SFS-EN ISO 22301SFS-seminaari 2015-10-06 . SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset . Jyrki Lahnalahti ·

SFS-seminaari 2015-10-06

SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset

Jyrki Lahnalahti 2015-10-05

Versio 1.0

Inspecta-konserni

• yli 1.500 työntekijää

• yli 75.000 asiakasta

• yli 400.000 arviointia tai tarkastusta vuodessa

• liikevaihto n. 175 MEUR

• Pohjoismaat ja Baltia

• kesäkuusta 2015 alkaen osa ACTA*-konsernia (Hollanti)

• kokenut keski-ikäinen – täyttää 40 vuonna 2015

2

Inspecta Sertifiointi, tarkastus, testaus, konsultointi, koulutus

Inspecta Sertifiointi Oy

• yli 50 työntekijää

• tuote-, henkilö- ja järjestelmäsertifiointi

• johtava hallintajärjestelmien akkreditoitu sertifioija Suomessa

• ISO 9001, ISO 14001, OHSAS 18001, ISO/IEC 20000-1, ISO/IEC 27001, ISO 22301, ISO 50001, …

• VAHTI 2/2010, Katakri, …

Copyright © 2015 Inspecta Sertifiointi Oy

Liiketoiminnan jatkuvuuden hallintajärjestelmät

Standardi SFS-EN ISO 22301 (2014)

3

• hallintajärjestelmä (SFS-EN ISO 22301 (2014)) – joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan

toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan

• liiketoiminnan jatkuvuuden hallintajärjestelmä (BCMS) (SFS-EN ISO 22301 (2014)) – yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään,

seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta – HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet,

suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit.

• liiketoiminnan jatkuvuus (SFS-EN ISO 22300 (2014)) – organisaation kyky jatkaa tuotteiden tai palvelujen toimittamista

hyväksytyllä ennalta määritellyllä tasolla häiriötilanteen jälkeen

4

Liiketoiminnan jatkuvuuden hallintajärjestelmät Termejä ja sanastoa


Brittiläinen Business Continuity Institute tekee vuosittain maailmanlaajuisen kyselyn organisaatioiden näkemyksistä liiketoiminnan jatkuvuuteen kohdistuvista uhista. The top three threats rated by level of concern in this year’s survey are: • Cyber attack

– (82% extremely concerned or concerned) • Unplanned IT and telecom outages

– (81% extremely concerned or concerned) • Data breach

– (74% extremely concerned or concerned) • Rounding out the top 10 threats are interruption to utility supply, supply chain disruption,

security incidents, adverse weather, human illness, fire and acts of terrorism. Cyber attacks have climbed from third (2013) to second (2014) and now first (2015), reflecting increased concern among BC professionals. Results suggest that the top two trends, the use of the Internet for malicious attacks (81%) and the growing influence of social media (63%), remain unchanged for the third consecutive year. Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.

5

Liiketoiminnan jatkuvuuden uhat 2015


• perustuu brittiläiseen BS 25999 -standardiin

• pyrkii ratkaisemaan jatkuvuuden hallinnan perinteisiä ongelmia kuten osaoptimointi ja jatkuvuuden hallinnan siiloutuminen kokonaisuuden kustannuksella

• toimialariippumaton malli kaiken kokoisille organisaatioille

• toimiva työkalu myös täydentämään muita hallintajärjestelmiä kuten laatu ja tietoturvallisuus

6

SFS-EN ISO 22301 (2014) Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset


• More businesses (52% from last year’s 44%) use ISO 22301 as a framework for ISO 22301 implementation, with an additional 17% reporting a shift to ISO 22301 this year. This data suggests the growing maturity of the standard.

• Further analysis of the data reveals that SMEs are less likely to perform trend analysis compared to large businesses (59% compared to 77%). Only half of SMEs are likely to use ISO 22301 as a framework for BCM implementation. These are significant gaps that may be addressed by measures which facilitate BC planning and standards alignment.

7

ISO 22301:n soveltaminen ja käyttö Kyselytutkimus 2014 lopulla

Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.


• liiketoiminnan jatkuvuuden hallintajärjestelmän tarkoitus on ”häiriötilanteilta suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin varautuminen ja reagoiminen sekä niistä palautuminen.”

