Liiketoiminnan jatkumisen hallintajärjestelmä - SFS

SFS-EN ISO 22301 (2014): Yhteiskunnan turvallisuus.
Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
SFS-seminaari 2015-10-06
Jyrki Lahnalahti
2015-10-05
Versio 1.0
Inspecta
Sertifiointi, tarkastus, testaus, konsultointi, koulutus
Inspecta-konserni
Inspecta Sertifiointi Oy
• yli 1.500 työntekijää
• yli 50 työntekijää
• yli 75.000 asiakasta
• tuote-, henkilö- ja
järjestelmäsertifiointi
• yli 400.000 arviointia tai tarkastusta
vuodessa
• liikevaihto n. 175 MEUR
• Pohjoismaat ja Baltia
• kesäkuusta 2015 alkaen osa ACTA*konsernia (Hollanti)
• kokenut keski-ikäinen – täyttää 40
vuonna 2015
2
• johtava hallintajärjestelmien
akkreditoitu sertifioija Suomessa
• ISO 9001, ISO 14001, OHSAS
18001, ISO/IEC 20000-1, ISO/IEC
27001, ISO 22301, ISO 50001, …
• VAHTI 2/2010, Katakri, …
Copyright © 2015 Inspecta Sertifiointi Oy
Liiketoiminnan jatkuvuuden hallintajärjestelmät
Standardi SFS-EN ISO 22301 (2014)
3
Liiketoiminnan jatkuvuuden hallintajärjestelmät
Termejä ja sanastoa
• hallintajärjestelmä (SFS-EN ISO 22301 (2014))
– joukko organisaation toisiinsa liittyviä tai vaikuttavia osia, joiden avulla luodaan
toimintaperiaatteet ja tavoitteet sekä prosessit, joilla nämä tavoitteet saavutetaan
• liiketoiminnan jatkuvuuden hallintajärjestelmä (BCMS) (SFS-EN ISO 22301 (2014))
– yleisen hallintajärjestelmän osa, jolla laaditaan, toteutetaan, käytetään,
seurataan, katselmoidaan, ylläpidetään ja parannetaan liiketoiminnan jatkuvuutta
– HUOM. Hallintajärjestelmä sisältää organisaatiorakenteen, toimintaperiaatteet,
suunnittelutoiminnot, vastuut, menettelyt, prosessit ja resurssit.
• liiketoiminnan jatkuvuus (SFS-EN ISO 22300 (2014))
– organisaation kyky jatkaa tuotteiden tai palvelujen toimittamista
hyväksytyllä ennalta määritellyllä tasolla häiriötilanteen jälkeen
4
Copyright © 2015 Inspecta Sertifiointi Oy
Liiketoiminnan jatkuvuuden uhat 2015
Brittiläinen Business Continuity Institute tekee vuosittain maailmanlaajuisen kyselyn
organisaatioiden näkemyksistä liiketoiminnan jatkuvuuteen kohdistuvista uhista.
The top three threats rated by level of concern in this year’s survey are:
• Cyber attack
– (82% extremely concerned or concerned)
• Unplanned IT and telecom outages
– (81% extremely concerned or concerned)
• Data breach
– (74% extremely concerned or concerned)
• Rounding out the top 10 threats are interruption to utility supply, supply chain disruption,
security incidents, adverse weather, human illness, fire and acts of terrorism.
Cyber attacks have climbed from third (2013) to second (2014) and now first (2015), reflecting
increased concern among BC professionals.
Results suggest that the top two trends, the use of the Internet for malicious attacks (81%) and
the growing influence of social media (63%), remain unchanged for the third consecutive year.
Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.
5
Copyright © 2015 Inspecta Sertifiointi Oy
SFS-EN ISO 22301 (2014)
Liiketoiminnan jatkuvuuden hallintajärjestelmät. Vaatimukset
• perustuu brittiläiseen BS 25999
-standardiin
• pyrkii ratkaisemaan
jatkuvuuden hallinnan
perinteisiä ongelmia kuten
osaoptimointi ja jatkuvuuden
hallinnan siiloutuminen
kokonaisuuden kustannuksella
• toimialariippumaton malli
kaiken kokoisille
organisaatioille
• toimiva työkalu myös
täydentämään muita
hallintajärjestelmiä kuten laatu
ja tietoturvallisuus
6
Copyright © 2015 Inspecta Sertifiointi Oy
ISO 22301:n soveltaminen ja käyttö
Kyselytutkimus 2014 lopulla
• More businesses (52% from last year’s 44%) use ISO 22301 as a framework for
ISO 22301 implementation, with an additional 17% reporting a shift to ISO 22301
this year. This data suggests the growing maturity of the standard.
