SlideShare uma empresa Scribd logo

ISO/TC 292 - Business continuity management systems – Business impact analysis

Sidney Modenesi, MBCI
Sidney Modenesi, MBCI

An analysis of the need or not of another BCM standard this time for Business Impact Analysis to be added in the ISO 22300 - Societal security family of standards.

Tecnologia
1 de 3
Baixar para ler offline
ISO/DTS 22317 – Uma nova norma para Análise de Impacto nos Negócios ISO DTS/22317 – A new standard for Business Impact Analysis Recentemente, quando estava realizando mais uma Análise de Impacto nos Negócios, provavelmente a centésima na minha carreira, numa empresa química e petroquímica brasileira enviei um “post” no Linkedin lembrando sobre o prazo final para o envio de comentários (Call for Comments) do rascunho da nova norma ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Recently, when I was conducting a Business Impact Analysis, probably the one hundredth in my carrier, in a Brazilian chemical and petrochemical company, I sent a post on Linkedin remembering the final time frame for sending comments (Call for Comments) on the draft of the new standard ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Mais ou menos ao mesmo tempo sugiram discussões, nos grupos do Linkedin e outros, sobre a real necessidade de mais uma norma, agora para BIA, quando este assunto já é endereçado nas normas ISO 22301/22313. Ainda, em outros grupos de discussão haviam pessoas pedindo “templates” de questionários de BIA. About the same time, some discussions showed up, on Linkedin groups and others, about the real need of another standard, this time for BIA, as ISO 22301/22313 standards already addressed this topic. Yet, in other discussion groups there were people requesting some BIA survey “templates”. Antes de analisarmos a necessidade ou não de mais uma norma, vamos entender o que é uma DTS – “Draft of a Technical Specification”:  D = Draft, isto é, o texto ainda está em elaboração e na fase de “Public Draft” onde comentários da comunidade serão compilados, analisados e eventualmente inseridos no texto final;  TS = Technical Specification, representa um acordo entre os membros do comitê técnico de forma que a norma poderá ser aceita para publicação caso aprovada por 2/3 dos membros do comitê técnico com direito a voto. Portanto, caso aprovada para publicação, a ISO 22317 será o que o nome diz uma Before we start evaluating the need or not of another standard, lets understand what is a DTS - “Draft of a Technical Specification”:  D = Draft, means the text available in the document is at the “Public Draft” phase where comments from the community will be compiled, analyzed and eventually inserted in the final version;  TS = Technical Specification, represents an agreement between the members of a technical committee and is accepted for publication if it is approved by 2/3 of the members of the committee casting a vote. Therefore, if approved for publication, ISO 22317 will be exactly what its name says, a
Especificação Técnica e não uma norma certificável como a ISO 22301. Technical Specification and not a certifiable standard like ISO 22301. As pessoas que questionaram a necessidade ou não da norma ISO 22317 tem razão, tanto a ISO 22301 como a ISO 22313 tem capítulos específicos sobre Análise de Impacto nos Negócios. People who questioned the need or not of the ISO 221317 standard were correct, even ISO 22301 as ISO 22313 have specific chapters about Business Impact Analysis. Entretanto, como um “ISO 22301 BSI Technical Expert” posso afirmar que nenhuma das normas (22301 ou 22313) especificam quais informações devem ser coletadas numa Análise de Impacto nos Negócios, nem como realiza-la. However, as a “ISO 22301 BSI Technical Expert” I can assure you neither these two standards (22301 or 22313) specify which information shall be collected in a Business Impact Analysis, neither how to conduct it. Atualmente, o documento que melhor descreve a realização da Análise de Impacto nos Negócios é o Manual de Boa Práticas do BCI - Good Practice Guidelines - GPG 2013, disponível gratuitamente para os membros do BCI e vendido aos não membros em http://www.thebci.org/index.php/resource s/the-good-practice-guidelines Today, the document that better describes how to conduct a Business Impact Analysis is the BCI - Good Practice Guidelines - GPG 2013, available for free for BCI members and for purchase for non BCI member at http://www.thebci.org/index.php/resource s/the-good-practice-guidelines Tanto nos meus trabalhos de certificação na ISO 22301 como, principalmente, nos de consultoria, é necessário analisar os resultados da última Análise de Impacto nos Negócios, ou anteriores. Even in my ISO 22301 certification assignments as, mainly, in my consulting projects, frequently it is needed to analyze the results of the last Business Impact Analysis, or older. Frequentemente o que encontro é:  Uma definição de alto nível elaborada pelo CIO e seus assessores diretos estabelecendo tiers de recuperação para as principais aplicações supostamente críticas para a organização e com isto definindo as estratégias de recuperação para o DRP e não para os negócios. De TIC para os negócios e não dos negócios para TIC;  Ou uma lista de valores dos ativos de TIC feita pelo CSO para atender aos requisitos da ISO 27001:2005 e daí tentar estabelecer os impactos nos negócios;  Ou uma análise que não considera cenários de indisponibilidade, como se o incidente de interrupção ocorresse em todos os locais da empresa ao mesmo tempo, isto no caso de uma empresa multi-locais, And frequently what I find is:  A high level definition done by the CIO and its direct assessors establishing recovery tiers for the main applications supposedly critical for the business and from here defining recovery strategies for the DRP and not for the business. From ICT to business instead of the other way round;  Or a list of asset values done by the CSO to attend the ISO 27001:2005 requirements and from there trying to establish the impacts on the businesses;  Or an analyses that does not take into account the disruptive scenario, as all disruptions would take place in all corporate facilities at the same time, in a multi
é claro. (NOTA: Não estou me referindo a terremotos, tsunamis, grandes calamidades etc.) facilities environment, of course. (NOTE: I´m not talking about earthquakes, tsunamis, major calamities etc.) E estas observações não acontecem só no Brasil. Frequentemente, nos meus encontros periódicos com os demais Representantes Autorizadas da Sungard Availability Services no mundo onde discutimos maturidades, necessidades e tendências dos mercados locais de GCN observamos comportamentos e práticas semelhantes. In addition, my findings do not happen only in Brazil. Frequently, in my timely meetings with all other Sungard Availability Services Authorized Representatives all over the world where we discuss maturities, needs and trends in the BCM local markets we observe that the pattern and practices are about the same worldwide. Ou seja, na minha avaliação, o entendimento do que é, para que serve e como deve ser realizada uma Análise de Impacto nos Negócios não é claro para muitos profissionais de Continuidade de Negócios ao redor do mundo. This means, in my analysis, the full understanding of what´s BIA, what BIA is for, how a BIA shall be conducted is not clear for many Business Continuity practitioners all over the world. Daí a necessidade da ISO 22317, para fornecer orientações detalhadas para estabelecer, implantar e manter um processo de Análise de Impacto nos Negócios consistente com os requisitos da ISO 22301. Therefore, there is clearly the need of ISO 22317, to provide detailed guidance for establishing, implementing, and maintaining a business impact analysis (BIA) process consistent with the requirements in ISO 22301. Sidney R. Modenesi, MBCI https://www.linkedin.com/in/sidneymodenesimbci

