ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Transkript

1 ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

2 Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO ISO ISO ISO 27005

3 Emner ISO IMS 2 Målgruppe SerGfisering Relevans Krav

4 Utfordringer Naturkatastrofer Miljøkriser Tekniske feil Menneskeskapte kriser Virksomheter evne til å overleve en krise er direkte relatert til hvor omfattende katastrofeplanen var FØR krisen inntraff

5 Kontinuerlig forbedring - Responsplan + Mer omfattende og systematisk prosess Forebyggende arbeid + Beskyttelse + Forberedelse + Gjenoppretting + Respons

6 God praksis og standard - historikk BSI publiserer BS ISO: draq ISO ISO publiserer ISO PAS 56 publiseres BSI publisererer BS FSA krever retningslinjer for god praksis innen BC BCI publiserer retningslinjer for god praksis innen BCM

7 ISO Internasjonalt nettverk av standardiseringsorganisasjoner Medlemmer fra mer enn 160 land ISO arbeid publiseres som internasjonale standarder Over standarder siden 1947

8 ISO 22301:2012 Societal security - Business continuity management systems Requirements ISO standard publisert 15.mai Internasjonal standard for beredskap Erstatter BS

9 ISO 22301, krav q Planlegging q Etablering q Implementering q Drift q Overvåking q Revidering q Vedlikehold q Forbedring Dokumentert styringssystem for kunne forberede, respondere og gjenoppreue euer krigske hendelser

10 Forbedringer Større vekt på målsetninger Måling og parametere Klarere forventninger til ledelse Mer nøyaktig ift planlegging Forberedelse av ressurser

11 Nye termer DisrupGve incident Hendelse som medfører driqsstans Documented informagon Maximum Acceptable Outage Recovery Time objecgve (RTO) Recovery Point ObjecGve (RPO) Informasjon og dets medium som skal kontrolleres og vedlikeholdes av virksomheten Maksimal Gd en akgvtet kan stoppe Gl driqen hemmes mer enn akseptabelt Forhåndsbestemt Gd innen akgvtet må være gjenopptau eller ressurser være gjenoppreuet. Maksimalt tap av data eller minimum data som må kunne gjenoppreues CorrecGon Handling for å korrigere et oppdaget avvik

12 Relasjon Risk Management InformaGon Security Management Business ConGnuity Management IT management

13 Fordeler Med korrekt implementering vil beredskapsplanlegging redusere sannsynligheten for avbrudd. Når kritisk hendelse inntreffer, er virksomheten i stand til å respondere korrekt og dermed redusere skadeomfang av hendelser

14 Business case

15 Hvem passer ISO for? ISO er generisk nok til å passe alle Store eller små, private eller offentlige virksomheter.

16 Ny struktur! Guide 83 Clause 4: Context of the organization Clause 5: Leadership Clause 6: Planning Clause 7: Support Clause 8: Operation Clause 9: Performance evaluation Clause 10: Improvement

17 Clause 4: Context of the organization Hensikt Verdier Strategier Strategisk innretting Målsetninger knyttet til beredskap Mål Virksomhetspolicy Beredskapspolicy

18 Clause 5: Leadership Knytning mot strategisk retning Integrere krav mot virksomhetsprosesser Nødvendige ressurser Kommunikasjon Måloppåelse Kontinuerlig forbedring Etablere og kommunisere policy Planlegging Roller og ansvar

19 Clause 6: Planning Kritisk del. Etablere strategiske mål. Prinsipper Policy Akseptansenivåer Mål Målbarhet Overvåking og oppdatering

20 Clause 7: Support Ressurser Bemanning Kompetanse Bevissthet Kommunikasjon Dokumentasjon

21 Clause 8: Operation Konsekvensanalyse (BIA) Risikovurdering Strategi Prosedyrer Øvelser og tester

22 Clause 9: Performance evaluation Overvåke Måle Revidere Evaluere

23 Clause 10: Improvement Økt effektivtet (ift målsetninger) Økt effektivtet (ift nytteverdi) Policy & målsetninger Revisjon Hendelser & indikatorer CAPA

24 Metodikk: IMS 2 1. PLAN 2. DO 3. CHECK 4. ACT 1.1 IniGering av BCMS 2.1 BC Strategi 3.1 Overvåking, måling, analyse, evaluerring 4.1 Håndtering av avvik (non- conformiges) 1.2 Virksomhetsforsåelse 2.2 Organisasjonsstruktur 3.2 Intern revisjon 4.2 KonGnuerlig forbedring 1.3 Analyse eksisterende system 2.3 Dokumentstyring 3.3 Ledelsen gjennomgang 1.4 Ledelse og godkjennelse 2.4 BeskyUelse og forebygging 1.5 Omfang 2.5 BCP og prosedyrer 1.6 BC Policy 2.6 Kommunikasjon 1.7 BIA 2.7 Opplæring og bevissthet 1.8 Risikovurdering 2.8 Øvelse og tesgng

25 Strukturert 4 faser 21 trinn 101 akgviteter

26 Vil du lære mer? Psst! Watchcom arrangerer sertifiseringskurs for ISO etter ferien

27 Takk for oppmerksomheten! Arnfinn Roland