SlideShare uma empresa Scribd logo
1 de 3
Baixar para ler offline
ISO/DTS 22317 – Uma
nova norma para Análise
de Impacto nos Negócios
ISO DTS/22317 – A
new standard for
Business Impact
Analysis
Recentemente,quandoestavarealizando
maisuma Análise de ImpactonosNegócios,
provavelmente acentésimanaminha
carreira, numa empresaquímicae
petroquímicabrasileiraenviei um“post”no
Linkedin lembrandosobre oprazofinal para
o enviode comentários (Call forComments)
do rascunhoda nova norma ISO/DTS 22317 -
Societal security – Businesscontinuity
managementsystems – Business impact
analysis.
Recently,whenIwasconductingaBusiness
Impact Analysis,probablythe one
hundredthinmycarrier,in a Brazilian
chemical andpetrochemical company,Isent
a post on Linkedinrememberingthe final
time frame forsendingcomments(Call for
Comments) onthe draftof the new standard
ISO/DTS 22317 - Societal security – Business
continuitymanagementsystems – Business
impactanalysis.
Mais ou menosaomesmotemposugiram
discussões,nosgrupos doLinkedine outros,
sobre a real necessidade de maisuma
norma,agora para BIA,quandoeste assunto
já é endereçadonasnormasISO
22301/22313. Ainda,emoutrosgruposde
discussãohaviampessoaspedindo
“templates”de questionáriosde BIA.
Aboutthe same time,some discussions
showedup,onLinkedingroupsandothers,
aboutthe real needof anotherstandard,
thistime forBIA, as ISO22301/22313
standardsalreadyaddressedthistopic. Yet,
inotherdiscussion groupsthere were
people requestingsome BIA survey
“templates”.
Antesde analisarmosanecessidadeounão
de mais umanorma, vamosentenderoque
é umaDTS – “Draft ofa Technical
Specification”:
 D = Draft, istoé,o textoaindaestá
emelaboraçãoe na fase de “Public
Draft” onde comentáriosda
comunidade serãocompilados,
analisadose eventualmente
inseridosnotextofinal;
 TS = Technical Specification,
representaumacordoentre os
membrosdocomitê técnicode
formaque a normapoderáser
aceitapara publicaçãocaso
aprovadapor 2/3 dos membrosdo
comitê técnicocomdireitoavoto.
Portanto,caso aprovadapara publicação,a
ISO22317 seráo que o nome dizuma
EspecificaçãoTécnicae não umanorma
certificável comoaISO22301.
Before we startevaluatingthe needornot
of anotherstandard,letsunderstandwhatis
a DTS - “Draft ofa Technical Specification”:
 D = Draft, meansthe textavailable
inthe documentisat the “Public
Draft” phase where commentsfrom
the communitywill be compiled,
analyzedandeventuallyinsertedin
the final version;
 TS = Technical Specification,
represents an agreement between the
members of a technical committee and
is accepted for publication if itis
approved by 2/3 of the members of the
committee castinga vote.
Therefore,if approvedforpublication,ISO
22317 will be exactlywhatitsname says,a
Technical Specificationandnota certifiable
standardlike ISO22301.
As pessoasque questionaramanecessidade
ou não da normaISO 22317 temrazão, tanto
a ISO 22301 como a ISO 22313 tem capítulos
específicossobre Análise de Impactonos
Negócios.
People whoquestionedthe needornotof
the ISO 221317 standardwere correct,even
ISO22301 as ISO 22313 have specific
chaptersaboutBusinessImpactAnalysis.
Entretanto,comoum “ISO22301 BSI
Technical Expert” possoafirmarque a
nenhumadasnormas(22301 ou 22313)
especificamquaisinformaçõesdevemser
coletadasnumaAnálise de Impactonos
Negócios,nem comorealiza-la.
However, asa “ISO 22301 BSI Technical
Expert”I can assure you neitherthese two
standards(22301 or 22313) specifywhich
informationshall be collectedinaBusiness
Impact Analysis,neitherhow toconductit.
Atualmente,odocumentoque melhor
descreve arealizaçãodaAnálise de Impacto