• Further analysis of the data reveals that SMEs are less likely to perform trend
analysis compared to large businesses (59% compared to 77%). Only half of
SMEs are likely to use ISO 22301 as a framework for BCM implementation. These
are significant gaps that may be addressed by measures which facilitate BC
planning and standards alignment.
Lähde: Business Continuity Institute (BCI) Horizon Scan 2015 (www.thebci.org). 694 vastaajaa 72 eri maasta.
7
Copyright © 2015 Inspecta Sertifiointi Oy
SFS-EN ISO 22301: kenelle ja mihin
• liiketoiminnan jatkuvuuden hallintajärjestelmän tarkoitus on ”häiriötilanteilta
suojautuminen, niiden esiintymisen todennäköisyyden pienentäminen, niihin
varautuminen ja reagoiminen sekä niistä palautuminen.”
• standardin ”vaatimukset ovat yleisiä, ja tarkoitettu soveltuvaksi kaikille organisaatioille tai
niiden osille riippumatta niiden tyypistä, koosta ja organisaation luonteesta. Näiden
vaatimusten käyttölaajuus riippuu organisaation toimintaympäristöstä ja
monimutkaisuudesta.”
pyritty luomaan mahdollisimman monikäyttöinen
kokoelma hyviä käytäntöjä (vaatimuksia)
kuten aina, sertifioinneissa suhteutetaan vaatimukset
kohdeorganisaatioon
• aivan keskeistä on tunnistaa jatkuvuuteen kohdistuvat
vaatimukset laeista, viranomaisvaatimuksista,
sopimuksista ja organisaation omista tavoitteista.
Standardi (+ muut ko. sarjan standardit) antavat tukea tähän
vaativaan vaiheeseen.
8
Copyright © 2015 Inspecta Sertifiointi Oy
SFS-EN ISO 22301:n sisältö
Vaatimusosiot
4 Organisaation toimintaympäristö
• 4.1 Organisaation ja sen toimintaympäristön
ymmärtäminen
• 4.2 Sidosryhmien tarpeiden ja odotusten
ymmärtäminen
• 4.3 Liiketoiminnan jatkuvuuden hallintajärjestelmän
soveltamisalan määrittäminen
• 4.4 Liiketoiminnan jatkuvuuden hallintajärjestelmä
5 Johtajuus
• 5.1 Johtajuus ja sitoutuminen
• 5.2 Johdon sitoutuminen
• 5.3 Liiketoiminnan jatkuvuuden toimintaperiaatteet
• 5.4 organisaation roolit, vastuut ja valtuudet
6 Suunnittelu
• 6.1 Riskien ja mahdollisuuksien käsittely
• 6.2 Liiketoiminnan jatkuvuuden tavoitteet ja niiden
saavuttamiseen tarvittavien toimien suunnittelu
7 Tukitoiminnot
• 7.1 Resurssit
9
•
•
•
•
7.2 Pätevyys
7.3 Tietoisuus
7.4 Viestintä
7.5 Dokumentoitu tieto
8 Toiminta
• 8.1 Toiminnan suunnittelu ja ohjaus
• 8.2 Liiketoiminnan vaikutusanalyysi ja riskien arviointi
• 8.3 Liiketoiminnan jatkuvuuden strategia
• 8.4 Liiketoiminnan jatkuvuuden menettelyjen luominen
ja toteuttaminen
• 8.5 Harjoittelu ja testaus
9 Suorituskyvyn arviointi
• 9.1 Seuranta, mittaus, analysointi ja arviointi
• 9.2 Sisäinen auditointi
• 9.3 Johdon katselmus
10 Parantaminen
• 10.1 Poikkeamat ja korjaavat toimenpiteet
• 10.2 Jatkuva parantaminen
Copyright © 2015 Inspecta Sertifiointi Oy
ISO 22301 –hallintajärjestelmän keskeiset elementit ja vaatimukset
• liiketoiminnan vaikutusanalyysi (Business Impact Analysis, BIA)
– liiketoiminnan kannalta kriittisten aktiviteettien tunnistaminen
– analyysi siitä miten näiden aktiviteettien häiriöt vaikuttavat liiketoimintaan
• riskien arviointi
– mitä riskejä kriittisiin aktiviteetteihin kohdistuu? Kuinka merkittäviä ja todennäköisiä ne
ovat? Miten niitä voidaan lieventää?
