Continuidade de Processos e Pessoas. BCP

5 mai, 2015 | Nenhum Comentário »

Caros leitores,

Agradeço as perguntas recentes e o grande interesse por Continuidade Operacional.

Ouvimos muito falar do PRD ou DRP – Disaster Recovery Plan, que tem foco em TI critico, e quase nunca ouvimos falar de PCO ou COP – Continuity Operational Plan, com foco nos processos de negócios criticos.

Após uma boa Análise de Impactos, a BIA – Business Impact Analysis, os tempos necessários estarão identificados: RTO, RPO e MTPD para cada processo/área negócio da empresa, bem como a criticidade do Impacto que poderá ser ocasionado na interrupcção deste processo.

RPO – Recovery Point Objective, ou ultima posição de dados/last backup, serve como uma referencia de tempo para que possamos definir ou redefinir toda a regra de backup (cópias de segurança), a fim de garantir uma perda aceitável para dados e informações de acordo com o negócio e seus requisitos. São determinados por processos de negócios e depois agrupados para criar estratégias de PERDA, ou seja de Backup adequadas. Sua forma correta de identificação é “negativa”, ou seja, ex.: Processo de Vendas tem um RPO = -10 horas (pode perder 10 horas de dados e informações no máximo), considerando-se o PIOR CENÁRIO (pior periodo critico para o processo), ex. uma interrupção no sábado que antecede o dia das mães, isto tornaria um impacto maior ao negócio, por vendas estar interrompido.

RTO – Recovery Point Objective, ou tempo limite para a recuperação de um processo, serve para que possamos determinar o momento em que precisamos ter condições de contingenciar ou continuar um processo ou um grupo de processos. A forma correta de identificação é “positiva”, ou seja ex.: Processo de Vendas tem um RTO = 24 horas, ou seja, pode ficar interrompido por até 24 horas SEM CAUSAR IMPACTO AO NEGÓCIO, a partir deste momento o NEGÓCIO será impactado: IMAGEM, FINANCEIRO, LEGAL E OPERACIONAL. Todos os impactos dos processos são mapeados e identificados, qualificando-se e quantificando-os adequadamente. Não se faz estratégias de continuidade para 1 processo, faz-se estratégia para grupos de processos de negócios.

O MTPD – Most tolerable period of disruption, trata-se do período que um processo PODE FICAR INTERROMPIDO em estado de Continuidade/Contingencia, ou seja QUANTO TEMPO POSSO OPERAR EM CAPACIDADE MENOR? Após o RTO o que temos certeza é que HÁ IMPACTOS, e que temos um tempo para sobreviver e depois voltar ao normal. O MTPD é o momento em que temos que voltar a 100% da nossa capacidade de processamento, ou operacional ou de atendimento, por exemplo.

RPO = antes do incidente
RTO = depois do incidente, META/Limite para a Recuperação ou Ativação da Continuidade/Contingência
MTPD = Tempo tolerável para operação em CONTINGENCIA/CONTINUIDADE de um processo.

Sabendo-se disso, vamos falar da construção dos PCOs, ou Planos de Continuidade Operacional, com foco em processos:

1o. PCO = Continuidade Operacional – foco em Processos de Negócios, e não para TI;

2o. Operacional = Processos manualizados, ou que podem ser manualizados em situações de crises ou incidentes que exijam a ativação do Plano de Continuidade.

3o. PCO está contido no PCN, pois PCN – Plano de Continuidade de Negócios trata-se do conjunto de todos os planos existentes no negócio para garantir a sobrevivência da organização.

4o. PCO só deve ser construido para os processos criticos de acordo com o resultado do BIA.

