Από το BS 25999 στο ISO 22301

Report
ΕΣΠΕΡΙΔΑ
«ΕΠΙΧΕΙΡΗΣΙΑΚΗ ΣΥΝΕΧΕΙΑ ΚΑΙ
ΔΙΑΧΕΙΡΙΣΗ ΚΙΝΔΥΝΩΝ»
ΤΕΤΑΡΤΗ 21 ΝΟΕΜΒΡΙΟΥ 2012
Το BS 25999 γίνεται ISO 22301 “societal
security – business continuity management
systems- requirements”
ΝΙΚΟΣ ΔΕΠΟΥΝΤΗΣ, ΜΕΛΟΣ ΤΗΣ Δ.Ε. ΤΟΥ
ΕΙΔΙΠ, ΕΠΙΚΕΦΑΛΗΣ ΑΞΙΟΛΟΓΗΤΗΣ ΕΣΥΔ
Τι είναι η Επιχειρησιακή
συνέχεια;
2
η ικανότητα του οργανισμού να
συνεχίζει την παράδοση των
προϊόντων ή των υπηρεσιών σε
αποδεκτά προκαθορισμένα
επίπεδα μετά από ένα
αποδιοργανωτικό συμβάν.
(ορισμός από iso 22300)
Νίκος Δεπούντης
Οι κίνδυνοι οι οποίοι απειλούν την
Επιχειρησιακή Συνέχεια είναι :
3
Νίκος Δεπούντης
Οι κίνδυνοι οι οποίοι απειλούν την
Επιχειρησιακή 4Συνέχεια είναι :
 φυσικές






καταστροφές (σεισμοί, πυρκαγιές,
πλημμύρες, θύελλες)
αστοχία υλισμικού ή λογισμικού πληροφορικής,
απώλεια τροφοδότησης ενέργειας (ηλεκτρικό,
φυσικό αέριο, κλπ),
εισβολή, αστοχία ή ιογενής δράση στο εσωτερικό
ή εξωτερικό δίκτυο δεδομένων,
ανθρώπινο λάθος,
τρομοκρατικές ενέργειες και
κυβερνητική και πολιτική αστάθεια
Νίκος Δεπούντης
Οι επιπτώσεις στην επιχειρηματική
δραστηριότητα μεταξύ
των
άλλων
είναι:
5









Απώλεια πωλήσεων και εσόδων
Επιπτώσεις στο όνομα και στη φήμη του οργανισμού
Απώλεια ανταγωνιστικού πλεονεκτήματος
Μείωση της εμπιστοσύνης των ενδιαφερομένων μερών
δηλαδή των μετόχων, των επενδυτών και των πελατών
Καθυστερήσεις στην εκτέλεση έργων
Καθυστερήσεις στις πληρωμές
Αυξημένα ασφάλιστρα
Νομικά και κανονιστικά προβλήματα
Διακυβέρνηση και Διοικητικές ευθύνες του οργανισμού
Νίκος Δεπούντης
Από το BS 25999 στο ISO 22301
6
 Η
ανάπτυξη του διεθνούς προτύπου ISO 22301
στηρίχθηκε σε πρότυπα, μεθοδολογίες και μοντέλα
κυβερνητικά ή μη, όπως οι Κατευθυντήριες Οδηγίες
Καλής Πρακτικής του Business Continuity Institute
(Good Practice Guidelines BCI2001), το BS25999, το
NFPA 1600, το PAS56 και πρότυπα ANSI.
 Το BS 25999 είναι πρότυπο που αναφέρεται στη
Διαχείριση
Επιχειρησιακής
Συνέχειας
(Business
Continuity Management), και εκδόθηκε το Νοέμβριο του
2007 από το British Standards Institution. Από το
Νοέμβριο του 2012 θα πρέπει να αποσυρθεί και να
αντικατασταθεί από το νέο Διεθνές Πρότυπο, ISO 22301
που εκδόθηκε στις αρχές του 2012
Νίκος Δεπούντης
Κύριες διαφορές των προτύπων BS 25999
και ISO 22301
7
 Το ISO 22301 προσφέρει μία κοινή γλώσσα με τα υπόλοιπα




