An analysis of the need or not of another BCM standard this time for Business Impact Analysis to be added in the ISO 22300 - Societal security family of standards.
Boas práticas de programação com Object Calisthenics
ISO/TC 292 - Business continuity management systems – Business impact analysis
1. ISO/DTS 22317 – Uma
nova norma para
Análise de Impacto nos
Negócios
ISO DTS/22317 – A new
standard for Business
Impact Analysis
Recentemente, quando estava realizando
mais uma Análise de Impacto nos Negócios,
provavelmente a centésima na minha
carreira, numa empresa química e
petroquímica brasileira enviei um “post” no
Linkedin lembrando sobre o prazo final
para o envio de comentários (Call for
Comments) do rascunho da nova norma
ISO/DTS 22317 - Societal security –
Business continuity management systems
– Business impact analysis.
Recently, when I was conducting a Business
Impact Analysis, probably the one
hundredth in my carrier, in a Brazilian
chemical and petrochemical company, I
sent a post on Linkedin remembering the
final time frame for sending comments
(Call for Comments) on the draft of the
new standard ISO/DTS 22317 - Societal
security – Business continuity
management systems – Business impact
analysis.
Mais ou menos ao mesmo tempo sugiram
discussões, nos grupos do Linkedin e
outros, sobre a real necessidade de mais
uma norma, agora para BIA, quando este
assunto já é endereçado nas normas ISO
22301/22313. Ainda, em outros grupos de
discussão haviam pessoas pedindo
“templates” de questionários de BIA.
About the same time, some discussions
showed up, on Linkedin groups and others,
about the real need of another standard,
this time for BIA, as ISO 22301/22313
standards already addressed this topic.
Yet, in other discussion groups there were
people requesting some BIA survey
“templates”.
Antes de analisarmos a necessidade ou não
de mais uma norma, vamos entender o que
é uma DTS – “Draft of a Technical
Specification”:
D = Draft, isto é, o texto ainda está
em elaboração e na fase de “Public
Draft” onde comentários da
comunidade serão compilados,
analisados e eventualmente
inseridos no texto final;
TS = Technical Specification,
representa um acordo entre os
membros do comitê técnico de
forma que a norma poderá ser
aceita para publicação caso
aprovada por 2/3 dos membros do
comitê técnico com direito a voto.
Portanto, caso aprovada para publicação, a
ISO 22317 será o que o nome diz uma
Before we start evaluating the need or not
of another standard, lets understand what
is a DTS - “Draft of a Technical Specification”:
D = Draft, means the text available
in the document is at the “Public
Draft” phase where comments
from the community will be
compiled, analyzed and eventually
inserted in the final version;
TS = Technical Specification,
represents an agreement between the
members of a technical committee and
is accepted for publication if it is
approved by 2/3 of the members of
the committee casting a vote.
Therefore, if approved for publication, ISO
22317 will be exactly what its name says, a
2. Especificação Técnica e não uma norma
certificável como a ISO 22301.
Technical Specification and not a certifiable
standard like ISO 22301.
As pessoas que questionaram a
necessidade ou não da norma ISO 22317
tem razão, tanto a ISO 22301 como a ISO
22313 tem capítulos específicos sobre
Análise de Impacto nos Negócios.
People who questioned the need or not of
the ISO 221317 standard were correct,
even ISO 22301 as ISO 22313 have specific
chapters about Business Impact Analysis.
Entretanto, como um “ISO 22301 BSI
Technical Expert” posso afirmar que
nenhuma das normas (22301 ou 22313)
especificam quais informações devem ser
coletadas numa Análise de Impacto nos
Negócios, nem como realiza-la.
However, as a “ISO 22301 BSI Technical
Expert” I can assure you neither these two
standards (22301 or 22313) specify which
information shall be collected in a Business
Impact Analysis, neither how to conduct it.
Atualmente, o documento que melhor
descreve a realização da Análise de
Impacto nos Negócios é o Manual de Boa
Práticas do BCI - Good Practice Guidelines -
GPG 2013, disponível gratuitamente para
os membros do BCI e vendido aos não
membros em
http://www.thebci.org/index.php/resource
s/the-good-practice-guidelines
Today, the document that better describes
how to conduct a Business Impact Analysis
is the BCI - Good Practice Guidelines - GPG
2013, available for free for BCI members
and for purchase for non BCI member at
http://www.thebci.org/index.php/resource
s/the-good-practice-guidelines
Tanto nos meus trabalhos de certificação
na ISO 22301 como, principalmente, nos de
consultoria, é necessário analisar os
resultados da última Análise de Impacto
nos Negócios, ou anteriores.
Even in my ISO 22301 certification
assignments as, mainly, in my consulting
projects, frequently it is needed to analyze
the results of the last Business Impact
Analysis, or older.
Frequentemente o que encontro é:
Uma definição de alto nível
elaborada pelo CIO e seus
assessores diretos estabelecendo
tiers de recuperação para as
principais aplicações supostamente
críticas para a organização e com
isto definindo as estratégias de
recuperação para o DRP e não para
os negócios. De TIC para os
negócios e não dos negócios para
TIC;
Ou uma lista de valores dos ativos
de TIC feita pelo CSO para atender
aos requisitos da ISO 27001:2005 e
daí tentar estabelecer os impactos
nos negócios;
Ou uma análise que não considera
cenários de indisponibilidade,
como se o incidente de interrupção
ocorresse em todos os locais da
empresa ao mesmo tempo, isto no
caso de uma empresa multi-locais,
And frequently what I find is:
A high level definition done by the
CIO and its direct assessors
establishing recovery tiers for the
main applications supposedly
critical for the business and from
here defining recovery strategies
for the DRP and not for the
business. From ICT to business
instead of the other way round;
Or a list of asset values done by the
CSO to attend the ISO 27001:2005
requirements and from there trying
to establish the impacts on the
businesses;
Or an analyses that does not take
into account the disruptive
scenario, as all disruptions would
take place in all corporate facilities
at the same time, in a multi
3. é claro. (NOTA: Não estou me
referindo a terremotos, tsunamis,
grandes calamidades etc.)
facilities environment, of course.
(NOTE: I´m not talking about
earthquakes, tsunamis, major
calamities etc.)
E estas observações não acontecem só no
Brasil. Frequentemente, nos meus
encontros periódicos com os demais
Representantes Autorizadas da Sungard
Availability Services no mundo onde
discutimos maturidades, necessidades e
tendências dos mercados locais de GCN
observamos comportamentos e práticas
semelhantes.
In addition, my findings do not happen only
in Brazil. Frequently, in my timely
meetings with all other Sungard Availability
Services Authorized Representatives all
over the world where we discuss
maturities, needs and trends in the BCM
local markets we observe that the pattern
and practices are about the same
worldwide.
Ou seja, na minha avaliação, o
entendimento do que é, para que serve e
como deve ser realizada uma Análise de
Impacto nos Negócios não é claro para
muitos profissionais de Continuidade de
Negócios ao redor do mundo.
This means, in my analysis, the full
understanding of what´s BIA, what BIA is
for, how a BIA shall be conducted is not
clear for many Business Continuity
practitioners all over the world.
Daí a necessidade da ISO 22317, para
fornecer orientações detalhadas para
estabelecer, implantar e manter um
processo de Análise de Impacto nos
Negócios consistente com os requisitos da
ISO 22301.
Therefore, there is clearly the need of ISO
22317, to provide detailed guidance for
establishing, implementing, and
maintaining a business impact analysis
(BIA) process consistent with the
requirements in ISO 22301.
Sidney R. Modenesi, MBCI
https://www.linkedin.com/in/sidneymodenesimbci