Regras Gerais para construção de PCO’s:

Todo PCO tem cenários
3 Cenário são clássicos e precisam existir
Outros cenários podem ser acrescentados se necessário

Exemplo de construção de um PCO:

PCO – Vendas (Plano de Continuidade Operacional do processo de vendas)
Cenário 1 = Indisponibilidade de local de trabalho
Cenário 2 = Indisponibilidade do Sistema de Vendas XPTO (software)
Cenário 3 = Indisponibilidade de pessoas acima de 50%

Nota: Veja que os cenários cobrem Local de Trabalho, Software mais utilizado e pessoas numa quantidade mínima significativa para este processo.

continuamos o exemplo:

Cenario 1 = Indisponibilidade de local de trabalho
a) Ações de Emergencia
Ação 1:
O que fazer: Deslocar equipe para local alternativo
Quem faz: Gerente de Vendas
Quando: imediatamente
Como: ligar para 0800 (ver lista de contatos) e pedir transporte, depois ligar para parceiro e avisar a necessidade de acionamento do local alternativo, providenciar e validar os nomes de quem será enviado para lá.
Pontos criticos: não conseguir contato com o parceiro
Tempo da ação: 10 minutos.

Continua…

Categorias: Artigos

Segurança da Informação na ISO 27001:2013

9 abr, 2015 | 3 Comentários »

A norma ISO 27001:2013 rege as mais modernas recomendações para a Gestão de Segurança da Informação no mundo. Atualmente são 82 empresas no BRASIL certificadas pela ISO 27001:

Screen Shot 2015-04-09 at 7.44.02 AM

Veja por segmentos:

Screen Shot 2015-04-09 at 7.45.43 AM

A Gestão da Segurança da Informação é uma disciplina/domínio de GESTÃO DE RISCO ESTRATÉGICO e quanto mais independencia e autonomia de outras áreas e processos internos MELHOR OS RESULTADOS.

Os tópicos abordados na Norma ISO 27001:2013, com base na sua tradução na ABNT NBR ISO/IEC 27001:2013, são:

Prefácio
0 Introdução
0.1 Geral
0.2 Compatibilidade com outras normas e sistemas de gestão
1 Escopo
2 Referencia normativa
3 Termos e Definições
4 Contexto da Organização
4.1 Entendendo a organização e seu contexto
4.2 Entendendo as necessidades e as expectativas das partes interessadas
4.3 Determinando o escopo do sistema de gestão da segurança da informação
4.4 Sistema de gestão da segurança da informação
5 Liderança
5.1 Liderança e comprometimento
5.2 Política
5.3 Autoridades, responsabilidades e papéis organizacionais
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Geral
6.1.2 Avaliação de Riscos de segurança da Informação
6.1.3 Tratamento de riscos de segurança da Informação
6.2 Objetivo de segurança da informação e planejamento para alcançá-los
7 Apoio
7.1 Recursos
7.2 Competência
7.3 Conscientização
7.4 Comunicação
7.5 Informação documentada
7.5.1 Geral
7.5.2 Criando e atualizando
7.5.3 Controle da informação documentada
8 Operação
8.1 Planejamento operacional e controle
8.2 Avaliação de riscos de segurança da informação
8.3 Tratamento de riscos de segurança da informação
9 Avaliação de desempenho
9.1 Monitoramento, medição, análise e avaliação
9.2 Auditoria Interna
9.3 Análise crítica pela Direção
10 Melhoria
10.1 Não conformidade e ação corretiva
10.2 Melhoria Continua
Bibliografia
Anexo A (normativo) Referencia aos controles e objetivos de controles)
Obs.: Mudaram de 134 da norma anterior para 114 nesta versão 2013. Recomendo que para melhor entendimento destes a pessoa ou empresa compre a ISO 27002:2013, complementar a esta.

Tabela
Tabela A.1 Objetivos de controle e controles

A principal mudança da versão anterior: A Análise, Avaliação e Tratamento de Riscos

No item 6.1.2 Avaliação de riscos de segurança da informação

“A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

1) os critérios de aceitação do risco; e
2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;

b) assegure que as continuas avaliações de riscos de segurança da informação produzam resultados comparáveis, válidos e consistentes;

c) identifique os riscos de segurança da informação:

1) aplicando o processo de avaliação do risco de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação; e

2) identificando os responsáveis dos riscos.

d) analise os riscos de segurança da informação:

1) avalie as consequências potenciais que podem resultar se os riscos identificados em 6.1.2 c) 1) forem materializados

2) avalie a probabilidade realistica da ocorrência dos riscos identificados em 6.1.2 c) 1); e

3) determine os níveis de risco;

e) avalie os riscos de segurança da informação:

1) compare os resultados da análise dos riscos com os critérios de riscos estabelecidos em 6.1.2 a); e

2) priorize os riscos analisados para o tratamento do risco.

