ISO 22301- Societal security - Business continuity management systems – Requirements 

The world’s first international standard for Business Continuity Management (BCM)

BASIC DESCRIPTION

Introduction

Recent natural disasters, environmental accidents, technology mishaps and man-made crises have demonstrated that severe incidents can and will happen, impacting the public and private sectors alike. The challenge goes beyond providing an emergency response plan or using disaster management strategies that were previously used. Organizations of all sizes and types should now engage in a comprehensive and systematic process of prevention, protection, preparedness, mitigation, response for business continuity and recovery. It is no longer enough to draft a response plan that anticipates and minimizes the consequences of naturally, accidentally, or intentionally caused disruptions, but rather organizations must also take adaptive and proactive measures to reduce the likelihood of a disruption. Today’s threats require the creation of an on-going, managed process that ensures the survival and sustainability of an organization’s core activities before, during, and after a disruptive event.

The ability of an organization to recover from a disaster is directly related to the degree of business continuity planning that has taken place BEFORE the disaster. Studies show that two out of five businesses that experience a disaster will go out of business within five years of the event. Business continuity plans are critical to the continuous operation of all types of businesses. More importantly, these plans are assuming increased importance as companies become increasingly reliant on technology to do business. Despite this clear message that downtime is disastrous, Gartner research shows that less than 30 percent of Fortune 2000 companies have invested in a full business continuity plan. The reason for this oversight may simply be that the technical challenges seem to be too daunting. Or perhaps the cost of implementation is perceived as too great. All of these are viable concerns, but they can be addressed with business continuity solutions. ISO 22301, the world’s first international standard for Business Continuity Management (BCM), has been developed to help organizations minimize the risk of such disruptions. ISO has officially launched ISO 22301, “Societal security - Business continuity management systems – Requirements”, the new international standard for Business Continuity Management System (BCMS). 

An overview of ISO 22301:2012

ISO 22301 specifies requirements to plan, establish, implement, operate, monitor, review, maintain and continually improve a documented management system to prepare for, respond to and recover from disruptive events when they arise.
The requirements specified in ISO 22301 are generic and intended to be applicable to all organizations (or parts thereof), regardless of type, size and nature of the organization. The extent of application of these requirements depends on the organization’s operating environment and complexity.

Business continuity standardization evolves with ISO 22301 by adding:

- Greater emphasis on setting the objectives, monitoring performance and metrics;
- Clearer expectations on management;
- More careful planning for and preparing the resources needed for ensuring business continuity;

ISO 22301 applies to all types and sizes of organizations that wish to:

- establish, implement, maintain and improve a BCMS;
- assure conformity with the organization’s stated business continuity policy;
- demonstrate conformity to others;
- seek certification/registration of its BCMS by an accredited third party certification body; or
- make a self-determination and self-declaration of conformity with this International Standard.

Key clauses of ISO 22301:2012

Following the new structure of the ISO Guide 83, ISO 22301 is organized into the following main clauses:

Clause 4: Context of the organization
Clause 5: Leadership
Clause 6: Planning
Clause 7: Support
Clause 8: Operation
Clause 9: Performance evaluation
Clause 10: Improvement

Each of these key activities is listed below.

Clause 4: Context of the organization

Determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the expected outcomes of its BCMS such as:
- the organization’s activities, functions, services, products, partnerships, supply chains, relationships with interested parties, and the potential impact related to a disruptive incident;
- links between the business continuity policy and the organization’s objectives and other policies, including its overall risk management strategy; 
- the organization’s risk appetite;
- the needs and expectations of relevant interested parties;
- applicable legal, regulatory and other requirements to which the organization subscribes

Identifying the scope of the BCMS, taking into account the organization’s strategic objectives, key products and services, risk tolerance, and any regulatory, contractual or stakeholder obligations is also part of this clause.