nos Negóciosé oManual de Boa Práticasdo
BCI - GoodPractice Guidelines - GPG2013 -
http://www.thebci.org/index.php/resources
/the-good-practice-guidelines
Today, the documentthat betterdescribe
how to conduct a BusinessImpactAnalysis is
the BCI - Good Practice Guidelines - GPG
2013, available forfree forBCImembersand
for purchase fornon BCImemberat
http://www.thebci.org/index.php/resources
/the-good-practice-guidelines
Tanto nosmeustrabalhosde certificaçãona
ISO22301 como,principalmente,nosde
consultoria, é necessárioanalisaros
resultadosdaúltimaAnálisede Impactonos
Negócios,ouanteriores.
Evenin my ISO 22301 certification
assignmentsas,mainly,inmyconsulting
projects,frequentlyitisneededtoanalyze
the resultsof the last BusinessImpact
Analysis,orolder.
Frequentemente oque encontroé:
 Uma definiçãode altonível
elaboradapeloCIOe seus
assessoresdiretosestabelecendo
tiersde recuperaçãopara as
principaisaplicaçõessupostamente
críticas para a organizaçãoe com
istodefinindoasestratégiasde
recuperaçãopara o DRP e nãopara
os negócios. De TIC para os
negóciose nãodos negóciospara
TIC;
 Ou uma listade valoresdosativos
de TIC feitapeloCSOpara atender
aos requisitosdaISO27001:2005 e
daí tentar estabelecerosimpactos
nos negócios;
 Ou uma análise que nãoconsidera
cenáriosde indisponibilidade,como
se o incidente de interrupção
ocorresse emtodosos locaisda
empresaaomesmotempo,istono
caso de uma empresamulti-locais,é
claro.
AndfrequentlywhatIfindis:
 A highlevel definitiondone bythe
CIO andits directassessors
establishingrecoverytiersforthe
mainapplications supposedly critical
for the businessandfromhere
definingrecoverystrategiesforthe
DRP and notfor the business. From
ICT to businessinsteadof the other
wayround;
 Or a listof assetvalueselaborated
by the CSO toattendthe ISO
27001:2005 requirementsandfrom
there tryingto establishthe impacts
on the businesses;
 Or an analysesthatdoesnot take
intoaccount the disruptive scenario,
as all disruptionswouldtake place in
all corporate facilities atthe same
time,ina multi facilities
environment,of course.(NOTE:I´m
not talkingaboutearthquakes,
tsunamis,majorcalamitiesetc.)
E estas observaçõesnãoacontecemsóno
Brasil. Frequentemente,nosmeus
encontrosperiódicoscomosdemais
In addition,myfindingsdonothappenonly
inBrazil. Frequently,inmytimelymeetings
withall otherSungardAvailabilityServices
RepresentantesAutorizadasdaSungard
AvailabilityServices nomundo onde
discutimosmaturidades,necessidadese
tendênciasdosmercadoslocais de GCN
observamoscomportamentose práticas
semelhantes.
AuthorizedRepresentativesall overthe
worldwhere we discussmaturities,needs
and trendsinthe BCM local marketswe
observe thatthe patternand practices are
aboutthe same worldwide.
Ou seja, naminhaavaliação, o
entendimentodoque é,paraque serve e
como deve serrealizadaumaAnálise de
Impactonos Negóciosnãoé claro para
muitosprofissionaisde Continuidadede
Negóciosaoredordo mundo.
Thismeans, inmy analysis,the full
understandingof what´sBIA,whatBIA isfor,
how a BIA shall be conductedisnot clearfor
manyBusinessContinuitypractitionersall
overthe world.
Daí a necessidade daISO22317, para
fornecerorientaçõesdetalhadaspara
estabelecer,implantare manterum
processode Análise de Impactonos
Negócios consistente comosrequisitosda
ISO22301.
So,there is clearlythe needof ISO22317, to
providedetailed guidancefor establishing,
implementing, and maintaininga business impact
analysis(BIA) process consistentwith the
requirements in ISO 22301.
Sidney R. Modenesi, MBCI
https://www.linkedin.com/profile/public-profile-settings?trk=prof-edit-edit-public_profile

