sfs-en iso · pdf fileiso 22301 implementation, with an additional 17% reporting a shift to...
TRANSCRIPT
SFS-seminaari 2015-10-06
SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
Jyrki Lahnalahti 2015-10-05
Versio 1.0
Inspecta-konserni
• yli 1.500 työntekijää
• yli 75.000 asiakasta
• yli 400.000 arviointia tai tarkastusta vuodessa
• liikevaihto n. 175 MEUR
• Pohjoismaat ja Baltia
• kesäkuusta 2015 alkaen osa ACTA*-konsernia (Hollanti)
• kokenut keski-ikäinen – täyttää 40 vuonna 2015
2
Inspecta Sertifiointi, tarkastus, testaus, konsultointi, koulutus
Inspecta Sertifiointi Oy
• yli 50 työntekijää
• tuote-, henkilö- ja järjestelmäsertifiointi
• johtava hallintajärjestelmien akkreditoitu sertifioija Suomessa
• ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 22301, ISO 50001, …
• VAHTI 2/2010, Katakri, …
Copyright © 2015 Inspecta Sertifiointi Oy
Liiketoiminnan jatkuvuuden hallintajärjestelmät
Standardi SFS-EN ISO 22301 (2014)
3
• hallintajärjestelmä (SFS-EN ISO 22301 (2014)) – joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan
toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan
• liiketoiminnan jatkuvuuden hallintajärjestelmä (BCMS) (SFS-EN ISO 22301 (2014)) – yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään,
seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta – HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet,
suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit.
• liiketoiminnan jatkuvuus (SFS-EN ISO 22300 (2014)) – organisaation kyky jatkaa tuotteiden tai palvelujen toimittamista
hyväksytyllä ennalta määritellyllä tasolla häiriötilanteen jälkeen
4
Liiketoiminnan jatkuvuuden hallintajärjestelmät Termejä ja sanastoa
Copyright © 2015 Inspecta Sertifiointi Oy
Brittiläinen Business Continuity Institute tekee vuosittain maailmanlaajuisen kyselyn organisaatioiden näkemyksistä liiketoiminnan jatkuvuuteen kohdistuvista uhista. The top three threats rated by level of concern in this year’s survey are: • Cyber attack
– (82% extremely concerned or concerned) • Unplanned IT and telecom outages
– (81% extremely concerned or concerned) • Data breach
– (74% extremely concerned or concerned) • Rounding out the top 10 threats are interruption to utility supply, supply chain disruption,
security incidents, adverse weather, human illness, fire and acts of terrorism. Cyber attacks have climbed from third (2013) to second (2014) and now first (2015), reflecting increased concern among BC professionals. Results suggest that the top two trends, the use of the Internet for malicious attacks (81%) and the growing influence of social media (63%), remain unchanged for the third consecutive year. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.
5
Liiketoiminnan jatkuvuuden uhat 2015
Copyright © 2015 Inspecta Sertifiointi Oy
• perustuu brittiläiseen BS 25999 -standardiin
• pyrkii ratkaisemaan jatkuvuuden hallinnan perinteisiä ongelmia kuten osaoptimointi ja jatkuvuuden hallinnan siiloutuminen kokonaisuuden kustannuksella
• toimialariippumaton malli kaiken kokoisille organisaatioille
• toimiva työkalu myös täydentämään muita hallintajärjestelmiä kuten laatu ja tietoturvallisuus
6
SFS-EN ISO 22301 (2014) Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
Copyright © 2015 Inspecta Sertifiointi Oy
• More businesses (52% from last year’s 44%) use ISO 22301 as a framework for ISO 22301 implementation, with an additional 17% reporting a shift to ISO 22301 this year. This data suggests the growing maturity of the standard.
• Further analysis of the data reveals that SMEs are less likely to perform trend analysis compared to large businesses (59% compared to 77%). Only half of SMEs are likely to use ISO 22301 as a framework for BCM implementation. These are significant gaps that may be addressed by measures which facilitate BC planning and standards alignment.
7
ISO 22301:n soveltaminen ja käyttö Kyselytutkimus 2014 lopulla
Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.
Copyright © 2015 Inspecta Sertifiointi Oy
• liiketoiminnan jatkuvuuden hallintajärjestelmän tarkoitus on ”häiriötilanteilta suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin varautuminen ja reagoiminen sekä niistä palautuminen.”