Recomendados

EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTAEGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
karlosluckas
 
Curiosidades
CuriosidadesCuriosidades
Curiosidades
satelite1
 
Clasif autonomico slalom
Clasif autonomico slalomClasif autonomico slalom
Clasif autonomico slalom
sicilia104
 
Cartaz peches
Cartaz pechesCartaz peches
Cartaz peches
lannister
 
Zaindarearen eguna 4
Zaindarearen eguna 4Zaindarearen eguna 4
Zaindarearen eguna 4
iraurgi
 
Tabellone Camel Cup Vincitore
Tabellone Camel Cup VincitoreTabellone Camel Cup Vincitore
Tabellone Camel Cup Vincitore
kuci87
 
Praia santa catarina
Praia santa catarinaPraia santa catarina
Praia santa catarina
Thermas Hotel
 
Presentation1
Presentation1Presentation1
Presentation1
erickwhitford
 

Recomendados

EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTAEGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
EGIPTO-SIRIA: LA CARA REAL DEL “JUEGO” ESTRATEGICO IMPERIALISTA
karlosluckas
 
Curiosidades
CuriosidadesCuriosidades
Curiosidades
satelite1
 
Clasif autonomico slalom
Clasif autonomico slalomClasif autonomico slalom
Clasif autonomico slalom
sicilia104
 
Cartaz peches
Cartaz pechesCartaz peches
Cartaz peches
lannister
 
Zaindarearen eguna 4
Zaindarearen eguna 4Zaindarearen eguna 4
Zaindarearen eguna 4
iraurgi
 