A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da informação.”

e o item 6.1.3 Tratamento de riscos de segurança da informação

“A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;

b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

NOTA: As organizações podem projetar os controles, conforme requerido, ou identificá-los de qualquer outra fonte.

c) comparar os controles determinados em 6.1.3 b) com aqueles do ANEXO A e verificar se algum controle necessário foi omitido;

NOTA 1: O anexo A contém uma lista detalhada dos controles e dos objetivos de controle. Os usuários desta norma são instruídos a utilizar o ANEXO A para garantir que nenhum controle necessário seja omitido;”

Obs. do Jeferson: Compre e utilize como complemento a ISO 27002:2013

“NOTA 2: Os objetivos de controle estão implicitamente incluidos nos controles escolhidos. Os objetivos de controle e os controles listados no ANEXO A não são exaustivos, e controles e objetivos de controles adicionais podem ser necessários.

d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do ANEXO A;

e) preparar um plano para tratamento dos riscos de segurança da informação; e

f) obter aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação e a aceitação dos riscos residuais de segurança da informação.

A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma estão alinhados com os principios e diretrizes gerais definidos na ABNT NBR ISO 31000.”

Considerações

O primeiro passo, estratégico, é iniciar e implementar na organização é uma Política de Segurança da Informação, com o apoio e PARTICIPAÇÃO dos Executivos.

O segundo passo, é iniciar e implementar na organização uma Norma de Análise, Avaliação e Tratamento de Risco, que define muitos dos item mencionados acima no tópico 6 da norma ISO 27001.

Note que a Confidencialidade, Integridade e Disponibilidade, que são propriedades da informação ainda são necessárias e importantes na Avaliação de risco, porém diferente da versão anterior, agora é necessário apenas mencionar se os riscos afetam estas propriedades. Na anterior era necessário dar um valor para cada item da CID.

Uma boa formula para o calculo do risco é a da metodologia DARYUS para ISO 27001:

RISCOS = PROBABILIDADE X IMPACTO

(Média dos Riscos + CID) X Probabilidade, sendo:

((((Riscos Financeiros X Peso Financeiro) + (Riscos Operacionais X Peso Operacional) + (Riscos de Imagem X Peso de Imagem) + (Riscos Legais X Pesos Legais)) / Soma dos Pesos) + CID) x Probabilidade)

Não esqueça de itens importantes em sua Norma de Análise, Avaliação e Tratamento de Riscos, como:

Screen Shot 2015-04-09 at 8.40.03 AM

E um dos pontos principais para o Planejamento operacional e controle, item abordado no tópico 8 da norma ISO 27001, a periodicidade de revisão e melhoria contínua: “a organização deve realizar avaliações de riscos de segurança da informação a intervalos planejados, ou quando mudanças significativas são propostas ou ocorrerem, levando em conta os critérios estabelecidos em 6.1.2 a).”

ANEXO A da norma ISO 27001:2013, Objetivos de Controles e controles (tabela A.1)

A.5 Políticas de segurança da informação
A.5.1 Orientação da Direção para segurança da Informação
A.6 Organização da segurança da informação
A.6.1 Organização interna
A.6.2 Dispositivos móveis e trabalho remoto
A.7 Segurança em Recursos humanos
A.7.1 Antes da contratação
A.7.2 Durante a contratação
A.7.3 Encerramento e mudança da contratação
A.8 Gestão de ativos
A.8.1 Responsabilidade pelos ativos
A.8.2 Classificação da informação
A.8.3 Tratamento de mídias
A.9 Controle de acesso
A.9.1 Requisitos do negócio para controle de acesso
A.9.2 Gerenciamento de acesso do usuário
A.9.3 Responsabilidade dos usuários
A.9.4 Controle de acesso ao sistema e à aplicação
A.10 Criptografia
A.10.1 Controles criptográficos
A.11 Segurança física e do ambiente
A.11.2 Equipamentos
A.12 Segurança nas operações
A.12.1 Responsabilidades e procedimentos operacionais
A.12.2 Proteção contra malware
A.12.3 Cópias de segurança
A.12.4 Registros e monitoramento
A.12.5 Controle de software operacional
A.12.6 Gestão de vulnerabilidades técnicas
A.12.7 Considerações quanto à auditoria de sistema de informação
A.13 Segurança nas comunicações
A.13.1 Gerenciamento da segurança em redes
A.13.2 Transferência de informação
A.14 Aquisição, desenvolvimento e manutenção de sistemas
A.14.1 Requisitos de segurança de sistemas de informação
A.14.2 Segurança em processos de desenvolvimento e de suporte
A.14.3 Dados para teste
A.15 Relacionamento na cadeia de suprimento
A.15.1 Segurança da informação na cadeia de suprimento
A.15.2 Gerenciamento da entrega do serviço do fornecedor
A.16 Gestão de incidentes de segurança da informação
A.16.1 Gestão de incidentes de segurança da informação e melhoria
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
A.17.1 Continuidade da segurança da informação
A.17.2 Redundâncias
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
A.18.2 Análise crítica da segurança da informação

