Liiketoiminnan jatkumisen hallintajärjestelmä - SFS
Transcription
Liiketoiminnan jatkumisen hallintajärjestelmä - SFS
SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset SFS-seminaari 2015-10-06 Jyrki Lahnalahti 2015-10-05 Versio 1.0 Inspecta Sertifiointi, tarkastus, testaus, konsultointi, koulutus Inspecta-konserni Inspecta Sertifiointi Oy • yli 1.500 työntekijää • yli 50 työntekijää • yli 75.000 asiakasta • tuote-, henkilö- ja järjestelmäsertifiointi • yli 400.000 arviointia tai tarkastusta vuodessa • liikevaihto n. 175 MEUR • Pohjoismaat ja Baltia • kesäkuusta 2015 alkaen osa ACTA*konsernia (Hollanti) • kokenut keski-ikäinen – täyttää 40 vuonna 2015 2 • johtava hallintajärjestelmien akkreditoitu sertifioija Suomessa • ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 22301, ISO 50001, … • VAHTI 2/2010, Katakri, … Copyright © 2015 Inspecta Sertifiointi Oy Liiketoiminnan jatkuvuuden hallintajärjestelmät Standardi SFS-EN ISO 22301 (2014) 3 Liiketoiminnan jatkuvuuden hallintajärjestelmät Termejä ja sanastoa • hallintajärjestelmä (SFS-EN ISO 22301 (2014)) – joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan • liiketoiminnan jatkuvuuden hallintajärjestelmä (BCMS) (SFS-EN ISO 22301 (2014)) – yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään, seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta – HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet, suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit. • liiketoiminnan jatkuvuus (SFS-EN ISO 22300 (2014)) – organisaation kyky jatkaa tuotteiden tai palvelujen toimittamista hyväksytyllä ennalta määritellyllä tasolla häiriötilanteen jälkeen 4 Copyright © 2015 Inspecta Sertifiointi Oy Liiketoiminnan jatkuvuuden uhat 2015 Brittiläinen Business Continuity Institute tekee vuosittain maailmanlaajuisen kyselyn organisaatioiden näkemyksistä liiketoiminnan jatkuvuuteen kohdistuvista uhista. The top three threats rated by level of concern in this year’s survey are: • Cyber attack – (82% extremely concerned or concerned) • Unplanned IT and telecom outages – (81% extremely concerned or concerned) • Data breach – (74% extremely concerned or concerned) • Rounding out the top 10 threats are interruption to utility supply, supply chain disruption, security incidents, adverse weather, human illness, fire and acts of terrorism. Cyber attacks have climbed from third (2013) to second (2014) and now first (2015), reflecting increased concern among BC professionals. Results suggest that the top two trends, the use of the Internet for malicious attacks (81%) and the growing influence of social media (63%), remain unchanged for the third consecutive year. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta. 5 Copyright © 2015 Inspecta Sertifiointi Oy SFS-EN ISO 22301 (2014) Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset • perustuu brittiläiseen BS 25999 -standardiin • pyrkii ratkaisemaan jatkuvuuden hallinnan perinteisiä ongelmia kuten osaoptimointi ja jatkuvuuden hallinnan siiloutuminen kokonaisuuden kustannuksella • toimialariippumaton malli kaiken kokoisille organisaatioille • toimiva työkalu myös täydentämään muita hallintajärjestelmiä kuten laatu ja tietoturvallisuus 6 Copyright © 2015 Inspecta Sertifiointi Oy ISO 22301:n soveltaminen ja käyttö Kyselytutkimus 2014 lopulla • More businesses (52% from last year’s 44%) use ISO 22301 as a framework for ISO 22301 implementation, with an additional 17% reporting a shift to ISO 22301 this year. This data suggests the growing maturity of the standard. • Further analysis of the data reveals that SMEs are less likely to perform trend analysis compared to large businesses (59% compared to 77%). Only half of SMEs are likely to use ISO 22301 as a framework for BCM implementation. These are significant gaps that may be addressed by measures which facilitate BC planning and standards alignment. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta. 7 Copyright © 2015 Inspecta Sertifiointi Oy SFS-EN ISO 22301: kenelle ja mihin • liiketoiminnan jatkuvuuden hallintajärjestelmän tarkoitus on ”häiriötilanteilta suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin varautuminen ja reagoiminen sekä niistä palautuminen.” • standardin ”vaatimukset ovat yleisiä, ja tarkoitettu soveltuvaksi kaikille organisaatioille tai niiden osille riippumatta niiden tyypistä, koosta ja organisaation luonteesta. Näiden vaatimusten käyttölaajuus riippuu organisaation toimintaympäristöstä ja monimutkaisuudesta.” pyritty luomaan mahdollisimman monikäyttöinen kokoelma hyviä käytäntöjä (vaatimuksia) kuten aina, sertifioinneissa suhteutetaan vaatimukset kohdeorganisaatioon • aivan keskeistä on tunnistaa jatkuvuuteen kohdistuvat vaatimukset laeista, viranomaisvaatimuksista, sopimuksista ja organisaation omista tavoitteista. Standardi (+ muut ko. sarjan standardit) antavat tukea tähän vaativaan vaiheeseen. 8 Copyright © 2015 Inspecta Sertifiointi Oy SFS-EN ISO 22301:n sisältö Vaatimusosiot 4 Organisaation toimintaympäristö • 4.1 Organisaation ja sen toimintaympäristön ymmärtäminen • 4.2 Sidosryhmien tarpeiden ja odotusten ymmärtäminen • 4.3 Liiketoiminnan jatkuvuuden hallintajärjestelmän soveltamisalan määrittäminen • 4.4 Liiketoiminnan jatkuvuuden hallintajärjestelmä 5 Johtajuus • 5.1 Johtajuus ja sitoutuminen • 5.2 Johdon sitoutuminen • 5.3 Liiketoiminnan jatkuvuuden toimintaperiaatteet • 5.4 organisaation roolit, vastuut ja valtuudet 6 Suunnittelu • 6.1 Riskien ja mahdollisuuksien käsittely • 6.2 Liiketoiminnan jatkuvuuden tavoitteet ja niiden saavuttamiseen tarvittavien toimien suunnittelu 7 Tukitoiminnot • 7.1 Resurssit 9 • • • • 7.2 Pätevyys 7.3 Tietoisuus 7.4 Viestintä 7.5 Dokumentoitu tieto 8 Toiminta • 8.1 Toiminnan suunnittelu ja ohjaus • 8.2 Liiketoiminnan vaikutusanalyysi ja riskien arviointi • 8.3 Liiketoiminnan jatkuvuuden strategia • 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen ja toteuttaminen • 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi • 9.1 Seuranta, mittaus, analysointi ja arviointi • 9.2 Sisäinen auditointi • 9.3 Johdon katselmus 10 Parantaminen • 10.1 Poikkeamat ja korjaavat toimenpiteet • 10.2 Jatkuva parantaminen Copyright © 2015 Inspecta Sertifiointi Oy ISO 22301 –hallintajärjestelmän keskeiset elementit ja vaatimukset • liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA) – liiketoiminnan kannalta kriittisten aktiviteettien tunnistaminen – analyysi siitä miten näiden aktiviteettien häiriöt vaikuttavat liiketoimintaan • riskien arviointi – mitä riskejä kriittisiin aktiviteetteihin kohdistuu? Kuinka merkittäviä ja todennäköisiä ne ovat? Miten niitä voidaan lieventää? • liiketoiminnan jatkuvuuden strategia – perustuu BIAan ja riskien arviointiin – miten kriittisiä aktiviteettejä suojataan, miten niiden häiriötilanteista toivutaan ja miten häiriöiden seuraukset käsitellään, mitä resursseja tarvitaan • häiriöihin reagoinnin menettelyt ja käytännöt • jatkuvuussuunnitelmat, niiden harjoittelu ja testaus • suunniteltu viestintä! 10 Copyright © 2015 Inspecta Sertifiointi Oy Liiketoiminnan jatkuvuuden hallintajärjestelmän rakentaminen Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän soveltamisalan (kattavuuden) määrittely Periaatteiden (politiikka) ja tavoitteiden määrittely. Johtajuus. Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely Liiketoiminnan jatkuvuuden strategia Liiketoiminnan jatkuvuuden menettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, palautuminen) Menettelyiden harjoittelu ja testaus 11 Soveltamisala (kattavuus) Liiketoiminnan jatkuvuuden toimintaperiaatteet Jatkuvuuden tavoitteet BIA, riskienhallinta Menettelykuvaukset Testausraportit Copyright © 2015 Inspecta Sertifiointi Oy Liiketoiminnan jatkuvuuden strategia • liiketoiminnan jatkuvuuden strategiaan tunnistetaan BIAn ja riskien arvioinnin tulosten perusteella tarvittavat toimenpiteet ja aktiviteetit liiketoiminnan jatkuvuudenhallintavaatimusten täyttämiseksi • näitä toimenpiteitä tarvitaan ja käytetään ennen häiriötä, sen aikana ja sen jälkeen • miten – priorisoituja aktiviteettejä suojataan – priorisoituja aktiviteettejä vakautetaan, jatketaan, palautetaan ja miten ne toipuvat – häiriöiden vaikutuksia lievennetään, miten häiriöihin vastataan ja miten häiriöitä hallitaan 12 Copyright © 2015 Inspecta Sertifiointi Oy Resurssit, joita tarvitaan strategian toteuttamiseen Vähintään tulee tarkastella tarvittavia resursseja kuten • ihmiset • tiedot ja data • rakennukset, työympäristö ja niihin liittyvä välineistö • tilat, laitteet, varusteet ja tarvikkeet • tieto- ja viestintäteknologiajärjestelmät (ICT) • kuljetus • rahoitus • yhteistyökumppanit ja toimittajat 13 Copyright © 2015 Inspecta Sertifiointi Oy ISO 22300 –standardisarjan joitakin julkaistuja osia Nimi Tila SFS-EN ISO 22300 Yhteiskunnan turvallisuus. Sanasto Suomalainen ja suomenkielinen kansallinen standardi 2014. SFS-EN ISO 22301 Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset Suomalainen kansallinen standardi 2014. Suomenkielinen käännös 2015. SFS-EN ISO 22313 Societal Security. Business Continuity Management Systems. Guidance Suomalainen kansallinen standardi 2014. ISO/TS 22317 Societal security -- Business continuity management systems -Guidelines for business impact analysis (BIA) Julkaistu 2015. 14 Copyright © 2015 Inspecta Sertifiointi Oy Huomaa Vaatimusstandardi sertifiointiin ISO 22300 –standardisarjan joitakin julkaistuja osia Nimi Tila ISO/TS 22318 Societal security -- Business continuity management systems -Guidelines for supply chain continuity Julkaistu 2015. ISO 22320 Societal security -- Emergency management -- Requirements for incident response Julkaistu 2011. ISO 22322 Societal security -- Emergency management -- Guidelines for public warning Julkaistu 2015. ISO 22398 Societal security — Guidelines for exercises Julkaistu 2013. 15 Copyright © 2015 Inspecta Sertifiointi Oy Huomaa Johtamisjärjestelmät, hallintajärjestelmät, toimintajärjestelmät, … Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin • Annex SL eli “ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures specific to ISO. Annex SL: Proposals for management system standards” – ISO = International Organization for Standardization • ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa kaikille hallintajärjestelmästandardeille • tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia • muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan • suuri periaatteellinen muutos: ”johtajuus” (”leadership”) on korvannut ”johtamisen” (”management”) • hallintajärjestelmä on aito osa organisaation johtamista ja tapaa toimia – ei erillinen käsikirja tai intrasivusto 17 Copyright © 2015 Inspecta Sertifiointi Oy Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin • kaikkien hallintajärjestelmästandardien tulee olla yhteneviä − rakenteeltaan (sisällysluettelo) − terminologialtaan − määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli, dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen) • ISO 22301:2012 oli ensimmäinen tämän rakenteen mukainen standardi esim. ISO 22301 ja ISO/IEC 27001 on helppo sovittaa yhteen ja samaan kokonaisuuteen johtamisjärjestelmäksi 18 Copyright © 2015 Inspecta Sertifiointi Oy ISO 22301 ja ISO/IEC 27001: sama rakenne, samoja vaatimuksia SFS-EN ISO 22301 (2014) • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Kirjallisuus 19 SFS-ISO/IEC 27001:2013 • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Liite A (velvoittava) Hallintatavoitteiden ja -keinojen viiteluettelo • Kirjallisuus Copyright © 2015 Inspecta Sertifiointi Oy Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit Sertifiointihakemus Ennakkoarviointi (tarvittaessa) Sertifioinnin vaihe 1 (valmistelu) Sertifikaatti Sertifioinnin vaihe 2 (arviointi) Seuranta-arvioinnit (1-2/vuosi) Arvioinnin tulokset (arviointiraportti) Korjaavat toimenpiteet TAI Uusinta-arviointi 20 Puutteita havaittu Copyright © 2015 Inspecta Sertifiointi Oy Uudelleensertifiointiarviointi (joka 3. vuosi) Kysymyksiä, kommentteja? 21 22 Copyright © 2015 Inspecta Sertifiointi Oy