• standardin ”vaatimukset ovat yleisiä, ja tarkoitettu soveltuvaksi kaikille organisaatioille tai niiden osille riippumatta niiden tyypistä, koosta ja organisaation luonteesta. Näiden vaatimusten käyttölaajuus riippuu organisaation toimintaympäristöstä ja monimutkaisuudesta.”
pyritty luomaan mahdollisimman monikäyttöinen kokoelma hyviä käytäntöjä (vaatimuksia)
kuten aina, sertifioinneissa suhteutetaan vaatimukset kohdeorganisaatioon
• aivan keskeistä on tunnistaa jatkuvuuteen kohdistuvat vaatimukset laeista, viranomaisvaatimuksista, sopimuksista ja organisaation omista tavoitteista. Standardi (+ muut ko. sarjan standardit) antavat tukea tähän vaativaan vaiheeseen.
8
SFS-EN ISO 22301: kenelle ja mihin
Copyright © 2015 Inspecta Sertifiointi Oy
4 Organisaation toimintaympäristö • 4.1 Organisaation ja sen toimintaympäristön
ymmärtäminen • 4.2 Sidosryhmien tarpeiden ja odotusten
ymmärtäminen • 4.3 Liiketoiminnan jatkuvuuden hallintajärjestelmän
soveltamisalan määrittäminen • 4.4 Liiketoiminnan jatkuvuuden hallintajärjestelmä 5 Johtajuus • 5.1 Johtajuus ja sitoutuminen • 5.2 Johdon sitoutuminen • 5.3 Liiketoiminnan jatkuvuuden toimintaperiaatteet • 5.4 organisaation roolit, vastuut ja valtuudet 6 Suunnittelu • 6.1 Riskien ja mahdollisuuksien käsittely • 6.2 Liiketoiminnan jatkuvuuden tavoitteet ja niiden
saavuttamiseen tarvittavien toimien suunnittelu 7 Tukitoiminnot • 7.1 Resurssit
• 7.2 Pätevyys • 7.3 Tietoisuus • 7.4 Viestintä • 7.5 Dokumentoitu tieto 8 Toiminta • 8.1 Toiminnan suunnittelu ja ohjaus • 8.2 Liiketoiminnan vaikutusanalyysi ja riskien arviointi • 8.3 Liiketoiminnan jatkuvuuden strategia • 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen
ja toteuttaminen • 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi • 9.1 Seuranta, mittaus, analysointi ja arviointi • 9.2 Sisäinen auditointi • 9.3 Johdon katselmus
10 Parantaminen • 10.1 Poikkeamat ja korjaavat toimenpiteet • 10.2 Jatkuva parantaminen
9
SFS-EN ISO 22301:n sisältö Vaatimusosiot
Copyright © 2015 Inspecta Sertifiointi Oy
• liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA) – liiketoiminnan kannalta kriittisten aktiviteettien tunnistaminen – analyysi siitä miten näiden aktiviteettien häiriöt vaikuttavat liiketoimintaan
• riskien arviointi – mitä riskejä kriittisiin aktiviteetteihin kohdistuu? Kuinka merkittäviä ja todennäköisiä ne
ovat? Miten niitä voidaan lieventää?
• liiketoiminnan jatkuvuuden strategia – perustuu BIAan ja riskien arviointiin – miten kriittisiä aktiviteettejä suojataan, miten niiden häiriötilanteista toivutaan ja miten
häiriöiden seuraukset käsitellään, mitä resursseja tarvitaan
• häiriöihin reagoinnin menettelyt ja käytännöt
• jatkuvuussuunnitelmat, niiden harjoittelu ja testaus
• suunniteltu viestintä!
10
ISO 22301 –hallintajärjestelmän keskeiset elementit ja vaatimukset
Copyright © 2015 Inspecta Sertifiointi Oy
11
Liiketoiminnan jatkuvuuden hallintajärjestelmän rakentaminen
Periaatteiden (politiikka) ja tavoitteiden määrittely. Johtajuus.
Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän
soveltamisalan (kattavuuden) määrittely
Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely
Liiketoiminnan jatkuvuuden strategia
Liiketoiminnan jatkuvuuden menettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, palautuminen)
Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi
Menettelyiden harjoittelu ja testaus
Liiketoiminnan jatkuvuuden toimintaperiaatteet
BIA, riskienhallinta
Menettely-kuvaukset
Jatkuvuuden tavoitteet
Testausraportit
Soveltamisala (kattavuus)
Copyright © 2015 Inspecta Sertifiointi Oy
• liiketoiminnan jatkuvuuden strategiaan tunnistetaan BIAn ja riskien arvioinnin tulosten perusteella tarvittavat toimenpiteet ja aktiviteetit liiketoiminnan jatkuvuudenhallintavaatimusten täyttämiseksi
• näitä toimenpiteitä tarvitaan ja käytetään ennen häiriötä, sen aikana ja sen jälkeen • miten
– priorisoituja aktiviteettejä suojataan – priorisoituja aktiviteettejä vakautetaan, jatketaan, palautetaan ja miten ne
toipuvat – häiriöiden vaikutuksia lievennetään, miten häiriöihin vastataan ja miten häiriöitä
hallitaan
12
Liiketoiminnan jatkuvuuden strategia
Copyright © 2015 Inspecta Sertifiointi Oy
Vähintään tulee tarkastella tarvittavia resursseja kuten • ihmiset • tiedot ja data • rakennukset, työympäristö ja niihin liittyvä välineistö • tilat, laitteet, varusteet ja tarvikkeet • tieto- ja viestintäteknologiajärjestelmät (ICT) • kuljetus • rahoitus • yhteistyökumppanit ja toimittajat
13
Resurssit, joita tarvitaan strategian toteuttamiseen
Copyright © 2015 Inspecta Sertifiointi Oy
Nimi Tila Huomaa
SFS-EN ISO
22300
Yhteiskunnan turvallisuus. Sanasto Suomalainen ja suomenkielinen kansallinen standardi 2014.
SFS-EN ISO
22301
Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
Suomalainen kansallinen standardi 2014. Suomenkielinen käännös 2015.
Vaatimus-standardi sertifiointiin
SFS-EN ISO
22313
Societal Security. Business Continuity Management Systems. Guidance
Suomalainen kansallinen standardi 2014.
ISO/TS 22317
Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)
Julkaistu 2015.
ISO 22300 –standardisarjan joitakin julkaistuja osia
14 Copyright © 2015 Inspecta Sertifiointi Oy
Nimi Tila Huomaa
ISO/TS 22318
Societal security -- Business continuity management systems -- Guidelines for supply chain continuity
Julkaistu 2015.
ISO 22320
Societal security -- Emergency management -- Requirements for incident response
Julkaistu 2011.
ISO 22322
Societal security -- Emergency management -- Guidelines for public warning
Julkaistu 2015.
ISO 22398
Societal security — Guidelines for exercises
Julkaistu 2013.
ISO 22300 –standardisarjan joitakin julkaistuja osia
15 Copyright © 2015 Inspecta Sertifiointi Oy
Johtamisjärjestelmät, hallintajärjestelmät, toimintajärjestelmät, …
• Annex SL eli “ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures specific to ISO. Annex SL: Proposals for management system standards” – ISO = International Organization for Standardization
• ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa kaikille hallintajärjestelmästandardeille
• tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia
• muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan
• suuri periaatteellinen muutos: ”johtajuus” (”leadership”) on korvannut ”johtamisen” (”management”)
• hallintajärjestelmä on aito osa organisaation johtamista ja tapaa toimia – ei erillinen käsikirja tai intrasivusto 17
Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin
Copyright © 2015 Inspecta Sertifiointi Oy
Annex SL
• kaikkien hallintajärjestelmästandardien tulee olla yhteneviä − rakenteeltaan (sisällysluettelo) − terminologialtaan −määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli,
dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen) • ISO 22301:2012 oli ensimmäinen tämän
rakenteen mukainen standardi esim. ISO 22301 ja ISO/IEC 27001 on helppo sovittaa yhteen ja samaan kokonaisuuteen johtamisjärjestelmäksi
Merkittävä uudistus ISOn hallintajärjestelmästandardeihin
Copyright © 2015 Inspecta Sertifiointi Oy 18
SFS-ISO/IEC 27001:2013 • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Liite A (velvoittava) Hallintatavoitteiden
ja -keinojen viiteluettelo • Kirjallisuus
19
ISO 22301 ja ISO/IEC 27001: sama rakenne, samoja vaatimuksia
SFS-EN ISO 22301 (2014) • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Kirjallisuus
Copyright © 2015 Inspecta Sertifiointi Oy
20
Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit
Sertifiointihakemus
Ennakkoarviointi (tarvittaessa)
Sertifioinnin vaihe 1 (valmistelu)
Sertifioinnin vaihe 2 (arviointi)
Arvioinnin tulokset (arviointiraportti) Seuranta-arvioinnit (1-2/vuosi)
Sertifikaatti
Korjaavat toimenpiteet TAI Uusinta-arviointi
Uudelleensertifiointi- arviointi (joka 3. vuosi)
Puutteita havaittu
Copyright © 2015 Inspecta Sertifiointi Oy
Kysymyksiä, kommentteja?
21
22 Copyright © 2015 Inspecta Sertifiointi Oy