Lista de algumas empresas certificadas no Brasil em ISO 27001 até o momento:

Atos Origin Brasil
Interactive Intelligence
Terremark Cloud
Indra
Auditsafe
Algar Tecnologia
Módulo Security
Banco Matone
PRODESP
Gemalto
E-Trust
ALOG
UOL Diveo
Ascenty
Defenda
Teleperformance
Call Contact Center
SERPRO Serviço Federal de Processamento de Dados
Telefonica Empresas S/A
Integrity
Fidelity
Dataprev
ZCR Informática
Axur Information Security
BT – British Telecom
BT – Global Services
Cardif do Brasil Vida e Previdência
CIP Câmara Interbancária de Pagamentos
FUCAPI Fundação
IBM ITD Brasil
Poliedro Informática Consultoria e Serviços
Promon Engenharia
Promon Tecnologia
Samarco Mineração
SERASA S.A
Superior Tribunal da Justiça
Telefônica Empresas S.A
TIVIT Tecnologia da Informação S.A
TIVIT Terceirização de Tecnologia e Serviços S.A
T-Systems do Brasil
UNISYS Global Outsourcing
Zamprogna S/A Importação
CIPHER Segurança da Informação
Paschoalotto Serviços Financeiros
ICE Cartões
ISH Tecnologia

Boa Implementação!

Categorias: Artigos

Continuidade de TIC. Normas ISO

27 mar, 2015 | Nenhum Comentário »

Screen Shot 2015-02-25 at 1.33.07 PM

A norma ISO 27031 é um norma totalmente focada na orientação de estrutura organizacional, políticas e orientações sobre a forma de se manter um processo de gestão de continuidade de TIC. Ela é uma evolução com base na antiga norma BS 25777, também com foco em ICT – Information and Communication Technology Business Continuity (Continuidade de Negócios em Tecnologia). Atenção não confunda com a BS 25999 e com a norma de segurança ISO 27001. A 27031 é da família da norma ISO 27001, porém com foco em Continuidade de TI ou simplesmente PRD – Plano de Recuperação de Desastres.

Screen Shot 2015-02-25 at 1.32.50 PM

A ISO 27031 apresenta um modelo PDCA recomendado que deverá ser mantido por TI, ou seja, então temos que:

1- Implementar um processo de Continuidade dentro da gestão de TI;
2- Definir um responsável, de preferencia alguém que tenha um conhecimento básico no tema Continuidade e conheça muito bem a infraestrutura e serviços de TI atuais;
3- Definir uma Norma de Continuidade de Negócios (ideal corporativa), se não der, tente implementar pelo menos para TI.

Alguns pontos ainda são muito importantes e não saem da TI, saem do negócio como o famoso RTO – Recovery Time Objetive (tempo obtido dos processos de negócios) e o RPO (tempo obetido no TI). Não mudam e precisam ser bem identificados.

Screen Shot 2015-02-25 at 1.33.21 PM

Para a continuidade de TI, não esqueça:

1- Ter um processo de Gestão de Incidentes formal;
2- Ter inventário de hardware e software
3- Se possível um mínimo de CMDB (Base de dados de configurações)
4- Entrevistar todos os donos e responsáveis por ambientes/serviços de TI
5- Envolver fornecedores de suporte critico de TI.

