Más contenido relacionado La actualidad más candente (12) Similar a Hur gör man en effektiv it revision av bcm (20) Más de Transcendent Group (20) Hur gör man en effektiv it revision av bcm3. Om mig
• partner på Transcendent Group
• tjänsteområdesansvarig IT-
revision
• 14 års arbetslivserfarenhet som
IT-revisor och rådgivare
©TranscendentGroupSverigeAB2015
6. Inriktning och omfattning
• Vilka väsentliga risker skall vår revision adressera?
• Vad är det jag som revisor skall uttala mig om när det gäller
kontinuitetshantering?
• Vilken kompetens behövs för att kunna utföra en granskning av
kontinuitetshantering?
• Hur lång tid tar det att genomföra en granskning av
kontinuitetshantering?
©TranscendentGroupSverigeAB2015
9. Teknikutveckling…
• Virtualisering av servrar och klienter (kraftfull serverhårdvara
och mjukvara)
• Molnbaserade tjänster (tillhandahållandet av IT-tjänster över
Internet
• BYOD (smarta telefoner)
• Sociala medier
• Big Data
©TranscendentGroupSverigeAB2015
12. Definition kontinuitetsplanering
• Kontinuitetsplanering är en metod för att säkerställa företagets
leveransförmåga genom att planera för fortsatt verksamhet vid förlust
av operativ förmåga. Det vill säga att trots avbrott kunna leverera de
tjänster och produkter som är viktigast för företaget och dess kunder.
• Enligt ISO/IEC 27000 standardens definition av begreppet
kontinuitetsplanering så är det företagets verksamhet i kontinuitet som
ska säkerställas. En kontinuitetsplan innefattar således mer än en
kontinuitetsplan för företagets IT-verksamhet.
• Det övergripande målet med kontinuitetshantering är att minska
konsekvenserna av avbrott och avbrottstiderna där målsättningen i
förlängningen är att skydda organisationens intressenter, rykte,
varumärke och värdeskapande aktiviteter.
©TranscendentGroupSverigeAB2015
14. Analys av
affärs-
konsekvenser
Test av plan
Val av strategi
och lösning
Kritiska
processer,
tjänster och
funktioner
Kontinuitetshantering
©TranscendentGroupSverigeAB2015
BCM
Upprätta
planer
Utbildning
och underhåll
15. ©TranscendentGroupSverigeAB2015
Act
Granskning av
ledning
Förbättring
Krav från
verksamheten
Identifiera gap
Data
IT beredskaps
och
återställnings-
plan
Mätning av
prestanda
Förståelse för
kritiska IT-
tjänster och IT-
kontinuitetskrav
IT kontinuitets
policy/styr-
dokument
Konsekvens-
analys
Leverantörer
Kriterier för
uppföljning av
IT beredskap
Lokaler
Krav på resiliens
Förmåga och
kunskap
Teknik
Kultur,
Kompetens och
utbildnings-
program
Dokument-
kontroll
IT kontinuitets-
process
Implementering
IT strategier
Test och övning
Intern och extern
revision och
granskning
Bevakning,
upptäckt och
analys av hotbild
Skapa IT
kontinuitets-
strategi
IT kontinuitetsplan
sammanställning,
underhåll och
implementation
Uppföljning och
utvärdering
Löpande
Årlig uppföljning
Plan Do Check
ISO27031
17. Hur kommer då IT in i bilden?
©TranscendentGroupSverigeAB2015
18. Utgångspunkt
• Organisationens affärs- och verksamhetsmål
• Identifiera affärskritiska processer (och
infrastruktur) som stöder våra mål
• Bryter ned kritiska processer i kritiska aktiviteter
• Identifierar interna och externa resurser som
behövs för att utföra aktiviteter (ex. personal,
lokal, IT-system, leverantörer).
©TranscendentGroupSverigeAB2014
19. • Definiera maximala tillåtna avbrottstiden för
kritiska aktiviteter och effekten av dessa
• Definiera mål för återställningstid som ställs på
respektive resurs.
• Definiera krav för tillgänglighet av data för att
medge funktionalitet i den kritiska aktiviteten
©TranscendentGroupSverigeAB2014
Kravställning
RECOVERY TIME OF
OBJECTIVEC
RECOVERY POINT OF
OBJECTIVECC
Inventera de resurser som identifierats av verksamheten
och som har en direkt koppling till IT-verksamheten Ingångsvärde för IT
21. Erfarenheter från granskningar
Fokus på IT
• Informationsflöden och beroenden är oftast bristfälligt dokumenterade
(input – bearbetning – output)
• Befintligt IT-miljö är ej dokumenterad (IT-infrastruktur, datahallar,
nätverk, telekom) – kan medföra svårigheter i att identifiera IT-resurser
• Affärskonsekvensanalyser är begränsade i sin omfattning
• Genomförda affärskonsekvensanalyser (BIA) kopplas ej till krav
avseende RPO och RTO. BIA kan utgöra grund för kravställandet av
servicenivåer (SLA) för resurser.
