An evaluation of the need or not of another BCM standard this time for Business impact analysis to be incorporated in the ISO 22300 - Societal security family of standards.
1. ISO/DTS 22317 – Uma
nova norma para Análise
de Impacto nos Negócios
ISO DTS/22317 – A
new standard for
Business Impact
Analysis
Recentemente,quandoestavarealizando
maisuma Análise de ImpactonosNegócios,
provavelmente acentésimanaminha
carreira, numa empresaquímicae
petroquímicabrasileiraenviei um“post”no
Linkedin lembrandosobre oprazofinal para
o enviode comentários (Call forComments)
do rascunhoda nova norma ISO/DTS 22317 -
Societal security – Businesscontinuity
managementsystems – Business impact
analysis.
Recently,whenIwasconductingaBusiness
Impact Analysis,probablythe one
hundredthinmycarrier,in a Brazilian
chemical andpetrochemical company,Isent
a post on Linkedinrememberingthe final
time frame forsendingcomments(Call for
Comments) onthe draftof the new standard
ISO/DTS 22317 - Societal security – Business
continuitymanagementsystems – Business
impactanalysis.
Mais ou menosaomesmotemposugiram
discussões,nosgrupos doLinkedine outros,
sobre a real necessidade de maisuma
norma,agora para BIA,quandoeste assunto
já é endereçadonasnormasISO
22301/22313. Ainda,emoutrosgruposde
discussãohaviampessoaspedindo
“templates”de questionáriosde BIA.
Aboutthe same time,some discussions
showedup,onLinkedingroupsandothers,
aboutthe real needof anotherstandard,
thistime forBIA, as ISO22301/22313
standardsalreadyaddressedthistopic. Yet,
inotherdiscussion groupsthere were
people requestingsome BIA survey
“templates”.
Antesde analisarmosanecessidadeounão
de mais umanorma, vamosentenderoque
é umaDTS – “Draft ofa Technical
Specification”:
D = Draft, istoé,o textoaindaestá
emelaboraçãoe na fase de “Public
Draft” onde comentáriosda
comunidade serãocompilados,
analisadose eventualmente
inseridosnotextofinal;
TS = Technical Specification,
representaumacordoentre os
membrosdocomitê técnicode
formaque a normapoderáser
aceitapara publicaçãocaso
aprovadapor 2/3 dos membrosdo
comitê técnicocomdireitoavoto.
Portanto,caso aprovadapara publicação,a
ISO22317 seráo que o nome dizuma
EspecificaçãoTécnicae não umanorma
certificável comoaISO22301.
Before we startevaluatingthe needornot
of anotherstandard,letsunderstandwhatis
a DTS - “Draft ofa Technical Specification”:
D = Draft, meansthe textavailable
inthe documentisat the “Public
Draft” phase where commentsfrom
the communitywill be compiled,
analyzedandeventuallyinsertedin
the final version;
TS = Technical Specification,
represents an agreement between the
members of a technical committee and
is accepted for publication if itis
approved by 2/3 of the members of the
committee castinga vote.
Therefore,if approvedforpublication,ISO
22317 will be exactlywhatitsname says,a
Technical Specificationandnota certifiable
standardlike ISO22301.
2. As pessoasque questionaramanecessidade
ou não da normaISO 22317 temrazão, tanto
a ISO 22301 como a ISO 22313 tem capítulos
específicossobre Análise de Impactonos
Negócios.
People whoquestionedthe needornotof
the ISO 221317 standardwere correct,even
ISO22301 as ISO 22313 have specific
chaptersaboutBusinessImpactAnalysis.
Entretanto,comoum “ISO22301 BSI
Technical Expert” possoafirmarque a
nenhumadasnormas(22301 ou 22313)
especificamquaisinformaçõesdevemser
coletadasnumaAnálise de Impactonos
Negócios,nem comorealiza-la.
However, asa “ISO 22301 BSI Technical
Expert”I can assure you neitherthese two
standards(22301 or 22313) specifywhich
informationshall be collectedinaBusiness
Impact Analysis,neitherhow toconductit.