Tabellone Camel Cup Vincitore
Tabellone Camel Cup VincitoreTabellone Camel Cup Vincitore
Tabellone Camel Cup Vincitore
kuci87
 
Praia santa catarina
Praia santa catarinaPraia santa catarina
Praia santa catarina
Thermas Hotel
 
Presentation1
Presentation1Presentation1
Presentation1
erickwhitford
 
ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALESADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
zepal
 
La historia de linux
La historia de linuxLa historia de linux
La historia de linux
Emy Holce
 
Mutações genéticas
Mutações genéticasMutações genéticas
Mutações genéticas
Jow Araujo
 
Taller diagnostico
Taller diagnosticoTaller diagnostico
Taller diagnostico
zoila tayo rodas
 
Cata
CataCata
Cata
Lopez696
 
Carreras orientacion
Carreras orientacionCarreras orientacion
Carreras orientacion
alineruiz
 
Analisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigramaAnalisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigrama
karin rohr
 
Panorama do at aula 3
Panorama do at aula 3Panorama do at aula 3
Panorama do at aula 3
Seminário Bíblico Aliança
 
La tierra.04 luciano, aaron y ramro 5d
La tierra.04 luciano, aaron y ramro 5dLa tierra.04 luciano, aaron y ramro 5d
La tierra.04 luciano, aaron y ramro 5d
gokumadara123
 
Computadoras actuales en el mercado ecuatoriano OA M38
Computadoras actuales en el mercado ecuatoriano OA M38Computadoras actuales en el mercado ecuatoriano OA M38
Computadoras actuales en el mercado ecuatoriano OA M38
Daniel Naranjo
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
Vanessa Pilatti
 
Aguas Termais Santa Catarina
Aguas Termais Santa CatarinaAguas Termais Santa Catarina
Aguas Termais Santa Catarina
Thermas Hotel
 
Ti power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativoTi power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativo
Emy Holce
 
cosas
cosascosas
cosas
sopitalonditoti
 
logo despacho okkkkk
logo despacho okkkkklogo despacho okkkkk
logo despacho okkkkk
Hugo de Patrocinio
 
Nuestra Vivienda "Donegal"
Nuestra Vivienda "Donegal"Nuestra Vivienda "Donegal"
Nuestra Vivienda "Donegal"
CASASDEMADERANATURAL
 
Dans la reserve
Dans la reserveDans la reserve
Dans la reserve
Marie-France Perkins
 
NEBOSH -IGC
NEBOSH -IGCNEBOSH -IGC
NEBOSH -IGC
Dr. Prashant Umare
 
e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
Sidney Modenesi, MBCI
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
Sidney Modenesi, MBCI
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
Sidney Modenesi, MBCI
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
Sidney Modenesi, MBCI
 

Mais conteúdo relacionado

Destaque

La historia de linux
La historia de linuxLa historia de linux
La historia de linux
Emy Holce
 
Carreras orientacion
Carreras orientacionCarreras orientacion
Carreras orientacion
alineruiz
 
Analisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigramaAnalisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigrama
karin rohr
 
Ti power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativoTi power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativo
Emy Holce
 

Destaque (18)

ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALESADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
ADICCIONES TECNOLÓGICAS:EL AUGE DE LAS REDES SOCIALES
 
La historia de linux
La historia de linuxLa historia de linux
La historia de linux
 
Mutações genéticas
Mutações genéticasMutações genéticas
Mutações genéticas
 
Taller diagnostico
Taller diagnosticoTaller diagnostico
Taller diagnostico
 
Cata
CataCata
Cata
 
Carreras orientacion
Carreras orientacionCarreras orientacion
Carreras orientacion
 
Analisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigramaAnalisis sitio, sintesis, programa, pautas, organigrama
Analisis sitio, sintesis, programa, pautas, organigrama
 
Panorama do at aula 3
Panorama do at aula 3Panorama do at aula 3
Panorama do at aula 3
 
La tierra.04 luciano, aaron y ramro 5d
La tierra.04 luciano, aaron y ramro 5dLa tierra.04 luciano, aaron y ramro 5d
La tierra.04 luciano, aaron y ramro 5d
 
Computadoras actuales en el mercado ecuatoriano OA M38
Computadoras actuales en el mercado ecuatoriano OA M38Computadoras actuales en el mercado ecuatoriano OA M38
Computadoras actuales en el mercado ecuatoriano OA M38
 