• liiketoiminnan jatkuvuuden strategia
– perustuu BIAan ja riskien arviointiin
– miten kriittisiä aktiviteettejä suojataan, miten niiden häiriötilanteista toivutaan ja miten
häiriöiden seuraukset käsitellään, mitä resursseja tarvitaan
• häiriöihin reagoinnin menettelyt ja käytännöt
• jatkuvuussuunnitelmat, niiden harjoittelu ja testaus
• suunniteltu viestintä!
10
Copyright © 2015 Inspecta Sertifiointi Oy
Liiketoiminnan jatkuvuuden hallintajärjestelmän rakentaminen
Toimintaympäristön, liiketoiminnan
jatkuvuusvaatimusten ja hallintajärjestelmän
soveltamisalan (kattavuuden) määrittely
Periaatteiden (politiikka) ja tavoitteiden määrittely.
Johtajuus.
Liiketoiminnan jatkuvuuden tavoitteet ja suunnitelmat
niiden saavuttamiseksi
Liiketoiminnan vaikutusanalyysi (BIA)
Riskien arviointi ja käsittely
Liiketoiminnan jatkuvuuden strategia
Liiketoiminnan jatkuvuuden menettelyt (häiriönhallinta,
viestintä, jatkuvuussuunnitelmat, palautuminen)
Menettelyiden harjoittelu ja testaus
11
Soveltamisala
(kattavuus)
Liiketoiminnan
jatkuvuuden
toimintaperiaatteet
Jatkuvuuden
tavoitteet
BIA, riskienhallinta
Menettelykuvaukset
Testausraportit
Copyright © 2015 Inspecta Sertifiointi Oy
Liiketoiminnan jatkuvuuden strategia
• liiketoiminnan jatkuvuuden strategiaan tunnistetaan BIAn ja riskien arvioinnin
tulosten perusteella tarvittavat toimenpiteet ja aktiviteetit liiketoiminnan
jatkuvuudenhallintavaatimusten täyttämiseksi
• näitä toimenpiteitä tarvitaan ja käytetään ennen häiriötä, sen aikana ja sen jälkeen
• miten
– priorisoituja aktiviteettejä suojataan
– priorisoituja aktiviteettejä vakautetaan, jatketaan, palautetaan ja miten ne
toipuvat
– häiriöiden vaikutuksia lievennetään, miten häiriöihin vastataan ja miten häiriöitä
hallitaan
12
Copyright © 2015 Inspecta Sertifiointi Oy
Resurssit, joita tarvitaan strategian toteuttamiseen
Vähintään tulee tarkastella tarvittavia resursseja kuten
• ihmiset
• tiedot ja data
• rakennukset, työympäristö ja niihin liittyvä välineistö
• tilat, laitteet, varusteet ja tarvikkeet
• tieto- ja viestintäteknologiajärjestelmät (ICT)
• kuljetus
• rahoitus
• yhteistyökumppanit ja toimittajat
13
Copyright © 2015 Inspecta Sertifiointi Oy
ISO 22300 –standardisarjan joitakin julkaistuja osia
Nimi
Tila
SFS-EN
ISO
22300
Yhteiskunnan turvallisuus. Sanasto
Suomalainen ja
suomenkielinen
kansallinen
standardi 2014.
SFS-EN
ISO
22301
Yhteiskunnan turvallisuus.
Liiketoiminnan jatkuvuuden
hallintajärjestelmät. Vaatimukset
Suomalainen
kansallinen
standardi 2014.
Suomenkielinen
käännös 2015.
SFS-EN
ISO
22313
Societal Security. Business Continuity
Management Systems. Guidance
Suomalainen
kansallinen
standardi 2014.
ISO/TS
22317
Societal security -- Business
continuity management systems -Guidelines for business impact
analysis (BIA)
Julkaistu 2015.
14
Copyright © 2015 Inspecta Sertifiointi Oy
Huomaa
Vaatimusstandardi
sertifiointiin
ISO 22300 –standardisarjan joitakin julkaistuja osia
Nimi
Tila
ISO/TS
22318
Societal security -- Business
continuity management systems -Guidelines for supply chain continuity
Julkaistu 2015.