• Konsekvensanalyser och riskbedömningar för IT-resurser är bristfälligt
dokumenterade och ofta begränsade till applikationer. IT-resurser kan
grupperas utifrån lokaler, leverantör, teknik, personal och kompetens*
©TranscendentGroupSverigeAB2015
* ISO 27031
22. Erfarenheter från granskningar
Fokus på IT
• IT-resurser är ej tydligt kopplade till affärskritiska processer, aktiviteter
och resurser.
• Kontinuitetstrategier bör utgå från identifierade kritiska IT-resurser
och bör vara grupperade (ta del av eventuell tjänstekatalog inom IT)
• Outsourcing kan vara ett alternativ för att lösa krav på tillgänglighet
(eg. maximala avbrottstider) och då blir upprättat avtal väsentligt.
• IT bör ta fram reserv-, återställnings- och återgångsrutiner för kritiska
IT-resurser
• Scenarioanalyser för att upprätthålla IT-kontinuitet av kritiska resurser
kan vara ett effektivt arbetssätt
©TranscendentGroupSverigeAB2015
* ISO 27031
23. Kontinuitetsplan (BCP)
Återställa verksamheten
• Syfte, mål, omfattning och målgrupp
• Referenser (ex. BCP Policy, verksamhetsplaner,
affärskonsekvensanalyser)
• Förutsättningar för aktivering och inaktivering av plan
• Roller och ansvarsområden (kommunikation med media,
aktivering av plan)
• Kontaktuppgifter
• Fysiska lokaler och alternativa arbetsplatser
• Maximala avbrottstider per aktivitet (RTO)
• Reservrutiner per aktivitet (infrastruktur, system, personal,
information)
©TranscendentGroupSverigeAB2015
24. Kontinuitetsplan (DRP)
Plan för att återställa IT-infrastruktur
• Syfte, mål, omfattning och målgrupp
• Referenser (ex. BCP, Policy mm.)
• Beskrivning av IT-miljön (IT-infrastruktur, datahallar, nätverk,
telekom)
• Identifierade IT-resurser för verksamhetskritiska processer och
aktiviteter (ex. teknik, personal, lokal, leverantör)
• Roller och ansvarsområden (kommunikation med media,
aktivering av plan)
• Reserv-, återställnings- och återgångsrutiner för kritiska IT-
resurser
• Kontaktuppgifter
©TranscendentGroupSverigeAB2015
25. DRP
Återställningsplaner för
• Nätverk (WAN, LAN)
• Telefoni
• Personal
• Hårdvara (inkl. avtal med leverantör)
• Säkerhetskopiering (frekvens, lagring,
återläsning)
• Plattform och operativsystem
• Databaser
• Applikationer
• Datahall och reservarbetsplatser
• CMDB (konfiguration och dokumentation)
• Help desk
• Utvecklingsverktyg
• Skrivare
©TranscendentGroupSverigeAB2015
26. Standarder
• Förordningen (2006:942) om krisberedskap och höjd beredskap
• SS-EN ISO 22300:2014 Samhällsäkerhet - Terminologi (ISO 22300:2012)
• SS-EN ISO 22301:2014 Samhällssäkerhet - Ledningssystem för kontinuitet – Krav
• SS 22304:2014 Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN
ISO 22301
• SS-EN ISO 22313:2014 Samhällssäkerhet - Ledningssystem för kontinuitet - Riktlinjer
(ISO 22313:2012)
• ISO/TDS 22317 Societal security -- Business continuity management systems -- Business
impact analysis (BIA)
• SS-ISO 22398:2013 Samhällssäkerhet - Vägledning för övningar (ISO 22398:2013, IDT)
• SS-ISO 22397:2014 Samhällssäkerhet - Vägledning för att upprätta privat-offentlig
samverkan (ISO 22397:2014, IDT)
• ISO 27031 – Guidelines for information and communication technology readiness for business
continuity
• Finansinspektionen FFFS 2014:4
• EBA: GL 44
• BITS
• COSO
• ITIL
©TranscendentGroupSverigeAB2015