συστήματα διαχείρισης μέσω της μεθόδου Plan Do Check Act
(PDCA)
Πλήρης σύνδεση ISO 22301 με τη σειρά ISO 31000 (Διαχείριση
κινδύνων)
Το ISO 22301 δίνει πολύ μεγαλύτερη έμφαση στον καθορισμό
των στόχων, την παρακολούθηση των επιδόσεων και τις
μετρήσεις.
Το ISO 22301 περιγράφει με περισσότερη σαφήνεια τις
προσδοκίες σχετικά με τη διαχείριση και τις συνοψίζει σε μια
ενιαία ενότητα.
Το ISO 22301 απαιτεί πολύ πιο προσεκτικό σχεδιασμό και την
προετοιμασία των πόρων που απαιτούνται για τη διασφάλιση
της επιχειρησιακής συνέχειας. Οι απαιτήσεις είναι πλέον πιο
εκτεταμένες και πιο καλά δομημένες
Νίκος Δεπούντης
Βασικές αρχές του ISO 22301
8
 Απευθύνεται
σε οργανισμούς κάθε τύπου και
μεγέθους, ενώ συνδυάζεται και συμπληρώνει
απόλυτα τα άλλα πρότυπα σε συγγενείς περιοχές
(όπως το ISO27001 για την Ασφάλεια των
Πληροφοριών, το ISO 9001 για την Ποιότητα και το
ISO31000 για τη Διαχείριση Κινδύνων).
 Το ISO 22301:2012 παρέχει ένα πλαίσιο σε ένα
Οργανισμό για να σχεδιάζει, εδραιώνει, εφαρμόζει,
λειτουργεί, παρακολουθεί, αναθεωρεί, συντηρεί και
συνεχώς να βελτιώνει ένα σύστημα διαχείρισης
επιχειρησιακής συνέχειας. (κύκλος του Deming)
Νίκος Δεπούντης
Το PDCA μοντέλο στο Σύστημα διαχείρισης
επιχειρησιακής συνέχειας
9
Νίκος Δεπούντης
Το PDCA μοντέλο
10
 Plan- Εγκαθιστώ: καθιέρωση πολιτικής, αντικειμενικών σκοπών,
στόχων και διεργασιών που είναι απαραίτητοι για την επίτευξη
αποτελεσμάτων για την επιχειρησιακή συνέχεια σύμφωνα με την
συνολική πολιτική και τους στόχους του οργανισμού.
 Do-Εφαρμόζω και λειτουργώ: εφαρμογή και λειτουργία της
πολιτικής, των ελέγχων, των διεργασιών και των διαδικασιών για
την Επιχειρησιακή συνέχεια.
 Check-Παρακολουθώ και Αναθεωρώ: παρακολούθηση και
μέτρηση των διεργασιών της Επιχειρησιακής συνέχειας έναντι της
πολιτικής, των αντικειμενικών σκοπών και στόχων, των νομικών και
άλλων απαιτήσεων, και έκθεση των αποτελεσμάτων.
 Act- Συντηρώ και Βελτιώνω: ανάληψη ενεργειών για τη συνεχή
βελτίωση της επίδοσης του συστήματος Επιχειρησιακής Συνέχειας.
Νίκος Δεπούντης
Λεξιλόγιο
11
 business continuity management system BCMS- σύστημα







διαχείρισης της επιχειρησιακής συνέχειας BCMS
business continuity plan – σχέδιο επιχειρησιακής συνέχειας
business impact analysis - ανάλυση επιχειρησιακών
επιπτώσεων
maximum acceptable outage MAO - μέγιστη αποδεκτή
διακοπή λειτουργίας
maximum tolerable period of disruption MTPD- μέγιστη
ανεκτή περίοδος διάσπασης
minimum business continuity objective MBCO- ελάχιστος
στόχος επιχειρησιακής συνέχειας
recovery point objective RPO - στόχος σημείου αποκατάστασης
recovery time objective RTO - χρονικός στόχος αποκατάστασης
Νίκος Δεπούντης
Βασικές απαιτήσεις του προτύπου
12
 Ο οργανισμός θα πρέπει να καταρτίζει, εφαρμόζει,
διατηρεί και βελτιώνει συνεχώς ένα BCMS (Σύστημα
Διαχείρισης επιχειρησιακής συνέχειας), που
περιλαμβάνει τις διεργασίες που απαιτούνται και τις
αλληλεπιδράσεις τους, σύμφωνα με τις απαιτήσεις του
προτύπου.
 Η ανώτατη διοίκηση θα πρέπει να αποδεικνύει τη
δέσμευση της ηγεσίας σε σχέση με το BCMS
 Η ανώτατη Διοίκηση θα πρέπει να καταρτίζει μια
πολιτική επιχειρησιακής συνέχειας
 Η Ανωτάτη Διοίκηση θα πρέπει να εξασφαλίζει ότι οι
ευθύνες και οι αρμοδιότητες για σχετικούς ρόλους έχουν
εκχωρηθεί και ανακοινώνονται εντός του οργανισμού
Νίκος Δεπούντης
Σχεδιασμός
13
 Δράσεις για την αντιμετώπιση των κινδύνων και
ευκαιριών
 Αντικειμενικοί στόχοι Επιχειρησιακής συνέχειας και
σχέδια για την επίτευξή τους
Νίκος Δεπούντης
Υποστήριξη
14
 Πόροι
 Επάρκεια
 Ευαισθητοποίηση
 Επικοινωνία
 Τεκμηριωμένη πληροφόρηση και έλεγχος
Νίκος Δεπούντης
Λειτουργία
15
 Επιχειρησιακός σχεδιασμός και έλεγχος
 Ανάλυση επιχειρησιακών επιπτώσεων και
αξιολόγηση των κινδύνων


