen toimittamista hyväksytyllä ennalta määritellyllä tasolla häiriötilanteen jälkeen 4

5 Liiketoiminnan jatkuvuuden uhat 2015 Brittiläinen Business Continuity Institute tekee vuosittain maailmanlaajuisen kyselyn organisaatioiden näkemyksistä liiketoiminnan jatkuvuuteen kohdistuvista uhista. The top three threats rated by level of concern in this year s survey are: Cyber attack (82% extremely concerned or concerned) Unplanned IT and telecom outages (81% extremely concerned or concerned) Data breach (74% extremely concerned or concerned) Rounding out the top 10 threats are interruption to utility supply, supply chain disruption, security incidents, adverse weather, human illness, fire and acts of terrorism. Cyber attacks have climbed from third (2013) to second (2014) and now first (2015), reflecting increased concern among BC professionals. Results suggest that the top two trends, the use of the Internet for malicious attacks (81%) and the growing influence of social media (63%), remain unchanged for the third consecutive year. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 ( 694 vastaajaa 72 eri maasta. 5

6 SFS-EN ISO (2014) Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset perustuu brittiläiseen BS standardiin pyrkii ratkaisemaan jatkuvuuden hallinnan perinteisiä ongelmia kuten osaoptimointi ja jatkuvuuden hallinnan siiloutuminen kokonaisuuden kustannuksella toimialariippumaton malli kaiken kokoisille organisaatioille toimiva työkalu myös täydentämään muita hallintajärjestelmiä kuten laatu ja tietoturvallisuus 6

7 ISO 22301:n soveltaminen ja käyttö Kyselytutkimus 2014 lopulla More businesses (52% from last year s 44%) use ISO as a framework for ISO implementation, with an additional 17% reporting a shift to ISO this year. This data suggests the growing maturity of the standard. Further analysis of the data reveals that SMEs are less likely to perform trend analysis compared to large businesses (59% compared to 77%). Only half of SMEs are likely to use ISO as a framework for BCM implementation. These are significant gaps that may be addressed by measures which facilitate BC planning and standards alignment. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 ( 694 vastaajaa 72 eri maasta. 7

8 SFS-EN ISO 22301: kenelle ja mihin liiketoiminnan jatkuvuuden hallintajärjestelmän tarkoitus on häiriötilanteilta suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin varautuminen ja reagoiminen sekä niistä palautuminen. standardin vaatimukset ovat yleisiä, ja tarkoitettu soveltuvaksi kaikille organisaatioille tai niiden osille riippumatta niiden tyypistä, koosta ja organisaation luonteesta. Näiden vaatimusten käyttölaajuus riippuu organisaation toimintaympäristöstä ja monimutkaisuudesta. pyritty luomaan mahdollisimman monikäyttöinen kokoelma hyviä käytäntöjä (vaatimuksia) kuten aina, sertifioinneissa suhteutetaan vaatimukset kohdeorganisaatioon aivan keskeistä on tunnistaa jatkuvuuteen kohdistuvat vaatimukset laeista, viranomaisvaatimuksista, sopimuksista ja organisaation omista tavoitteista. Standardi (+ muut ko. sarjan standardit) antavat tukea tähän vaativaan vaiheeseen. 8

9 SFS-EN ISO 22301:n sisältö Vaatimusosiot 4 Organisaation toimintaympäristö 4.1 Organisaation ja sen toimintaympäristön ymmärtäminen 4.2 Sidosryhmien tarpeiden ja odotusten ymmärtäminen 4.3 Liiketoiminnan jatkuvuuden hallintajärjestelmän soveltamisalan määrittäminen 4.4 Liiketoiminnan jatkuvuuden hallintajärjestelmä 5 Johtajuus 5.1 Johtajuus ja sitoutuminen 5.2 Johdon sitoutuminen 5.3 Liiketoiminnan jatkuvuuden toimintaperiaatteet 5.4 organisaation roolit, vastuut ja valtuudet 6 Suunnittelu 6.1 Riskien ja mahdollisuuksien käsittely 6.2 Liiketoiminnan jatkuvuuden tavoitteet ja niiden saavuttamiseen tarvittavien toimien suunnittelu 7 Tukitoiminnot 7.1 Resurssit 7.2 Pätevyys 7.3 Tietoisuus 7.4 Viestintä 7.5 Dokumentoitu tieto 8 Toiminta 8.1 Toiminnan suunnittelu ja ohjaus 8.2 Liiketoiminnan vaikutusanalyysi ja riskien arviointi 8.3 Liiketoiminnan jatkuvuuden strategia 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen ja toteuttaminen 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi 9.1 Seuranta, mittaus, analysointi ja arviointi 9.2 Sisäinen auditointi 9.3 Johdon katselmus 10 Parantaminen 10.1 Poikkeamat ja korjaavat toimenpiteet 10.2 Jatkuva parantaminen 9

10 ISO hallintajärjestelmän keskeiset elementit ja vaatimukset liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA) liiketoiminnan kannalta kriittisten aktiviteettien tunnistaminen analyysi siitä miten näiden aktiviteettien häiriöt vaikuttavat liiketoimintaan riskien arviointi mitä riskejä kriittisiin aktiviteetteihin kohdistuu? Kuinka merkittäviä ja todennäköisiä ne ovat? Miten niitä voidaan lieventää? liiketoiminnan jatkuvuuden strategia perustuu BIAan ja riskien arviointiin miten kriittisiä aktiviteettejä suojataan, miten niiden häiriötilanteista toivutaan ja miten häiriöiden seuraukset käsitellään, mitä resursseja tarvitaan häiriöihin reagoinnin menettelyt ja käytännöt jatkuvuussuunnitelmat, niiden harjoittelu ja testaus suunniteltu viestintä! 10

