Από το BS 25999 στο ISO 22301

download report

Transcript Από το BS 25999 στο ISO 22301

Ε Σ Π Ε Ρ Ι Δ Α « Ε Π Ι Χ Ε Ι Ρ Η Σ Ι Α Κ Η Σ Υ Ν Ε Χ Ε Ι Α Κ Α Ι Δ Ι Α Χ Ε Ι Ρ Ι Σ Η Κ Ι Ν Δ Υ Ν Ω Ν » Τ Ε Τ Α Ρ Τ Η 2 1 Ν Ο Ε Μ Β Ρ Ι Ο Υ 2 0 1 2 Τ ο B S 2 5 9 9 9 γ ί ν ε τ α ι I S O 2 2 3 0 1 “ s o c i e t a l s e c u r i t y – b u s i n e s s c o n t i n u i t y m a n a g e m e n t s y s t e m s - r e q u i r e m e n t s ”

Ν Ι Κ Ο Σ Δ Ε Π Ο Υ Ν Τ Η Σ , Μ Ε Λ Ο Σ Τ Η Σ Δ . Ε . Τ Ο Υ Ε Ι Δ Ι Π , Ε Π Ι Κ Ε Φ Α Λ Η Σ Α Ξ Ι Ο Λ Ο Γ Η Τ Η Σ Ε Σ Υ Δ

Νίκος Δεπούντης

Τι είναι η Επιχειρησιακή συνέχεια;

2

η ικανότητα του οργανισμού να συνεχίζει την παράδοση των προϊόντων ή των υπηρεσιών σε αποδεκτά προκαθορισμένα επίπεδα μετά από ένα αποδιοργανωτικό συμβάν. (ορισμός από iso 22300)

Οι κίνδυνοι οι οποίοι απειλούν την Επιχειρησιακή Συνέχεια είναι :

3 Νίκος Δεπούντης

Οι κίνδυνοι οι οποίοι απειλούν την Επιχειρησιακή Συνέχεια είναι :

4        φυσικές καταστροφές πλημμύρες, θύελλες) (σεισμοί, πυρκαγιές, αστοχία υλισμικού ή λογισμικού πληροφορικής, απώλεια τροφοδότησης ενέργειας (ηλεκτρικό, φυσικό αέριο, κλπ), εισβολή, αστοχία ή ιογενής δράση στο εσωτερικό ή εξωτερικό δίκτυο δεδομένων, ανθρώπινο λάθος, τρομοκρατικές ενέργειες και κυβερνητική και πολιτική αστάθεια Νίκος Δεπούντης

Οι επιπτώσεις στην επιχειρηματική δραστηριότητα μεταξύ των άλλων είναι:

5          Απώλεια πωλήσεων και εσόδων Επιπτώσεις στο όνομα και στη φήμη του οργανισμού Απώλεια ανταγωνιστικού πλεονεκτήματος Μείωση της εμπιστοσύνης των ενδιαφερομένων μερών δηλαδή των μετόχων, των επενδυτών και των πελατών Καθυστερήσεις στην εκτέλεση έργων Καθυστερήσεις στις πληρωμές Αυξημένα ασφάλιστρα Νομικά και κανονιστικά προβλήματα Διακυβέρνηση και Διοικητικές ευθύνες του οργανισμού Νίκος Δεπούντης

Από το BS 25999 στο ISO 22301

6   Η ανάπτυξη του διεθνούς προτύπου ISO 22301 στηρίχθηκε σε πρότυπα, μεθοδολογίες και μοντέλα κυβερνητικά ή μη, όπως οι Κατευθυντήριες Οδηγίες Καλής Πρακτικής του Business Continuity Institute (Good Practice Guidelines BCI2001), το BS25999, το NFPA 1600, το PAS56 και πρότυπα ANSI.

Το BS 25999 είναι πρότυπο που αναφέρεται στη Διαχείριση Επιχειρησιακής που εκδόθηκε στις αρχές του 2012 Συνέχειας (Business Continuity Management), και εκδόθηκε το Νοέμβριο του 2007 από το British Standards Institution. Από το Νοέμβριο του 2012 θα πρέπει να αποσυρθεί και να αντικατασταθεί από το νέο Διεθνές Πρότυπο, ISO 22301 Νίκος Δεπούντης

Κύριες διαφορές των προτύπων BS 25999 και ISO 22301

7      Το ISO 22301 προσφέρει μία κοινή γλώσσα με τα υπόλοιπα συστήματα διαχείρισης μέσω της μεθόδου Plan Do Check Act (PDCA) Πλήρης σύνδεση ISO 22301 με τη σειρά ISO 31000 (Διαχείριση κινδύνων) Το ISO 22301 δίνει πολύ μεγαλύτερη έμφαση στον καθορισμό των στόχων, την παρακολούθηση των επιδόσεων και τις μετρήσεις.

Το ISO 22301 περιγράφει με περισσότερη σαφήνεια τις προσδοκίες σχετικά με τη διαχείριση και τις συνοψίζει σε μια ενιαία ενότητα.