Apresentação1
Apresentação1Apresentação1
Apresentação1
 
Aguas Termais Santa Catarina
Aguas Termais Santa CatarinaAguas Termais Santa Catarina
Aguas Termais Santa Catarina
 
Ti power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativoTi power point_grupo1_sistema_operativo
Ti power point_grupo1_sistema_operativo
 
cosas
cosascosas
cosas
 
logo despacho okkkkk
logo despacho okkkkklogo despacho okkkkk
logo despacho okkkkk
 
Nuestra Vivienda "Donegal"
Nuestra Vivienda "Donegal"Nuestra Vivienda "Donegal"
Nuestra Vivienda "Donegal"
 
Dans la reserve
Dans la reserveDans la reserve
Dans la reserve
 
NEBOSH -IGC
NEBOSH -IGCNEBOSH -IGC
NEBOSH -IGC
 

Mais de Sidney Modenesi, MBCI

Mais de Sidney Modenesi, MBCI (20)

e-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócioe-book DRP Alinhado às Necessidades do Negócio
e-book DRP Alinhado às Necessidades do Negócio
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313Business Continuity Standards is more then ISO 22301/22313
Business Continuity Standards is more then ISO 22301/22313
 
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
A Continuidade de Negócios - Seu Seguro para Incidentes de Segurança e de Tec...
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócioImplantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
Implantando ou aperfeiçoando o DRP alinhado às necessidades do negócio
 
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
THE CHALLENGES IN KEEPING THE BCMS UP TO DATE (in accordance with ISO 22301)
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 

Último

ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 

Último (9)

Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docxATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
ATIVIDADE 1 - SISTEMAS DISTRIBUÍDOS E REDES - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