Business impact analysis - Ανάλυση επιχειρησιακών
επιπτώσεων
Risk assessment - Αξιολόγηση κινδύνου
 Στρατηγική επιχειρησιακής συνέχειας
 Προσδιορισμός και επιλογή
 καθορισμός των απαιτήσεων σε πόρους
 Προστασία και μετριασμός των επιπτώσεων
Νίκος Δεπούντης
Κατάρτιση και εφαρμογή διαδικασιών
επιχειρησιακής συνέχειας
16
 Δομή αντιμετώπισης συμβάντος
 Προειδοποίηση και επικοινωνία
 Business continuity plans – Σχέδια
επιχειρησιακής συνέχειας
 Ανάκτηση
 Άσκηση και δοκιμές
Νίκος Δεπούντης
Αξιολόγηση των επιδόσεων
17
Παρακολούθηση, μέτρηση, ανάλυση και αξιολόγηση
 Αξιολόγηση των διαδικασιών επιχειρησιακής
συνέχειας
 Εσωτερική Επιθεώρηση
 Ανασκόπηση από τη Διοίκηση
Νίκος Δεπούντης
Βελτίωση
18
 Μη συμμορφώσεις και διορθωτικές Ενέργειες
 Συνεχής Βελτίωση
Νίκος Δεπούντης
Σε ποιους οργανισμούς απευθύνεται;
19
Σε οποιαδήποτε επιχείρηση, ανεξάρτητα από τον
επιχειρηματικό τομέα στον οποίο ανήκει,
οποιουδήποτε μεγέθους και ιδιοκτησίας (κρατικής,
ιδιωτικής, τρίτου τομέα). Ενδεικτικά αναφέρουμε:






Τράπεζες
Logistics
Εταιρίες IT
Τηλεπικοινωνίες
Πανεπιστημιακά Ιδρύματα
Στρατός
Νίκος Δεπούντης
Πιστοποίηση- Διαπίστευση
20
Η πιστοποίηση του Συστήματος Διαχείρισης
Επιχειρησιακής
Συνέχειας
από
ανεξάρτητο
διαπιστευμένο φορέα, αποδεικνύει σε όλα τα
ενδιαφερόμενα μέρη τη πραγματική δέσμευση του
Οργανισμού σε θέματα επιχειρησιακής συνέχειας.
Υπογραμμίζει την πραγματική διάθεση του
οργανισμού για αυξημένη 'ανθεκτικότητα' και για
αυξημένη ανταπόκριση στην αντιμετώπιση των
επιχειρηματικών απειλών.
Νίκος Δεπούντης
Οφέλη από την υιοθέτηση του προτύπου
21
 Εκπλήρωση
της ανάγκης των οργανισμών για
μείωση των κινδύνων εκδήλωσης αρνητικών
συμβάντων και ενίσχυση της ικανότητας τους για
την επιτυχή αντιμετώπιση των συμβάντων αυτών,
όταν και αν εκδηλωθούν, προασπίζοντας τη
διαθεσιμότητα των προϊόντων και υπηρεσιών τους.
 Μείωση των συμβάντων που προκαλούν διακοπές
και ασυνέχειες στην επιχειρηματική λειτουργία και
απόδειξη της ικανότητας του οργανισμού να
λειτουργεί σε ένα σύγχρονο και απαιτητικό
περιβάλλον.
Νίκος Δεπούντης
Οφέλη από την υιοθέτηση του προτύπου
(συνέχεια)
22
 Αντιμετώπιση
και ανάκαμψη των επιχειρηματικών
λειτουργιών και της ικανότητας του επιχειρείν με τάξη σε
περίπτωση αρνητικού συμβάντος η οποία προέρχεται
ύστερα από κατάλληλη και επικυρωμένη οργανωσιακή
διεργασία.
 Εξασφάλιση μέσα από συστηματική προετοιμασία ότι το
αποτέλεσμα της προσπάθειας δεν έχει κενά,
παραλείψεις, ή εσφαλμένες προσεγγίσεις.
 Εναρμόνιση και «προτεραιοποίηση» των επενδύσεων
στην Επιχειρηματική Συνέχεια με τους επιχειρηματικούς
στόχους και τη στρατηγική του οργανισμού.
Νίκος Δεπούντης
Οφέλη από την υιοθέτηση του προτύπου
(συνέχεια)
23
 Εξασφάλιση (για τους συμμετόχους) μέσα από την
επιθεώρηση από κάποιο φορέα πιστοποίησης, ότι η
προετοιμασία που έγινε και οι πόροι που
διατέθηκαν, καλύπτουν πραγματικά τις ανάγκες του
οργανισμού.
 Δημιουργία ανταγωνιστικού πλεονεκτήματος όσον
αφορά τη διαθεσιμότητα των προσφερόμενων
προϊόντων και υπηρεσιών.
 Ανάδειξη της ωριμότητας και πρωτοπορίας της
διοίκησης, των μετόχων και του προσωπικού.
Νίκος Δεπούντης
Οφέλη από την υιοθέτηση του προτύπου
(συνέχεια)
24
 Εξασφάλιση ροών κεφαλαίων
 Μείωση
του κόστους (π.χ. από ασφαλιστήρια
συμβόλαια)
Νίκος Δεπούντης
Ευχαριστώ για τη προσοχή σας…
25
Νίκος Δεπούντης

similar documents