Το ISO 22301 απαιτεί πολύ πιο προσεκτικό σχεδιασμό και την προετοιμασία των πόρων που απαιτούνται για τη διασφάλιση της επιχειρησιακής συνέχειας. Οι απαιτήσεις είναι πλέον πιο εκτεταμένες και πιο καλά δομημένες Νίκος Δεπούντης

Βασικές αρχές του ISO 22301

8   Απευθύνεται σε οργανισμούς κάθε τύπου και μεγέθους, ενώ συνδυάζεται και ISO31000 για τη Διαχείριση Κινδύνων).

συμπληρώνει απόλυτα τα άλλα πρότυπα σε συγγενείς περιοχές (όπως το ISO27001 για την Ασφάλεια των Πληροφοριών, το ISO 9001 για την Ποιότητα και το Το ISO 22301:2012 παρέχει ένα πλαίσιο σε ένα Οργανισμό για να σχεδιάζει, εδραιώνει, εφαρμόζει, λειτουργεί, παρακολουθεί, αναθεωρεί, συντηρεί και συνεχώς να βελτιώνει ένα σύστημα διαχείρισης επιχειρησιακής συνέχειας. (κύκλος του Deming) Νίκος Δεπούντης

Το PDCA μοντέλο στο Σύστημα διαχείρισης επιχειρησιακής συνέχειας

9 Νίκος Δεπούντης

Το PDCA μοντέλο

10     Plan- Εγκαθιστώ: καθιέρωση πολιτικής, αντικειμενικών σκοπών, στόχων και διεργασιών που είναι απαραίτητοι για την επίτευξη αποτελεσμάτων για την επιχειρησιακή συνέχεια σύμφωνα με την συνολική πολιτική και τους στόχους του οργανισμού.

Do-Εφαρμόζω και λειτουργώ: εφαρμογή και λειτουργία της πολιτικής, των ελέγχων, των διεργασιών και των διαδικασιών για την Επιχειρησιακή συνέχεια.

Check-Παρακολουθώ και Αναθεωρώ: παρακολούθηση και μέτρηση των διεργασιών της Επιχειρησιακής συνέχειας έναντι της πολιτικής, των αντικειμενικών σκοπών και στόχων, των νομικών και άλλων απαιτήσεων, και έκθεση των αποτελεσμάτων.

Act- Συντηρώ και Βελτιώνω: ανάληψη ενεργειών για τη συνεχή βελτίωση της επίδοσης του συστήματος Επιχειρησιακής Συνέχειας.

Νίκος Δεπούντης

Λεξιλόγιο

11         business continuity management system BCMS- σύστημα διαχείρισης της επιχειρησιακής συνέχειας BCMS business continuity plan – σχέδιο επιχειρησιακής συνέχειας

business

επιπτώσεων

impact analysis

ανάλυση επιχειρησιακών maximum acceptable outage MAO - μέγιστη αποδεκτή διακοπή λειτουργίας maximum tolerable period of disruption MTPD- μέγιστη ανεκτή περίοδος διάσπασης minimum business continuity objective MBCO- ελάχιστος στόχος επιχειρησιακής συνέχειας recovery point objective RPO - στόχος σημείου αποκατάστασης recovery time objective RTO - χρονικός στόχος αποκατάστασης Νίκος Δεπούντης

Βασικές απαιτήσεις του προτύπου

12    

Ο οργανισμός θα πρέπει να καταρτίζει, εφαρμόζει,

διατηρεί και βελτιώνει συνεχώς ένα BCMS (Σύστημα Διαχείρισης επιχειρησιακής συνέχειας), που

περιλαμβάνει τις διεργασίες που απαιτούνται και τις αλληλεπιδράσεις τους, σύμφωνα με τις απαιτήσεις του προτύπου.

Η ανώτατη διοίκηση θα πρέπει να αποδεικνύει τη δέσμευση της ηγεσίας σε σχέση με το BCMS Η ανώτατη Διοίκηση θα πρέπει να καταρτίζει μια πολιτική επιχειρησιακής συνέχειας Η Ανωτάτη Διοίκηση θα πρέπει να εξασφαλίζει ότι οι ευθύνες και οι αρμοδιότητες για σχετικούς ρόλους έχουν εκχωρηθεί και ανακοινώνονται εντός του οργανισμού

Νίκος Δεπούντης

Σχεδιασμός

13   Δράσεις για την αντιμετώπιση των κινδύνων και ευκαιριών Αντικειμενικοί στόχοι Επιχειρησιακής συνέχειας και σχέδια για την επίτευξή τους Νίκος Δεπούντης

Υποστήριξη

14      Πόροι Επάρκεια Ευαισθητοποίηση Επικοινωνία Τεκμηριωμένη πληροφόρηση και έλεγχος Νίκος Δεπούντης