11 Liiketoiminnan jatkuvuuden hallintajärjestelmän rakentaminen Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän soveltamisalan (kattavuuden) määrittely Periaatteiden (politiikka) ja tavoitteiden määrittely. Johtajuus. Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi Soveltamisala (kattavuus) Liiketoiminnan jatkuvuuden toimintaperiaatteet Jatkuvuuden tavoitteet Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely Liiketoiminnan jatkuvuuden strategia Liiketoiminnan jatkuvuuden menettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, palautuminen) BIA, riskienhallinta Menettelykuvaukset Menettelyiden harjoittelu ja testaus Testausraportit 11

12 Liiketoiminnan jatkuvuuden strategia liiketoiminnan jatkuvuuden strategiaan tunnistetaan BIAn ja riskien arvioinnin tulosten perusteella tarvittavat toimenpiteet ja aktiviteetit liiketoiminnan jatkuvuudenhallintavaatimusten täyttämiseksi näitä toimenpiteitä tarvitaan ja käytetään ennen häiriötä, sen aikana ja sen jälkeen miten priorisoituja aktiviteettejä suojataan priorisoituja aktiviteettejä vakautetaan, jatketaan, palautetaan ja miten ne toipuvat häiriöiden vaikutuksia lievennetään, miten häiriöihin vastataan ja miten häiriöitä hallitaan 12

13 Resurssit, joita tarvitaan strategian toteuttamiseen Vähintään tulee tarkastella tarvittavia resursseja kuten ihmiset tiedot ja data rakennukset, työympäristö ja niihin liittyvä välineistö tilat, laitteet, varusteet ja tarvikkeet tieto- ja viestintäteknologiajärjestelmät (ICT) kuljetus rahoitus yhteistyökumppanit ja toimittajat 13

14 ISO standardisarjan joitakin julkaistuja osia Nimi Tila Huomaa SFS-EN ISO Yhteiskunnan turvallisuus. Sanasto Suomalainen ja suomenkielinen kansallinen standardi SFS-EN ISO Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset Suomalainen kansallinen standardi Suomenkielinen käännös Vaatimusstandardi sertifiointiin SFS-EN ISO Societal Security. Business Continuity Management Systems. Guidance Suomalainen kansallinen standardi ISO/TS Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA) Julkaistu

15 ISO standardisarjan joitakin julkaistuja osia Nimi Tila Huomaa ISO/TS ISO ISO ISO Societal security -- Business continuity management systems -- Guidelines for supply chain continuity Societal security -- Emergency management -- Requirements for incident response Societal security -- Emergency management -- Guidelines for public warning Societal security Guidelines for exercises Julkaistu Julkaistu Julkaistu Julkaistu

16 Johtamisjärjestelmät, hallintajärjestelmät, toimintajärjestelmät,

17 Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin Annex SL eli ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures specific to ISO. Annex SL: Proposals for management system standards ISO = International Organization for Standardization ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa kaikille hallintajärjestelmästandardeille tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan suuri periaatteellinen muutos: johtajuus ( leadership ) on korvannut johtamisen ( management ) hallintajärjestelmä on aito osa organisaation johtamista ja tapaa toimia ei erillinen käsikirja tai intrasivusto 17

18 Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin kaikkien hallintajärjestelmästandardien tulee olla yhteneviä rakenteeltaan (sisällysluettelo) terminologialtaan määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli, dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen) ISO 22301:2012 oli ensimmäinen tämän rakenteen mukainen standardi esim. ISO ja ISO/IEC on helppo sovittaa yhteen ja samaan kokonaisuuteen johtamisjärjestelmäksi 18

19 ISO ja ISO/IEC 27001: sama rakenne, samoja vaatimuksia SFS-EN ISO (2014) Esipuhe 0 Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Organisaation toimintaympäristö 5 Johtajuus 6 Suunnittelu 7 Tukitoiminnot 8 Toiminta 9 Suorituskyvyn arviointi 10 Parantaminen Kirjallisuus SFS-ISO/IEC 27001:2013 Esipuhe 0 Johdanto 1 Soveltamisala 2 Velvoittavat viittaukset 3 Termit ja määritelmät 4 Organisaation toimintaympäristö 5 Johtajuus 6 Suunnittelu 7 Tukitoiminnot 8 Toiminta 9 Suorituskyvyn arviointi 10 Parantaminen Liite A (velvoittava) Hallintatavoitteiden ja -keinojen viiteluettelo Kirjallisuus 19

20 Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit Sertifiointihakemus Ennakkoarviointi (tarvittaessa) Sertifioinnin vaihe 1 (valmistelu) Sertifioinnin vaihe 2 (arviointi) Sertifikaatti Arvioinnin tulokset (arviointiraportti) Korjaavat toimenpiteet TAI Uusinta-arviointi Puutteita havaittu Seuranta-arvioinnit (1-2/vuosi) Uudelleensertifiointiarviointi (joka 3. vuosi) 20

21 21 Kysymyksiä, kommentteja?

22 22