Mais conteúdo relacionado

Mais de Sidney Modenesi, MBCI

A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?Sidney Modenesi, MBCI
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016Sidney Modenesi, MBCI
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Sidney Modenesi, MBCI
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios noData Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios noData Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do FuturoSidney Modenesi, MBCI
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesSidney Modenesi, MBCI
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Sidney Modenesi, MBCI
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosSidney Modenesi, MBCI
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissionalSidney Modenesi, MBCI
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersSidney Modenesi, MBCI
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersSidney Modenesi, MBCI
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuitySidney Modenesi, MBCI
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301 Sidney Modenesi, MBCI
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesSidney Modenesi, MBCI
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSSidney Modenesi, MBCI
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?Sidney Modenesi, MBCI
 

Mais de Sidney Modenesi, MBCI (20)

A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?O Brasil precisa de continuidade (de negócios)?
O Brasil precisa de continuidade (de negócios)?
 
BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016BCAW - Business Continuity Awareness Week 2016
BCAW - Business Continuity Awareness Week 2016
 
Programa de Capacitação - 2016
Programa de Capacitação - 2016Programa de Capacitação - 2016
Programa de Capacitação - 2016
 
Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040Data Center and Business Continuity in 2040
Data Center and Business Continuity in 2040
 
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios noData Center do FuturoEscalabilidade, Resiliência e Continuidade de Negócios noData Center do Futuro
Escalabilidade, Resiliência e Continuidade de Negócios no Data Center do Futuro
 
ISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practicesISO 22301 and its iteration with other standards and good practices
ISO 22301 and its iteration with other standards and good practices
 
Business Continuity or Survival of Business?
Business Continuity or Survival of Business?Business Continuity or Survival of Business?
Business Continuity or Survival of Business?
 
Palestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de NegóciosPalestra sobre as relações entre Compliance e Continuidade de Negócios
Palestra sobre as relações entre Compliance e Continuidade de Negócios
 
A continuidade da nossa vida profissional
A continuidade da nossa vida profissionalA continuidade da nossa vida profissional
A continuidade da nossa vida profissional
 
A Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data CentersA Crise Energética e seus impactos nos Data Centers
A Crise Energética e seus impactos nos Data Centers
 
A Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data CentersA Crise Energética Brasileira e seu Impacto nos Data Centers
A Crise Energética Brasileira e seu Impacto nos Data Centers
 
Uma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuityUma vida em continuidade - A life in continuity
Uma vida em continuidade - A life in continuity
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
A Copa do Mundo e a GCN
A Copa do Mundo e a GCNA Copa do Mundo e a GCN
A Copa do Mundo e a GCN
 
Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301Implementing your BC program in conformity with ISO 22301
Implementing your BC program in conformity with ISO 22301
 
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das OrganizaçõesA Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
A Continuidade de Negócios Alinhada ao Planejamento Estratégico das Organizações
 
Scoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMSScoping, implementing and Improving the BCMS
Scoping, implementing and Improving the BCMS
 
BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?BCM Presentation - Investment or Expense?
BCM Presentation - Investment or Expense?
 