ISO/TC 292 - Business continuity management systems – Business impact analysis

  • 1. ISO/DTS 22317 – Uma nova norma para Análise de Impacto nos Negócios ISO DTS/22317 – A new standard for Business Impact Analysis Recentemente, quando estava realizando mais uma Análise de Impacto nos Negócios, provavelmente a centésima na minha carreira, numa empresa química e petroquímica brasileira enviei um “post” no Linkedin lembrando sobre o prazo final para o envio de comentários (Call for Comments) do rascunho da nova norma ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Recently, when I was conducting a Business Impact Analysis, probably the one hundredth in my carrier, in a Brazilian chemical and petrochemical company, I sent a post on Linkedin remembering the final time frame for sending comments (Call for Comments) on the draft of the new standard ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Mais ou menos ao mesmo tempo sugiram discussões, nos grupos do Linkedin e outros, sobre a real necessidade de mais uma norma, agora para BIA, quando este assunto já é endereçado nas normas ISO 22301/22313. Ainda, em outros grupos de discussão haviam pessoas pedindo “templates” de questionários de BIA. About the same time, some discussions showed up, on Linkedin groups and others, about the real need of another standard, this time for BIA, as ISO 22301/22313 standards already addressed this topic. Yet, in other discussion groups there were people requesting some BIA survey “templates”. Antes de analisarmos a necessidade ou não de mais uma norma, vamos entender o que é uma DTS – “Draft of a Technical Specification”:  D = Draft, isto é, o texto ainda está em elaboração e na fase de “Public Draft” onde comentários da comunidade serão compilados, analisados e eventualmente inseridos no texto final;  TS = Technical Specification, representa um acordo entre os membros do comitê técnico de forma que a norma poderá ser aceita para publicação caso aprovada por 2/3 dos membros do comitê técnico com direito a voto. Portanto, caso aprovada para publicação, a ISO 22317 será o que o nome diz uma Before we start evaluating the need or not of another standard, lets understand what is a DTS - “Draft of a Technical Specification”:  D = Draft, means the text available in the document is at the “Public Draft” phase where comments from the community will be compiled, analyzed and eventually inserted in the final version;  TS = Technical Specification, represents an agreement between the members of a technical committee and is accepted for publication if it is approved by 2/3 of the members of the committee casting a vote. Therefore, if approved for publication, ISO 22317 will be exactly what its name says, a
  • 2. Especificação Técnica e não uma norma certificável como a ISO 22301. Technical Specification and not a certifiable standard like ISO 22301. As pessoas que questionaram a necessidade ou não da norma ISO 22317 tem razão, tanto a ISO 22301 como a ISO 22313 tem capítulos específicos sobre Análise de Impacto nos Negócios. People who questioned the need or not of the ISO 221317 standard were correct, even ISO 22301 as ISO 22313 have specific chapters about Business Impact Analysis. Entretanto, como um “ISO 22301 BSI Technical Expert” posso afirmar que nenhuma das normas (22301 ou 22313) especificam quais informações devem ser coletadas numa Análise de Impacto nos Negócios, nem como realiza-la. However, as a “ISO 22301 BSI Technical Expert” I can assure you neither these two standards (22301 or 22313) specify which information shall be collected in a Business Impact Analysis, neither how to conduct it. Atualmente, o documento que melhor descreve a realização da Análise de Impacto nos Negócios é o Manual de Boa Práticas do BCI - Good Practice Guidelines - GPG 2013, disponível gratuitamente para os membros do BCI e vendido aos não membros em http://www.thebci.org/index.php/resource s/the-good-practice-guidelines Today, the document that better describes how to conduct a Business Impact Analysis is the BCI - Good Practice Guidelines - GPG 2013, available for free for BCI members and for purchase for non BCI member at http://www.thebci.org/index.php/resource s/the-good-practice-guidelines Tanto nos meus trabalhos de certificação na ISO 22301 como, principalmente, nos de consultoria, é necessário analisar os resultados da última Análise de Impacto nos Negócios, ou anteriores. Even in my ISO 22301 certification assignments as, mainly, in my consulting projects, frequently it is needed to analyze the results of the last Business Impact Analysis, or older. Frequentemente o que encontro é:  Uma definição de alto nível elaborada pelo CIO e seus assessores diretos estabelecendo tiers de recuperação para as principais aplicações supostamente críticas para a organização e com isto definindo as estratégias de recuperação para o DRP e não para os negócios. De TIC para os negócios e não dos negócios para TIC;  Ou uma lista de valores dos ativos de TIC feita pelo CSO para atender aos requisitos da ISO 27001:2005 e daí tentar estabelecer os impactos nos negócios;  Ou uma análise que não considera cenários de indisponibilidade, como se o incidente de interrupção ocorresse em todos os locais da empresa ao mesmo tempo, isto no caso de uma empresa multi-locais, And frequently what I find is:  A high level definition done by the CIO and its direct assessors establishing recovery tiers for the main applications supposedly critical for the business and from here defining recovery strategies for the DRP and not for the business. From ICT to business instead of the other way round;  Or a list of asset values done by the CSO to attend the ISO 27001:2005 requirements and from there trying to establish the impacts on the businesses;  Or an analyses that does not take into account the disruptive scenario, as all disruptions would take place in all corporate facilities at the same time, in a multi
  • 3. é claro. (NOTA: Não estou me referindo a terremotos, tsunamis, grandes calamidades etc.) facilities environment, of course. (NOTE: I´m not talking about earthquakes, tsunamis, major calamities etc.) E estas observações não acontecem só no Brasil. Frequentemente, nos meus encontros periódicos com os demais Representantes Autorizadas da Sungard Availability Services no mundo onde discutimos maturidades, necessidades e tendências dos mercados locais de GCN observamos comportamentos e práticas semelhantes. In addition, my findings do not happen only in Brazil. Frequently, in my timely meetings with all other Sungard Availability Services Authorized Representatives all over the world where we discuss maturities, needs and trends in the BCM local markets we observe that the pattern and practices are about the same worldwide. Ou seja, na minha avaliação, o entendimento do que é, para que serve e como deve ser realizada uma Análise de Impacto nos Negócios não é claro para muitos profissionais de Continuidade de Negócios ao redor do mundo. This means, in my analysis, the full understanding of what´s BIA, what BIA is for, how a BIA shall be conducted is not clear for many Business Continuity practitioners all over the world. Daí a necessidade da ISO 22317, para fornecer orientações detalhadas para estabelecer, implantar e manter um processo de Análise de Impacto nos Negócios consistente com os requisitos da ISO 22301. Therefore, there is clearly the need of ISO 22317, to provide detailed guidance for establishing, implementing, and maintaining a business impact analysis (BIA) process consistent with the requirements in ISO 22301. Sidney R. Modenesi, MBCI https://www.linkedin.com/in/sidneymodenesimbci