ISO
22320
Societal security -- Emergency
management -- Requirements for
incident response
Julkaistu 2011.
ISO
22322
Societal security -- Emergency
management -- Guidelines for public
warning
Julkaistu 2015.
ISO
22398
Societal security — Guidelines for
exercises
Julkaistu 2013.
15
Copyright © 2015 Inspecta Sertifiointi Oy
Huomaa
Johtamisjärjestelmät, hallintajärjestelmät, toimintajärjestelmät, …
Annex SL
Merkittävä uudistus ISOn hallintajärjestelmästandardeihin
• Annex SL eli “ISO/IEC Directives, Part 1. Consolidated ISO Supplement - Procedures
specific to ISO. Annex SL: Proposals for management system standards”
– ISO = International Organization for Standardization
• ISOn tavoite: luoda yhtenäinen rakenne ja yhteisten osa-alueiden vaatimusmassa
kaikille hallintajärjestelmästandardeille
• tukee usean hallintajärjestelmän yhtäaikaista rakentamista ja sertifiointia
• muodostaa rungon ja pohjan hallintajärjestelmästandardeille, mutta eri toimialat
tarvitsevat edelleen omia vaatimuksiaan ja vaatimusten muotoilujaan
• suuri periaatteellinen muutos: ”johtajuus” (”leadership”) on
korvannut ”johtamisen” (”management”)
• hallintajärjestelmä on aito osa organisaation johtamista ja tapaa
toimia – ei erillinen käsikirja tai intrasivusto
17
Copyright © 2015 Inspecta Sertifiointi Oy
Annex SL
Merkittävä uudistus ISOn hallintajärjestelmästandardeihin
• kaikkien hallintajärjestelmästandardien tulee olla yhteneviä
− rakenteeltaan (sisällysluettelo)
− terminologialtaan
− määritellyiltä yhteisiltä vaatimuksiltaan (esim. ylimmän johdon rooli,
dokumentoidun tiedon hallinta, viestintä, jatkuva parantaminen)
• ISO 22301:2012 oli ensimmäinen tämän
rakenteen mukainen standardi
 esim. ISO 22301 ja ISO/IEC 27001 on helppo
sovittaa yhteen ja samaan kokonaisuuteen
johtamisjärjestelmäksi
18
Copyright © 2015 Inspecta Sertifiointi Oy
ISO 22301 ja ISO/IEC 27001: sama rakenne, samoja vaatimuksia
SFS-EN ISO 22301 (2014)
• Esipuhe
• 0 Johdanto
• 1 Soveltamisala
• 2 Velvoittavat viittaukset
• 3 Termit ja määritelmät
• 4 Organisaation toimintaympäristö
• 5 Johtajuus
• 6 Suunnittelu
• 7 Tukitoiminnot
• 8 Toiminta
• 9 Suorituskyvyn arviointi
• 10 Parantaminen
• Kirjallisuus
19
SFS-ISO/IEC 27001:2013
• Esipuhe
• 0 Johdanto
• 1 Soveltamisala
• 2 Velvoittavat viittaukset
• 3 Termit ja määritelmät
• 4 Organisaation toimintaympäristö
• 5 Johtajuus
• 6 Suunnittelu
• 7 Tukitoiminnot
• 8 Toiminta
• 9 Suorituskyvyn arviointi
• 10 Parantaminen
• Liite A (velvoittava) Hallintatavoitteiden
ja -keinojen viiteluettelo
• Kirjallisuus
Copyright © 2015 Inspecta Sertifiointi Oy
Hallintajärjestelmän sertifiointiprosessi ja seuranta-arvioinnit
Sertifiointihakemus
Ennakkoarviointi (tarvittaessa)
Sertifioinnin vaihe 1 (valmistelu)
Sertifikaatti
Sertifioinnin vaihe 2 (arviointi)
Seuranta-arvioinnit (1-2/vuosi)
Arvioinnin tulokset (arviointiraportti)
Korjaavat toimenpiteet TAI
Uusinta-arviointi
20
Puutteita
havaittu
Copyright © 2015 Inspecta Sertifiointi Oy
Uudelleensertifiointiarviointi (joka 3. vuosi)
Kysymyksiä, kommentteja?
21
22
Copyright © 2015 Inspecta Sertifiointi Oy