Clause 5: Leadership

Top management needs to demonstrate an ongoing commitment to the BCMS. Through its leadership and actions, management can create an environment in which different actors are fully involved and in which the management system can operate effectively in synergy with the objectives of the organization. They are responsible for:
- ensuring the BCMS is compatible with the strategic direction of the organization;
- integrating the BCMS requirements into the organization’s business processes;
- providing the necessary resources for the BCMS;
- communicating the importance of effective business continuity management;
- ensuring that the BCMS achieves its expected outcomes;
- directing and supporting continual improvement;
- establish and communicate a business continuity policy;
- ensuring that BCMS objectives and plans are established;
- ensuring that the responsibilities and authorities for relevant roles are assigned

Clause 6: Planning

This is a critical stage as it relates to establishing strategic objectives and guiding principles for the BCMS as a whole. The objectives of a BCMS are the expression of the intent of the organization to treat the risks identified and/or to comply with requirements of organizational needs. The business continuity objectives must:
- be consistent with the business continuity policy;
- take into account the minimum level of products and services that is acceptable to the organization to achieve its objectives;
- be measurable;
- take into account applicable requirements;
- be monitored and updated as appropriate

Clause 7: Support

The day-to-day management of an effective business continuity management system relies on using the appropriate resources for each task. These include competent staff with relevant (and demonstrable) training and supporting services, awareness and communication. This must be supported by properly managed documented information. Both internal and external communications of the organization must be considered in this area, including the format, the content and the proper timing of such communications.
The requirements on the creation, update and control of documented information are also specified in this clause.

Clause 8: Operation

After planning the BCMS, an organization must put it in operation. This clause includes:

Business Impact Analysis (BIA): 
This activity enables an organization to identify the critical processes that support its key products and services, the interdependencies between processes and the resources required to operate the processes at a minimally-acceptable level.

Risk assessment: 
ISO 22301 proposes to refer to the ISO 31000 standard to implement that process. The goal of this requirement is to establish, implement, and maintain a formal documented risk assessment process that systematically identifies, analyzes, and evaluates the risk of disruptive incidents to the organization.

Business continuity strategy:
After requirements have been established through the BIA and the risk assessment, strategies can be developed to identify arrangements that will enable the organization to protect and recover critical activities based on organizational risk tolerance and within defined recovery time objectives. Experience and good practice clearly indicate that the early provision of an overall organizational BCM strategy will ensure BCM activities are aligned with and support the organization’s component of an institution’s corporate strategy.

Business continuity procedures: 
The organization shall document procedures (including necessary arrangements) to ensure continuity of activities and management of a disruptive incident. The procedures have to:
- establish an appropriate internal and external communications protocol;
- be specific regarding the immediate steps that are to be taken during a disruption;
- be flexible to respond to unanticipated threats and changing internal and external conditions;
- focus on the impact of events that could potentially disrupt operations;
- be developed based on stated assumptions and an analysis of interdependencies; and;
- be effective in minimizing consequences through implementation of appropriate mitigation strategies

Exercising and testing: 
To ensure that business continuity procedures are consistent with its business continuity objectives, an organization will have to test them regularly. Exercising and testing are the processes of validating business continuity plans and procedures to ensure the selected strategies are capable of providing response and recovery results within the timeframes agreed to by management.
Clause 9: Performance evaluation

Once the BCMS is implemented, ISO 22301 requires permanent monitoring of the system as well as periodic reviews to improve its operation:
- monitoring the extent to which the organization’s business continuity policy, objectives and targets are met;
- measuring the performance of the processes, procedures and functions that protect its prioritized activities;
- monitoring compliance with this standard and the business continuity objectives;
- monitoring historical evidence of deficient BCMS’ performance conducting internal audits at planned intervals; and
- evaluating all this in the management review at planned intervals

Clause 10: Improvement

Continual improvement can be defined as all the actions taken throughout the organization to increase effectiveness (reaching objectives) and efficiency (an optimal cost/benefit ratio) of security processes and controls to bring increased benefits to the organization and its stakeholders. An organization can continually improve the effectiveness of its management system through the use of the business continuity policy, objectives, audit results, analysis of monitored events, indicators, corrective and preventive actions and management review.

Link between ISO 22301 and other standards

ISO 22301 can be easily linked with other Business Continuity and Information Security standards, like the recent ISO/IEC 27031:2011 - Guidelines for information and communication technology readiness for business continuity. Published in March 2011 and superseding BS 25777, this international standard describes the concepts and principles of ICT readiness for business continuity and provides a framework of methods and processes to identify and specify all aspects for improving an organization’s ICT readiness to ensure business continuity.

Link with ISO 27001

ISO 22301 is obviously useful as part of a certification process to ISO/IEC 27001:2013. ISO 22301 can be used to directly comply with the objective of clause A.17 - Information security aspects of business continuity management

Business Continuity Management - The Business Benefits

As with all major undertakings within an organization, it is essential to gain the backing and sponsorship of executive management. By far the best way to achieve this, rather than through highlighting the negative aspects of not having business continuity management, is to illustrate the positive gains of having an effective business continuity management process in place.
Today good business continuity management is not about being forced into taking action to address external pressures. It is about recognizing the positive value of Business Continuity good practice being embedded throughout your organization.