Screen Shot 2015-02-25 at 1.33.34 PM

Categorias: Artigos

Natal seguro!

19 dez, 2014 | Nenhum Comentário »

Primeiramente desejo a todos os leitores do blog e alunos um Feliz Natal e Próspero Ano de 2015.

Chega o Natal e as festas de final de ano e começa as mesmas tentativas de golpe dos anos anteriores. Fique atento, pois os atacantes estão mais sofisticados e diversificando as tentativas de golpes na Internet. Veja este email a seguir:

Screen Shot 2014-12-19 at 6.59.30 PM

Estes emails estão infestando as caixas postais dos usuários. São vários que contemplam desde promoções natalinas a cobranças de dividas por nome sujo, ou supostamente sujo.

Screen Shot 2014-12-19 at 6.59.58 PM

Os dos bancos são os mais comuns, atualize a sua chave de segurança e coisas do tipo, veja:

Screen Shot 2014-12-19 at 7.08.17 PM

Continuando:

Screen Shot 2014-12-19 at 7.17.15 PM

Fique atento a estas tentativas de golpes, são comuns emails sobre jogos, videogames, produtos da moda, brinquedos e bonecas da moda, roupas de grife, e principalmente golpes envolvendo as grandes marcas de lojas virtuais como Magazine Luiza, Ricardo Eletro, Casas Bahia, Submarino.com e Wall Mart.com.

Screen Shot 2014-12-19 at 7.21.28 PM

Dicas:

1- Sempre pare o cursor do mouse sobre o link oferecido como botão para clicar e COMPRAR ou efetuar a ação solicitada e verifique se o endereço que aparece é do site realmente da propaganda. É muito comum vir um email do Bradesco, porém o link que aparece é por exemplo “http://bradescologica.jajajro.otr.aspx”, o que geralmente é um link falso direcionando para um website com códigos maliciosos;

2- Veja as falhas. Geralmente a mensagem aparece com vários erros de português e caracteres especiais no meio das palavras !@]\\?////

3- Ligue para verificar com a empresa que enviou, procure um telefone oficial da empresa, cuidado com os números fornecidos no email que você recebeu. Tem gente que liga para confirmar no número que recebeu pelo email falso, cuidado!

4- Na dúvida, evite clicar ou acionar alguma coisa do email.

5- Seja prudente: “Esmola grande, cego desconfia!”

Categorias: Artigos

ISO 22313:2012 – Business Continuity Management System (PDCA)

4 nov, 2014 | Nenhum Comentário »

Você já conhece a ISO 223013:2012

Veja os detalhes do próprio website da ISO

“Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.

International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards adopted by the technical committees are circulated to the member bodies for voting. Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights.

ISO 22313 was prepared by Technical Committee ISO/TC 223, Societal security.
For the purposes of research, users are encouraged to share their views on ISO 22313:2012 and their priorities for changes to future editions of the document. Click on the link below to take part in the online survey:
http://www.surveymonkey.com/s/22313
Introduction

General
This International Standard provides guidance, where appropriate, on the requirements specified in ISO 22301:2012 and provides recommendations (‘should’) and permissions (‘may’) in relation to them. It is not the intention of this International Standard to provide general guidance on all aspects of business continuity.

This International Standard includes the same headings as ISO 22301 but does not repeat the requirements for business continuity management systems and its related terms and definitions. Organizations wishing to be informed of these must therefore refer to ISO 22301 and ISO 22300.

To provide further clarification and explanation of key points, this International Standard includes a number of figures. All such figures are for illustrative purposes only and the related text in the body of this International Standard takes precedence.

A business continuity management system (BCMS) emphasizes the importance of:
— understanding the organization’s needs and the necessity for establishing business continuity policy and objectives;
— implementing and operating controls and measures for managing an organization’s overall capability to manage disruptive incidents;
— monitoring and reviewing the performance and effectiveness of the BCMS; and
— continual improvement based on objective measurement.

