Ads 468x60px

keskiviikko 25. heinäkuuta 2012

Katsaus jatkuvuuden hallinnan standardiin – BS ISO 22301

Loppukeväästä, tarkemmin sanottuna 16. toukokuuta, julkaistiin jälleen uusi ISO –standardi. Tällä kertaa kyseessä oli ensimmäinen kansainvälinen standardi organisaatioiden jatkuvuudenhallintaan nimeltään ”BS ISO 22301 - Societal security — Business continuity management systems — Requirements”. Standardin julkaisu sivuutettiin niin tässä kuin monissa muissa tietoturvablogeissa. Joidenkin huhujen mukaan [1], kuitenkin tulevan ISO 27002 (tietoturvallisuuden hallinta) standardin päivityksen myötä, myös ISO 27002 standardi jatkossa viittaisi jatkuvuudenhallinnan osalta BS ISO 22301 standardiin ja näin erottaisi osuuden omaksi kokonaisuudeksi. Tästä johtuen myös BS ISO 22301 tulisi olla osa tietoturvapäällikköjen työkalupakkia ja osaamisaluetta.

Standardi pohjautuu vahvasti 2006 julkaistuun British Standard Instituten BS 25999 –standardiin. Nyt ISO adoptoi standardin omiin nimiinsä pienin muutoksin, vastaavaan tapaan kuten ISO 27002 standardin tapauksessa (pohjautuu vanhaan BS 7799 –standardiin).

Standardin ajatuksena on tukea organisaatioita jatkuvuuden hallintajärjestelmän luomisessa. Tarkkoja ”tee näin ja sitten näin” ohjeita on siis turha standardista lähteä kaivamaan.Vaatimukset keskittyvät pääosin hallintajärjestelmän vaatimien prosessien ja dokumenttien olemassaoloon niiden sisällön sijaan. Tämä on yleensä väistämätön lopputulos siitä kun luodaan viitekehys, jonka tulee sopia niin pienien kuin suurten organisaatioiden käyttöön, toimialasta riippumatta. Ajatus on, että organisaatio itse määrittää prosessien ja dokumentaation sisällön toimintaympäristön ja johdon tavoitteiden mukaisesti, niin että lopputuloksena on hallintajärjestelmä joka istuu kontekstiin. Myös ajatus hallintajärjestelmästä organisaation jatkuvuuteen liittyen on monille uutta (hallintajärjestelmä ajatus oli jo tosin mukana BS 25999 – standardissa). Standardin luojien mielestä, samoin kuin useiden organisaatioiden jatkuvuuteen keskittyneiden ammattilaisten mielestä, aikaisempi suunnittelu lähestyminen ei ole riittävä. Tässä tehdään ero jatkuvuussuunnittelun ja jatkuvuudenhallinnan välillä; jatkuvuussuunnittelu on osa jatkuvuudenhallintaa mutta ei synonyymi. Siinä missä jatkuvuussuunnittelu on ollut luonteeltaan kovin dokumentti keskeistä ja usein jäänyt kerta rutistukseksi, jonka aikana kasa dokumentteja on luotu hyllyyn pölyttymään, jatkuvuudenhallinta pyrkii saamaan organisaation jatkuvuuden turvaamisen sisällytettyä osaksi organisaatiota ja sen kehittämisestä jatkuvaa.

Huomioitavaa standardissa on myös standardiperhe, johon uusi standardi kuuluu. Toisin kuin ISO 27000-standardit, jotka ovat ”Information technology” standardeja, on BS ISO 22301 osa ”Societal security” perhettä. Yhtenä ajatuksena BS ISO 22301 standardissa onkin juuri yhteiskunnan jatkuvuuden, tai ”kimmoisuuden” (eng. resilience) lisääminen. Yhteiskunnan toimivuus nojaa suurelta osin eri julkshallinnon sekä yksityisen sektorin tuottamien palveluiden toimivuuteen. Kohentamalla organisaatioiden jatkuvuudenhallintaa, koko yhteiskunnan ongelmien sietokyky kohenee. Tulevaisuus näyttää miten hyvin suomalaiset organisaatiot tulevat standardin omaksumaan ja mikä sen rooli tulee olemaan yhteiskunnan sietokyvyn kohentamisessa. Perustuen ensimmäisten kuukausien aikana tulleisiin tarjouspyyntöihin, ainakin osa asiakkaista on julkaisun huomanneet ja kokeneet hyödylliseksi...


Marko

[1] http://www.infosecisland.com/blogview/18345-ISO-27002--What-Will-the-Next-Revision-Bring.html

Ei kommentteja:

Lähetä kommentti