• standardin ”vaatimukset ovat yleisiä, ja tarkoitettu soveltuvaksi kaikille organisaatioille tai niiden osille riippumatta niiden tyypistä, koosta ja organisaation luonteesta. Näiden vaatimusten käyttölaajuus riippuu organisaation toimintaympäristöstä ja monimutkaisuudesta.”

pyritty luomaan mahdollisimman monikäyttöinen kokoelma hyviä käytäntöjä (vaatimuksia)

kuten aina, sertifioinneissa suhteutetaan vaatimukset kohdeorganisaatioon

• aivan keskeistä on tunnistaa jatkuvuuteen kohdistuvat vaatimukset laeista, viranomaisvaatimuksista, sopimuksista ja organisaation omista tavoitteista. Standardi (+ muut ko. sarjan standardit) antavat tukea tähän vaativaan vaiheeseen.

8

SFS-EN ISO 22301: kenelle ja mihin


4 Organisaation toimintaympäristö • 4.1 Organisaation ja sen toimintaympäristön

ymmärtäminen • 4.2 Sidosryhmien tarpeiden ja odotusten

ymmärtäminen • 4.3 Liiketoiminnan jatkuvuuden hallintajärjestelmän

soveltamisalan määrittäminen • 4.4 Liiketoiminnan jatkuvuuden hallintajärjestelmä 5 Johtajuus • 5.1 Johtajuus ja sitoutuminen • 5.2 Johdon sitoutuminen • 5.3 Liiketoiminnan jatkuvuuden toimintaperiaatteet • 5.4 organisaation roolit, vastuut ja valtuudet 6 Suunnittelu • 6.1 Riskien ja mahdollisuuksien käsittely • 6.2 Liiketoiminnan jatkuvuuden tavoitteet ja niiden

saavuttamiseen tarvittavien toimien suunnittelu 7 Tukitoiminnot • 7.1 Resurssit

• 7.2 Pätevyys • 7.3 Tietoisuus • 7.4 Viestintä • 7.5 Dokumentoitu tieto 8 Toiminta • 8.1 Toiminnan suunnittelu ja ohjaus • 8.2 Liiketoiminnan vaikutusanalyysi ja riskien arviointi • 8.3 Liiketoiminnan jatkuvuuden strategia • 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen

ja toteuttaminen • 8.5 Harjoittelu ja testaus 9 Suorituskyvyn arviointi • 9.1 Seuranta, mittaus, analysointi ja arviointi • 9.2 Sisäinen auditointi • 9.3 Johdon katselmus

10 Parantaminen • 10.1 Poikkeamat ja korjaavat toimenpiteet • 10.2 Jatkuva parantaminen

9

SFS-EN ISO 22301:n sisältö Vaatimusosiot


• liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA) – liiketoiminnan kannalta kriittisten aktiviteettien tunnistaminen – analyysi siitä miten näiden aktiviteettien häiriöt vaikuttavat liiketoimintaan

• riskien arviointi – mitä riskejä kriittisiin aktiviteetteihin kohdistuu? Kuinka merkittäviä ja todennäköisiä ne

ovat? Miten niitä voidaan lieventää?

• liiketoiminnan jatkuvuuden strategia – perustuu BIAan ja riskien arviointiin – miten kriittisiä aktiviteettejä suojataan, miten niiden häiriötilanteista toivutaan ja miten

häiriöiden seuraukset käsitellään, mitä resursseja tarvitaan

• häiriöihin reagoinnin menettelyt ja käytännöt

• jatkuvuussuunnitelmat, niiden harjoittelu ja testaus

• suunniteltu viestintä!

10

ISO 22301 –hallintajärjestelmän keskeiset elementit ja vaatimukset


11

Liiketoiminnan jatkuvuuden hallintajärjestelmän rakentaminen

Periaatteiden (politiikka) ja tavoitteiden määrittely. Johtajuus.

Toimintaympäristön, liiketoiminnan jatkuvuusvaatimusten ja hallintajärjestelmän

soveltamisalan (kattavuuden) määrittely

Liiketoiminnan vaikutusanalyysi (BIA) Riskien arviointi ja käsittely

Liiketoiminnan jatkuvuuden strategia

Liiketoiminnan jatkuvuuden menettelyt (häiriönhallinta, viestintä, jatkuvuussuunnitelmat, palautuminen)

Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat niiden saavuttamiseksi

Menettelyiden harjoittelu ja testaus

Liiketoiminnan jatkuvuuden toimintaperiaatteet

BIA, riskienhallinta

Menettely-kuvaukset

Jatkuvuuden tavoitteet

Testausraportit

Soveltamisala (kattavuus)


• liiketoiminnan jatkuvuuden strategiaan tunnistetaan BIAn ja riskien arvioinnin tulosten perusteella tarvittavat toimenpiteet ja aktiviteetit liiketoiminnan jatkuvuudenhallintavaatimusten täyttämiseksi

• näitä toimenpiteitä tarvitaan ja käytetään ennen häiriötä, sen aikana ja sen jälkeen • miten