The adoption of an effective business continuity management process within an organization will have benefits in a number of areas, examples of which include:

- Protection of shareholder value
- Improved understanding of the business as gained through risk identification and analysis
- Operational resilience which results from implementing risk reduction
- Downtime that is reduced when alternative processes and workarounds are identified
- Compliance issues that can be identified and managed for alternative processes
- Vital records that can be maintained and protected
- The implications for health & safety legislation and duties of care can be correctly considered.
- Improved operational effectiveness through a forced program of business process re-engineering
- Protection of both the physical and knowledge assets of the business
- Preservation of markets by ensuring continuity of supply
- Improved overall security
- Avoidance of liability actions

СИСТЕМА ЗА УПРАВЛЕНИЕ НА УСЛУГИТЕ–ISO 20000-1

ПРЕДЛОЖЕНИЕ

ЗА ИЗПЪЛНЕНИЕ НА КОНСУЛТАНТСКИ УСЛУГИ

ОБОБЩЕН ОБХВАТ НА КОНСУЛТАНТСКИТЕ УСЛУГИ

за изграждане и подготовка за сертифициране на Система за управление на услугите (СУУ), в съответствие с изискванията на ISO/IEC 20000-1 - Информационни технологии — Управление на услуги —Част 1: Изисквания към СУУ

С цел, изграждането и последващо сертифициране на СУУ на организацията ще бъдат извършени следните основни консултантски услуги:

А. Подготовка на екип на организацията за участие в изграждането на СУУ

Тази консултантска услуга ще се извърши чрез провеждането на курс за обучение на тема:

 „Подход за изграждане и поддръжка на Система за управление на услугите (СУУ), в съответствие с изискванията на ISO/IEC 20000-1 - Информационни технологии — Управление на услуги —Част 1: Изисквания към системите за управление на услуги и препоръките на ISO 20000-2 - Информационни технологии. Управление на услуги. Част 2: Кодекс за добра практика при управление на услуги”

В курса ще бъдат разгледани основните изисквания на ISO/IEC 20000-1 и практическите действия за тяхната постигане, в контекста на изграждането и поддръжката на СУУ, съобразена с бизнеса на организацията и, ако има, с изградените, и функциониращи системи за управление на качеството (ISO 9001) и информационната сигурност (ISO 27001).

Основни теми на курса:

1. Преглед на изискванията на ISO/IEC 20000-1:

- Общи изисквания към системата за управление на услугите (т. 4)

- Създаване и подобряване на СУУ (т. 4.5)

- Разработка и преход към нови или изменени услуги (т. 5)

- Процеси за предоставяне на услуги (т. 6)

- Процеси на взаимоотношения (т. 7)

- Процеси по вземане на решения (т. 8)

- Процеси за управление (т. 9)

2. Подход и практики за изграждане на СУУ  (от ISO 20000-2):

- Планиране и внедряване на управление на услуги

- Планиране и осъществявани на нови или променени услуги

- Доставяне на услуга

- Взаимоотношения между доставчик и потребител на услуги

- Разрешаване на спорове

- Контрол и управление на услуги

- Пускане в действие на услуги

Време за провеждане на курса: - в рамките на 10  работни дни

Начин на провеждане на курса – дистанционно обучение, асистирано от водещ лектор и презентация, включваща всички теми от курса (презентацията ще бъде предоставена в електронен вид на участниците в курса)

Очаквани резултати от обучението:

-       Познаване на изискванията на ISO 20000-1, за изграждане и поддръжка на СУУ;

-  - Придобиване на необходимите и достатъчни знания, необходими за самостоятелно изграждане, управление, развитие и поддръжка на СУУ;

- - Практически опит в създаването на Каталог на ИТ услугите, предоставяни от организацията;

Забележки:

1. В края на курса ще бъде представен и обсъден  пример за създаване на Каталог на ИТ услугите, предоставяни от организацията;

2. В допълнение, ще бъде представена за съгласуване и подробна План – програма за провеждане на курса.