Atualmente,odocumentoque melhor
descreve arealizaçãodaAnálise de Impacto
nos Negóciosé oManual de Boa Práticasdo
BCI - GoodPractice Guidelines - GPG2013 -
http://www.thebci.org/index.php/resources
/the-good-practice-guidelines
Today, the documentthat betterdescribe
how to conduct a BusinessImpactAnalysis is
the BCI - Good Practice Guidelines - GPG
2013, available forfree forBCImembersand
for purchase fornon BCImemberat
http://www.thebci.org/index.php/resources
/the-good-practice-guidelines
Tanto nosmeustrabalhosde certificaçãona
ISO22301 como,principalmente,nosde
consultoria, é necessárioanalisaros
resultadosdaúltimaAnálisede Impactonos
Negócios,ouanteriores.
Evenin my ISO 22301 certification
assignmentsas,mainly,inmyconsulting
projects,frequentlyitisneededtoanalyze
the resultsof the last BusinessImpact
Analysis,orolder.
Frequentemente oque encontroé:
Uma definiçãode altonível
elaboradapeloCIOe seus
assessoresdiretosestabelecendo
tiersde recuperaçãopara as
principaisaplicaçõessupostamente
críticas para a organizaçãoe com
istodefinindoasestratégiasde
recuperaçãopara o DRP e nãopara
os negócios. De TIC para os
negóciose nãodos negóciospara
TIC;
Ou uma listade valoresdosativos
de TIC feitapeloCSOpara atender
aos requisitosdaISO27001:2005 e
daí tentar estabelecerosimpactos
nos negócios;
Ou uma análise que nãoconsidera
cenáriosde indisponibilidade,como
se o incidente de interrupção
ocorresse emtodosos locaisda
empresaaomesmotempo,istono
caso de uma empresamulti-locais,é
claro.
AndfrequentlywhatIfindis:
A highlevel definitiondone bythe
CIO andits directassessors
establishingrecoverytiersforthe
mainapplications supposedly critical
for the businessandfromhere
definingrecoverystrategiesforthe
DRP and notfor the business. From
ICT to businessinsteadof the other
wayround;
Or a listof assetvalueselaborated
by the CSO toattendthe ISO
27001:2005 requirementsandfrom
there tryingto establishthe impacts
on the businesses;
Or an analysesthatdoesnot take
intoaccount the disruptive scenario,
as all disruptionswouldtake place in
all corporate facilities atthe same
time,ina multi facilities
environment,of course.(NOTE:I´m
not talkingaboutearthquakes,
tsunamis,majorcalamitiesetc.)
E estas observaçõesnãoacontecemsóno
Brasil. Frequentemente,nosmeus
encontrosperiódicoscomosdemais
In addition,myfindingsdonothappenonly
inBrazil. Frequently,inmytimelymeetings
withall otherSungardAvailabilityServices
3. RepresentantesAutorizadasdaSungard
AvailabilityServices nomundo onde
discutimosmaturidades,necessidadese
tendênciasdosmercadoslocais de GCN
observamoscomportamentose práticas
semelhantes.
AuthorizedRepresentativesall overthe
worldwhere we discussmaturities,needs
and trendsinthe BCM local marketswe
observe thatthe patternand practices are
aboutthe same worldwide.
Ou seja, naminhaavaliação, o
entendimentodoque é,paraque serve e
como deve serrealizadaumaAnálise de
Impactonos Negóciosnãoé claro para
muitosprofissionaisde Continuidadede
Negóciosaoredordo mundo.
Thismeans, inmy analysis,the full
understandingof what´sBIA,whatBIA isfor,
how a BIA shall be conductedisnot clearfor
manyBusinessContinuitypractitionersall
overthe world.
Daí a necessidade daISO22317, para
fornecerorientaçõesdetalhadaspara
estabelecer,implantare manterum
processode Análise de Impactonos
Negócios consistente comosrequisitosda
ISO22301.
So,there is clearlythe needof ISO22317, to
providedetailed guidancefor establishing,
implementing, and maintaininga business impact
analysis(BIA) process consistentwith the
requirements in ISO 22301.
Sidney R. Modenesi, MBCI
https://www.linkedin.com/profile/public-profile-settings?trk=prof-edit-edit-public_profile