– priorisoituja aktiviteettejä suojataan – priorisoituja aktiviteettejä vakautetaan, jatketaan, palautetaan ja miten ne

toipuvat – häiriöiden vaikutuksia lievennetään, miten häiriöihin vastataan ja miten häiriöitä

hallitaan

12

Liiketoiminnan jatkuvuuden strategia


Vähintään tulee tarkastella tarvittavia resursseja kuten • ihmiset • tiedot ja data • rakennukset, työympäristö ja niihin liittyvä välineistö • tilat, laitteet, varusteet ja tarvikkeet • tieto- ja viestintäteknologiajärjestelmät (ICT) • kuljetus • rahoitus • yhteistyökumppanit ja toimittajat

13

Resurssit, joita tarvitaan strategian toteuttamiseen


Nimi Tila Huomaa

SFS-EN ISO

22300

Yhteiskunnan turvallisuus. Sanasto Suomalainen ja suomenkielinen kansallinen standardi 2014.

SFS-EN ISO

22301

Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset

Suomalainen kansallinen standardi 2014. Suomenkielinen käännös 2015.

Vaatimus-standardi sertifiointiin

SFS-EN ISO

22313

Societal Security. Business Continuity Management Systems. Guidance

Suomalainen kansallinen standardi 2014.

ISO/TS 22317

Societal security -- Business continuity management systems -- Guidelines for business impact analysis (BIA)

Julkaistu 2015.

ISO 22300 –standardisarjan joitakin julkaistuja osia

14 Copyright © 2015 Inspecta Sertifiointi Oy

Nimi Tila Huomaa

ISO/TS 22318

Societal security -- Business continuity management systems -- Guidelines for supply chain continuity

Julkaistu 2015.

ISO 22320

Societal security -- Emergency management -- Requirements for incident response

Julkaistu 2011.

ISO 22322

Societal security -- Emergency management -- Guidelines for public warning

Julkaistu 2015.

ISO 22398

Societal security — Guidelines for exercises

Julkaistu 2013.

ISO 22300 –standardisarjan joitakin julkaistuja osia


Johtamisjärjestelmät, hallintajärjestelmät, toimintajärjestelmät, …

• Annex SL eli “ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures specific to ISO. Annex SL: Proposals for management system standards” – ISO = International Organization for Standardization

• ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa kaikille hallintajärjestelmästandardeille

• tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia

• muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan

• suuri periaatteellinen muutos: ”johtajuus” (”leadership”) on korvannut ”johtamisen” (”management”)

• hallintajärjestelmä on aito osa organisaation johtamista ja tapaa toimia – ei erillinen käsikirja tai intrasivusto 17

Annex SL Merkittävä uudistus ISOn hallintajärjestelmästandardeihin


Annex SL

• kaikkien hallintajärjestelmästandardien tulee olla yhteneviä − rakenteeltaan (sisällysluettelo) − terminologialtaan −määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli,

dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen) • ISO 22301:2012 oli ensimmäinen tämän

rakenteen mukainen standardi esim. ISO 22301 ja ISO/IEC 27001 on helppo sovittaa yhteen ja samaan kokonaisuuteen johtamisjärjestelmäksi

Merkittävä uudistus ISOn hallintajärjestelmästandardeihin

Copyright © 2015 Inspecta Sertifiointi Oy 18

SFS-ISO/IEC 27001:2013 • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Liite A (velvoittava) Hallintatavoitteiden

ja -keinojen viiteluettelo • Kirjallisuus

19

ISO 22301 ja ISO/IEC 27001: sama rakenne, samoja vaatimuksia

SFS-EN ISO 22301 (2014) • Esipuhe • 0 Johdanto • 1 Soveltamisala • 2 Velvoittavat viittaukset • 3 Termit ja määritelmät • 4 Organisaation toimintaympäristö • 5 Johtajuus • 6 Suunnittelu • 7 Tukitoiminnot • 8 Toiminta • 9 Suorituskyvyn arviointi • 10 Parantaminen • Kirjallisuus


20

Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit

Sertifiointihakemus

Ennakkoarviointi (tarvittaessa)

Sertifioinnin vaihe 1 (valmistelu)

Sertifioinnin vaihe 2 (arviointi)

Arvioinnin tulokset (arviointiraportti) Seuranta-arvioinnit (1-2/vuosi)

Sertifikaatti

Korjaavat toimenpiteet TAI Uusinta-arviointi

Uudelleensertifiointi- arviointi (joka 3. vuosi)

Puutteita havaittu


Kysymyksiä, kommentteja?

21


Documents

SFS-EN ISO 22301SFS-seminaari 2015-10-06 . SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus. Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset . Jyrki Lahnalahti ·