A BCMS, like any other management system, includes the following key components:
a) a policy;
b) people with defined responsibilities;
c) management processes relating to:
1) policy;
2) planning;
3) implementation and operation;
4) performance assessment;
5) management review; and
6) improvement.
d) a set of documentation providing auditable evidence; and
e) any BCMS processes relevant to the organization.
Business continuity is generally specific to an organization, however, its implementation can have far reaching implications on the wider community and other third parties. An organization is likely to have external organizations that it depends upon and there will be others that depend on it. Effective business continuity therefore contributes to a more resilient society.

Screen Shot 2014-11-04 at 7.08.26 PM

The Plan-Do-Check-Act cycle

This International Standard applies the ‘Plan-Do-Check-Act’ (PDCA) cycle to planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving the effectiveness of an organization’s BCMS.
Figure 1 illustrates how the BCMS takes interested parties’ requirements as inputs for business continuity management (BCM) and, through the required actions and processes, produces business continuity outcomes (i.e. managed business continuity) that meet those requirements.

Table 1 — Explanation of PDCA model
Plan
(Establish) Establish business continuity policy, objectives, controls, processes and procedures relevant to improving business continuity in order to deliver results that align with the organization’s overall policies and objectives.
Do
(Implement and operate) Implement and operate the business continuity policy, controls, processes and procedures.
Check
(Monitor and review) Monitor and review performance against business continuity objectives and policy, report the results to management for review, and determine and authorize actions for remediation and improvement.
Act
(Maintain and improve) Maintain and improve the BCMS by taking corrective actions, based on the results of management review and re-appraising the scope of the BCMS and business continuity policy and objectives.
Components of PDCA in this International Standard
There is a direct relationship between the content of Figure 1 and the clauses of this International Standard:
Table 2 — Relationship between PDCA model and Clauses 4 to 10
PDCA component Clause addressing PDCA component
Plan
(Establish) Clause 4 (Context of the organization) sets out what the organization has to do in order to make sure that the BCMS meets its requirements, taking into account all relevant external and internal factors, including:
— The needs and expectations of interested parties.
— Its legal and regulatory obligations.
— The required scope of the BCMS.
Clause 5 (Leadership) sets out the key role of management in terms of demonstrating commitment, defining policy and establishing roles, responsibilities and authorities.
Clause 6 (Planning) describes the actions required to establish strategic objectives and guiding principles for the BCMS as a whole. These set the context for the business impact analysis and risk assessment (8.2) and business continuity strategy (8.3).
Clause 7 (Support) identifies the key elements that need to be in place to support the BCMS, namely: resources, competence, awareness, communication and documented information.
Do
(Implement and operate) Clause 8 (Operation) identifies the elements of business continuity management (BCM) that are needed to achieve business continuity.
Check
(Monitor and review) Clause 9 (Performance evaluation) provides the basis for improvement of the BCMS through measurement and evaluation of its performance.
Act
(Maintain and improve) Clause 10 (Improvement) covers the corrective action needed to address nonconformity identified through performance evaluation.
Business continuity
Business continuity is the capability of the organization to continue delivery of products or services at acceptable predefined levels following a disruptive incident. Business continuity management (BCM) is the process of achieving business continuity and is about preparing an organization to deal with disruptive incidents that might otherwise prevent it from achieving its objectives.
Placing BCM within the framework and disciplines of a management system creates a business continuity management system (BCMS) that enables BCM to be controlled, evaluated and continually improved.
In this International Standard, the word business is used as an all-embracing term for the operations and services performed by an organization in pursuit of its objectives, goals or mission. As such it is equally applicable to large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors.
Any incident, large or small, natural, accidental or deliberate has the potential to cause major disruption to the organization’s operations and its ability to deliver products and services. However, implementing business continuity before a disruptive incident occurs, rather than waiting for this to happen will enable the organization to resume operations before unacceptable levels of impact arise.
BCM involves:
a) being clear on the organization’s key products and services and the activities that deliver them;
b) knowing the priorities for resuming activities and the resources they require;
c) having a clear understanding of the threats to these activities, including their dependencies, and knowing the impacts of not resuming them;
d) having tried and trusted arrangements in place to resume these activities following a disruptive incident; and
e) making sure that these arrangements are routinely reviewed and updated so that they will be effective in all circumstances.
Business continuity can be effective in dealing with both sudden disruptive incidents (e.g. explosions) and gradual ones (e.g. flu pandemics).
Activities are disrupted by a wide variety of incidents, many of which are difficult to predict or analyse. By focusing on the impact of disruption rather than the cause, business continuity identifies those activities on which the organization depends for its survival, and enables the organization to determine what is required to continue to meet its obligations. Through business continuity, an organization can recognize what needs to be done to protect its resources (e.g. people, premises, technology and information), supply chain, interested parties and reputation, before a disruptive incident occurs. With that recognition, the organization is able to take a realistic view on the responses that are likely to be needed as and when a disruption occurs, so that it can be confident of managing the consequences and avoid unacceptable impacts.
An organization with appropriate business continuity in place can also take advantage of opportunities that might otherwise be judged to be too high risk.
The following diagrams (Figures 2 and 3) are intended to illustrate conceptually how business continuity can be effective in mitigating impacts in certain situations. No particular timescales are implied by the relative distance between the stages depicted in either diagram.
Figure 2 — Illustration of business continuity being effective for sudden disruption
fig_2
Figure 3 — Illustration of business continuity being effective for gradual disruption (e.g. approaching pandemic)
fig_3
1 Scope