Λειτουργία

15    Επιχειρησιακός σχεδιασμός και έλεγχος Ανάλυση επιχειρησιακών επιπτώσεων και αξιολόγηση των κινδύνων   Business impact analysis - Ανάλυση επιχειρησιακών επιπτώσεων Risk assessment - Αξιολόγηση κινδύνου Στρατηγική επιχειρησιακής συνέχειας  Προσδιορισμός και επιλογή   καθορισμός των απαιτήσεων σε πόρους Προστασία και μετριασμός των επιπτώσεων Νίκος Δεπούντης

Κατάρτιση και εφαρμογή διαδικασιών επιχειρησιακής συνέχειας

16      Δομή αντιμετώπισης συμβάντος Προειδοποίηση και επικοινωνία Business continuity plans – Σχέδια επιχειρησιακής συνέχειας Ανάκτηση Άσκηση και δοκιμές Νίκος Δεπούντης

Αξιολόγηση των επιδόσεων

17    Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση Αξιολόγηση των διαδικασιών επιχειρησιακής συνέχειας Εσωτερική Επιθεώρηση Ανασκόπηση από τη Διοίκηση Νίκος Δεπούντης

Βελτίωση

18   Μη συμμορφώσεις και διορθωτικές Ενέργειες Συνεχής Βελτίωση Νίκος Δεπούντης

Σε ποιους οργανισμούς απευθύνεται;

19 Σε οποιαδήποτε επιχείρηση, ανεξάρτητα από τον επιχειρηματικό τομέα στον οποίο ανήκει, οποιουδήποτε μεγέθους και ιδιοκτησίας (κρατικής, ιδιωτικής, τρίτου τομέα). Ενδεικτικά αναφέρουμε:  Τράπεζες   Logistics Εταιρίες IT   Τηλεπικοινωνίες Πανεπιστημιακά Ιδρύματα  Στρατός Νίκος Δεπούντης

Πιστοποίηση- Διαπίστευση

20 Η πιστοποίηση του Συστήματος Διαχείρισης Επιχειρησιακής Υπογραμμίζει την Συνέχειας επιχειρηματικών απειλών.

από ανεξάρτητο διαπιστευμένο φορέα, αποδεικνύει σε όλα τα ενδιαφερόμενα μέρη τη πραγματική δέσμευση του Οργανισμού σε θέματα επιχειρησιακής συνέχειας.

πραγματική διάθεση του οργανισμού για αυξημένη 'ανθεκτικότητα' και για αυξημένη ανταπόκριση στην αντιμετώπιση των Νίκος Δεπούντης

Οφέλη από την υιοθέτηση του προτύπου

21   Εκπλήρωση της ανάγκης των οργανισμών για μείωση των κινδύνων εκδήλωσης αρνητικών συμβάντων και ενίσχυση της ικανότητας τους για την επιτυχή αντιμετώπιση των συμβάντων αυτών, όταν και αν εκδηλωθούν, προασπίζοντας τη διαθεσιμότητα των προϊόντων και υπηρεσιών τους.

Μείωση των συμβάντων που προκαλούν διακοπές και ασυνέχειες στην επιχειρηματική λειτουργία και απόδειξη της ικανότητας του οργανισμού να λειτουργεί σε ένα σύγχρονο και απαιτητικό περιβάλλον.

Νίκος Δεπούντης

Οφέλη από την υιοθέτηση του προτύπου (συνέχεια)

22    Αντιμετώπιση και ανάκαμψη των επιχειρηματικών λειτουργιών και της ικανότητας του επιχειρείν με τάξη σε περίπτωση αρνητικού συμβάντος η οποία προέρχεται ύστερα από κατάλληλη και επικυρωμένη οργανωσιακή διεργασία.

Εξασφάλιση μέσα από συστηματική προετοιμασία ότι το αποτέλεσμα της προσπάθειας δεν έχει κενά, παραλείψεις, ή εσφαλμένες προσεγγίσεις.

Εναρμόνιση και «προτεραιοποίηση» των επενδύσεων στην Επιχειρηματική Συνέχεια με τους επιχειρηματικούς στόχους και τη στρατηγική του οργανισμού.

Νίκος Δεπούντης

Οφέλη από την υιοθέτηση του προτύπου (συνέχεια)

23    Εξασφάλιση (για τους συμμετόχους) μέσα από την επιθεώρηση από κάποιο φορέα πιστοποίησης, ότι η προετοιμασία οργανισμού.

που έγινε και οι πόροι που διατέθηκαν, καλύπτουν πραγματικά τις ανάγκες του Δημιουργία ανταγωνιστικού πλεονεκτήματος όσον αφορά τη διαθεσιμότητα των προσφερόμενων προϊόντων και υπηρεσιών.

Ανάδειξη της ωριμότητας και πρωτοπορίας της διοίκησης, των μετόχων και του προσωπικού.

Νίκος Δεπούντης

Οφέλη από την υιοθέτηση του προτύπου (συνέχεια)

24   Εξασφάλιση ροών κεφαλαίων Μείωση του κόστους (π.χ. από ασφαλιστήρια συμβόλαια) Νίκος Δεπούντης

Νίκος Δεπούντης

Ευχαριστώ για τη προσοχή σας…

25