Б. Подготовка на документалната част на СУУ

По тази консултантска услуга ще се извърши разработване (шаблони и/или крайни документи)  на изискващите се от стандарта и приложими за бизнеса на организацията документи (ще се отчитат и разработените и внедрени в организацията документи в системите за управление на качеството и информационната сигурност – ако тези системи са изградени и функционират).  При разработването на крайни документи (по шаблони, предоставени от консултанта)  свързани със СУУ се очаква активното участие на обучените представители на организацията.

Обхвата на тази консултантска услуга включва разработването на следните типове документи, изискващи се от ISO 20000-1:

1. Политики, в т.ч.:

- Политика за управление на услуга

- Политика за непрекъснато подобряване на СУУ и на услугите

- Политика за бюджетиране и контрол на финансовите средства за услугите

- Политика за информационна сигурност

- Политика за промени в управлението на услугите

- Политика за пускане в действие на услуга

2. Планове, в т.ч.:

- План за управление на услуга

- План за непрекъснатост на услуга

- План  за наличност на услуга

- План на капацитета на услуга

- План за одит (програма за одит)

- План за въвеждане на подобрения

- План за променени или нови услуги

- План за пускане в действие на услуга

3. Процедури, в т.ч. за:

- Комуникации

- Контрол на документите

- Контрол на записите

- Планиране и провеждане на одити

- Управление на подобренията

- Доставка на нови или променени услуги

- Поддръжка на бюджета за осигуряване на процесите, свързани с услугите

- Действия в случаи на загуба на услуги (обслужване) – тези процедури може да са част от Плана за непрекъснатост на услугите

- Осигуряване на провеждането на предварителен анализ на капацитета

- Управление на оплаквания, свързани с предоставянето на услуги

- Управление на разногласията / дискусиите по договорите за предоставяне на услуги

- Управление на инцидентите – от тяхното регистриране до приключването

- Управление на базови / основни инциденти

- Управление на изпълнението на искане за услуга (обслужване) - от регистриране до приключването

- Идентифициране на проблеми и минимизиране, или избягване вредното влияние на инциденти и/или проблеми

- Запис, контрол и проследяване на конфигурацията на услугите

- Запис, класифициране, оценяване и одобряване на искания за промени

- Управление на спешни промени

- Управление на спешно пуснати услуги

4. Други, основни документи, в т.ч.:

- Изисквания към услугите

- Каталог на услугите

- Споразумения за ниво на доставка на услугите (SLA)

- Споразумения, свързани с услугите (оперативни споразумения)

- Описание на всеки доклад, свързан с услуга – вкл. идентичност, цел, аудитория, честота и подробности за източника на данни

- Рискове към непрекъснатостта на услугата и нейната наличност

- Възможности за подобрения на услуга, вкл., корективни и превантивни действия

- Проект за всяка  нова  или променена услуга

- Контролни / защитни механизми за информационна сигурност на услугите  - на база установените вътрешни и външни рискове

- Описание на всички страни, имащи оношение към услугите

- Договори зо доставка на услуги

- Функции и взаимоотношения между водещите доставчици на услуги и техните подизпълнители

Крайния тип и брой документи ще бъде уточнен по време на изпълнението на консултантската услуга, отчитайки наличните и приложими за СУУ документи от състава на Системите за управлението на качеството и информационната сигурност – ако тези системи са изградени и функционират.

Общо време за изпълнение на услугата – 40 работни дни

В. Подготовка на организацията за провеждане на предварителен одит на СУУ (за съответствие с изискванията на ISO 20000-1)

Тази консултантска услуга включва подготовка и провеждане на предварителен одит на изградената и внедрена в експлоатация СУУ.

Този одит ще бъде извършен в съответствие с изискванията за провеждане на сертификационни одити  по ISO 20000-1.

Консултанта, на база резултатите от проведения одит ще предостави на организацията Одитен доклад, отразяващ степента на съответствие на СУУ с изискванията на ISO 20000-1 и препоръки / предложения за подобрения на системата.

Необходимото време за подготовка и провеждане на одита е както следва:

-       - Подготовка на одита – 1 ден;

-      -  Провеждане на одита – 2 дни (2 дни  х 4  часа)

    - Одитен доклад – 1 ден

Общо време за изпълнение на услугата – 5 дни

Общо време за изпълнение на трите консултантски услуги – 55 работни дни

Консултантските услуги ще бъдат извършени на база консултантски договор между организацията и консултанта (физическо лице)

 За повече информация:

 Пламен Каменов - водещ одитор ISO 9001 / 27001 / 20000

 0886 655 315

 е-mail: infosecservicebg@gmail.com