Iso 22317

  • 1. ISO/DTS 22317 – Uma nova norma para Análise de Impacto nos Negócios ISO DTS/22317 – A new standard for Business Impact Analysis Recentemente,quandoestavarealizando maisuma Análise de ImpactonosNegócios, provavelmente acentésimanaminha carreira, numa empresaquímicae petroquímicabrasileiraenviei um“post”no Linkedin lembrandosobre oprazofinal para o enviode comentários (Call forComments) do rascunhoda nova norma ISO/DTS 22317 - Societal security – Businesscontinuity managementsystems – Business impact analysis. Recently,whenIwasconductingaBusiness Impact Analysis,probablythe one hundredthinmycarrier,in a Brazilian chemical andpetrochemical company,Isent a post on Linkedinrememberingthe final time frame forsendingcomments(Call for Comments) onthe draftof the new standard ISO/DTS 22317 - Societal security – Business continuitymanagementsystems – Business impactanalysis. Mais ou menosaomesmotemposugiram discussões,nosgrupos doLinkedine outros, sobre a real necessidade de maisuma norma,agora para BIA,quandoeste assunto já é endereçadonasnormasISO 22301/22313. Ainda,emoutrosgruposde discussãohaviampessoaspedindo “templates”de questionáriosde BIA. Aboutthe same time,some discussions showedup,onLinkedingroupsandothers, aboutthe real needof anotherstandard, thistime forBIA, as ISO22301/22313 standardsalreadyaddressedthistopic. Yet, inotherdiscussion groupsthere were people requestingsome BIA survey “templates”. Antesde analisarmosanecessidadeounão de mais umanorma, vamosentenderoque é umaDTS – “Draft ofa Technical Specification”:  D = Draft, istoé,o textoaindaestá emelaboraçãoe na fase de “Public Draft” onde comentáriosda comunidade serãocompilados, analisadose eventualmente inseridosnotextofinal;  TS = Technical Specification, representaumacordoentre os membrosdocomitê técnicode formaque a normapoderáser aceitapara publicaçãocaso aprovadapor 2/3 dos membrosdo comitê técnicocomdireitoavoto. Portanto,caso aprovadapara publicação,a ISO22317 seráo que o nome dizuma EspecificaçãoTécnicae não umanorma certificável comoaISO22301. Before we startevaluatingthe needornot of anotherstandard,letsunderstandwhatis a DTS - “Draft ofa Technical Specification”:  D = Draft, meansthe textavailable inthe documentisat the “Public Draft” phase where commentsfrom the communitywill be compiled, analyzedandeventuallyinsertedin the final version;  TS = Technical Specification, represents an agreement between the members of a technical committee and is accepted for publication if itis approved by 2/3 of the members of the committee castinga vote. Therefore,if approvedforpublication,ISO 22317 will be exactlywhatitsname says,a Technical Specificationandnota certifiable standardlike ISO22301.
  • 2. As pessoasque questionaramanecessidade ou não da normaISO 22317 temrazão, tanto a ISO 22301 como a ISO 22313 tem capítulos específicossobre Análise de Impactonos Negócios. People whoquestionedthe needornotof the ISO 221317 standardwere correct,even ISO22301 as ISO 22313 have specific chaptersaboutBusinessImpactAnalysis. Entretanto,comoum “ISO22301 BSI Technical Expert” possoafirmarque a nenhumadasnormas(22301 ou 22313) especificamquaisinformaçõesdevemser coletadasnumaAnálise de Impactonos Negócios,nem comorealiza-la. However, asa “ISO 22301 BSI Technical Expert”I can assure you neitherthese two standards(22301 or 22313) specifywhich informationshall be collectedinaBusiness Impact Analysis,neitherhow toconductit. Atualmente,odocumentoque melhor descreve arealizaçãodaAnálise de Impacto nos Negóciosé oManual de Boa Práticasdo BCI - GoodPractice Guidelines - GPG2013 - http://www.thebci.org/index.php/resources /the-good-practice-guidelines Today, the documentthat betterdescribe how to conduct a BusinessImpactAnalysis is the BCI - Good Practice Guidelines - GPG 2013, available forfree forBCImembersand for purchase fornon BCImemberat http://www.thebci.org/index.php/resources /the-good-practice-guidelines Tanto nosmeustrabalhosde certificaçãona ISO22301 como,principalmente,nosde consultoria, é necessárioanalisaros resultadosdaúltimaAnálisede Impactonos Negócios,ouanteriores. Evenin my ISO 22301 certification assignmentsas,mainly,inmyconsulting projects,frequentlyitisneededtoanalyze the resultsof the last BusinessImpact Analysis,orolder. Frequentemente oque encontroé:  Uma definiçãode altonível elaboradapeloCIOe seus assessoresdiretosestabelecendo tiersde recuperaçãopara as principaisaplicaçõessupostamente críticas para a organizaçãoe com istodefinindoasestratégiasde recuperaçãopara o DRP e nãopara os negócios. De TIC para os negóciose nãodos negóciospara TIC;  Ou uma listade valoresdosativos de TIC feitapeloCSOpara atender aos requisitosdaISO27001:2005 e daí tentar estabelecerosimpactos nos negócios;  Ou uma análise que nãoconsidera cenáriosde indisponibilidade,como se o incidente de interrupção ocorresse emtodosos locaisda empresaaomesmotempo,istono caso de uma empresamulti-locais,é claro. AndfrequentlywhatIfindis:  A highlevel definitiondone bythe CIO andits directassessors establishingrecoverytiersforthe mainapplications supposedly critical for the businessandfromhere definingrecoverystrategiesforthe DRP and notfor the business. From ICT to businessinsteadof the other wayround;  Or a listof assetvalueselaborated by the CSO toattendthe ISO 27001:2005 requirementsandfrom there tryingto establishthe impacts on the businesses;  Or an analysesthatdoesnot take intoaccount the disruptive scenario, as all disruptionswouldtake place in all corporate facilities atthe same time,ina multi facilities environment,of course.(NOTE:I´m not talkingaboutearthquakes, tsunamis,majorcalamitiesetc.) E estas observaçõesnãoacontecemsóno Brasil. Frequentemente,nosmeus encontrosperiódicoscomosdemais In addition,myfindingsdonothappenonly inBrazil. Frequently,inmytimelymeetings withall otherSungardAvailabilityServices
  • 3. RepresentantesAutorizadasdaSungard AvailabilityServices nomundo onde discutimosmaturidades,necessidadese tendênciasdosmercadoslocais de GCN observamoscomportamentose práticas semelhantes. AuthorizedRepresentativesall overthe worldwhere we discussmaturities,needs and trendsinthe BCM local marketswe observe thatthe patternand practices are aboutthe same worldwide. Ou seja, naminhaavaliação, o entendimentodoque é,paraque serve e como deve serrealizadaumaAnálise de Impactonos Negóciosnãoé claro para muitosprofissionaisde Continuidadede Negóciosaoredordo mundo. Thismeans, inmy analysis,the full understandingof what´sBIA,whatBIA isfor, how a BIA shall be conductedisnot clearfor manyBusinessContinuitypractitionersall overthe world. Daí a necessidade daISO22317, para fornecerorientaçõesdetalhadaspara estabelecer,implantare manterum processode Análise de Impactonos Negócios consistente comosrequisitosda ISO22301. So,there is clearlythe needof ISO22317, to providedetailed guidancefor establishing, implementing, and maintaininga business impact analysis(BIA) process consistentwith the requirements in ISO 22301. Sidney R. Modenesi, MBCI https://www.linkedin.com/profile/public-profile-settings?trk=prof-edit-edit-public_profile