ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland
Introduksjon Arnfinn Roland CISSP PECB Professional Trainer Certified ISO Lead Auditor, Lead Implementer ISO 27001 ISO 22301 ISO 20000 ISO 27005
Emner ISO 22301 IMS 2 Målgruppe SerGfisering Relevans Krav
Utfordringer Naturkatastrofer Miljøkriser Tekniske feil Menneskeskapte kriser Virksomheter evne til å overleve en krise er direkte relatert til hvor omfattende katastrofeplanen var FØR krisen inntraff
Kontinuerlig forbedring - Responsplan + Mer omfattende og systematisk prosess Forebyggende arbeid + Beskyttelse + Forberedelse + Gjenoppretting + Respons
God praksis og standard - historikk 2012 2003 2006 2007 BSI publiserer BS 25999-2 2010 ISO: draq ISO 22301 ISO publiserer ISO 22301 2001 2002 PAS 56 publiseres BSI publisererer BS 25999-1 FSA krever retningslinjer for god praksis innen BC BCI publiserer retningslinjer for god praksis innen BCM
ISO Internasjonalt nettverk av standardiseringsorganisasjoner Medlemmer fra mer enn 160 land ISO arbeid publiseres som internasjonale standarder Over 19000 standarder siden 1947
ISO 22301:2012 Societal security - Business continuity management systems Requirements ISO standard publisert 15.mai Internasjonal standard for beredskap Erstatter BS 25999-2
ISO 22301, krav q Planlegging q Etablering q Implementering q Drift q Overvåking q Revidering q Vedlikehold q Forbedring Dokumentert styringssystem for kunne forberede, respondere og gjenoppreue euer krigske hendelser
Forbedringer Større vekt på målsetninger Måling og parametere Klarere forventninger til ledelse Mer nøyaktig ift planlegging Forberedelse av ressurser
Nye termer DisrupGve incident Hendelse som medfører driqsstans Documented informagon Maximum Acceptable Outage Recovery Time objecgve (RTO) Recovery Point ObjecGve (RPO) Informasjon og dets medium som skal kontrolleres og vedlikeholdes av virksomheten Maksimal Gd en akgvtet kan stoppe Gl driqen hemmes mer enn akseptabelt Forhåndsbestemt Gd innen akgvtet må være gjenopptau eller ressurser være gjenoppreuet. Maksimalt tap av data eller minimum data som må kunne gjenoppreues CorrecGon Handling for å korrigere et oppdaget avvik
Relasjon Risk Management InformaGon Security Management Business ConGnuity Management IT management
Fordeler Med korrekt implementering vil beredskapsplanlegging redusere sannsynligheten for avbrudd. Når kritisk hendelse inntreffer, er virksomheten i stand til å respondere korrekt og dermed redusere skadeomfang av hendelser
Business case
Hvem passer ISO 22301 for? ISO 22301 er generisk nok til å passe alle Store eller små, private eller offentlige virksomheter.
Ny struktur! Guide 83 Clause 4: Context of the organization Clause 5: Leadership Clause 6: Planning Clause 7: Support Clause 8: Operation Clause 9: Performance evaluation Clause 10: Improvement
Clause 4: Context of the organization Hensikt Verdier Strategier Strategisk innretting Målsetninger knyttet til beredskap Mål Virksomhetspolicy Beredskapspolicy
Clause 5: Leadership Knytning mot strategisk retning Integrere krav mot virksomhetsprosesser Nødvendige ressurser Kommunikasjon Måloppåelse Kontinuerlig forbedring Etablere og kommunisere policy Planlegging Roller og ansvar
Clause 6: Planning Kritisk del. Etablere strategiske mål. Prinsipper Policy Akseptansenivåer Mål Målbarhet Overvåking og oppdatering
Clause 7: Support Ressurser Bemanning Kompetanse Bevissthet Kommunikasjon Dokumentasjon
Clause 8: Operation Konsekvensanalyse (BIA) Risikovurdering Strategi Prosedyrer Øvelser og tester
Clause 9: Performance evaluation Overvåke Måle Revidere Evaluere
Clause 10: Improvement Økt effektivtet (ift målsetninger) Økt effektivtet (ift nytteverdi) Policy & målsetninger Revisjon Hendelser & indikatorer CAPA
Metodikk: IMS 2 1. PLAN 2. DO 3. CHECK 4. ACT 1.1 IniGering av BCMS 2.1 BC Strategi 3.1 Overvåking, måling, analyse, evaluerring 4.1 Håndtering av avvik (non- conformiges) 1.2 Virksomhetsforsåelse 2.2 Organisasjonsstruktur 3.2 Intern revisjon 4.2 KonGnuerlig forbedring 1.3 Analyse eksisterende system 2.3 Dokumentstyring 3.3 Ledelsen gjennomgang 1.4 Ledelse og godkjennelse 2.4 BeskyUelse og forebygging 1.5 Omfang 2.5 BCP og prosedyrer 1.6 BC Policy 2.6 Kommunikasjon 1.7 BIA 2.7 Opplæring og bevissthet 1.8 Risikovurdering 2.8 Øvelse og tesgng
Strukturert 4 faser 21 trinn 101 akgviteter
Vil du lære mer? Psst! Watchcom arrangerer sertifiseringskurs for ISO 22301 etter ferien
Takk for oppmerksomheten! Arnfinn Roland arnfinn.roland@watchcom.no