This International Standard for business continuity management systems provides guidance based on good international practice for planning, establishing, implementing, operating, monitoring, reviewing, maintaining and continually improving a documented management system that enables organizations to prepare for, respond to and recover from disruptive incidents when they arise.
It is not the intent of this International Standard to imply uniformity in the structure of a BCMS but for an organization to design a BCMS that is appropriate to its needs and that meets the requirements of its interested parties. These needs are shaped by legal, regulatory, organizational and industry requirements, the products and services, the processes employed, the environment in which it operates, the size and structure of the organization and the requirements of its interested parties.
This International Standard is generic and applicable to all sizes and types of organizations, including large, medium and small organizations operating in industrial, commercial, public and not-for-profit sectors that wish to:
a) establish, implement, maintain and improve a BCMS;
b) ensure conformance with the organization’s business continuity policy; or
c) make a self-determination and self-declaration of compliance with this International Standard.
This International Standard cannot be used to assess an organization’s ability to meet its own business continuity needs, nor any customer, legal or regulatory needs. Organizations wishing to do so can use the ISO 22301 requirements to demonstrate conformance to others or seek certification of its BCMS by an accredited third party certification body.
2 Normative references

The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Societal security — Terminology
ISO 22301, Societal security — Business continuity management systems — Requirements
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 22300 and ISO 22301 apply.
This part of the standard is not accessible to you. To view the full content, you will need to purchase the standard by clicking on the “Buy” button.
Bibliography

[1] ISO 19011:2011, Guidelines for auditing management systems
[2] ISO 20000 (all parts), Information technology — Service management
[3] ISO 223981, Societal security — Guidelines for exercises
[4] ISO/PAS 22399:2007, Societal security — Guideline for incident preparedness and operational continuity management
[5] ISO 27002:2005, Information technology — Security techniques — Code of practice for information security management
[6] ISO 27031:2011, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity
[7] ISO 31000:2009, Risk management — Principles and guidelines
[8] BSI 25999-1:2006, Business continuity management — Code of practice
[9] BSI 25999-2:2007, Business continuity management — Specification
[10] HB 221:2004, Business continuity management, Standards Australia/Standards New Zealand, ISBN 0-7337-6250-6
[11] SI 24001:2007, Security and continuity management systems — Requirements and guidance for use, Standards Institution of Israel
[12] NFPA. 1600:2007, Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA)
[13] Business Continuity Plan Drafting Guideline. Ministry of Economy, Trade and Industry, Japan, 2005
[14] Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005
[15] ANSI/ASIS SPC.1:2009, Organizational Resilience: Security, Preparedness, and Continuity Managements Systems – Requirements with Guidance for Use
[16] ANSI/ASIS/BSI BCM.01:2010, Business Continuity Management Systems: Requirements with Guidance for Use
[17] SS 540: 2008, Singapore Standard for Business Continuity Management
1 To be published.”

Categorias: Artigos

Próxima »
« Anterior