The Business Continuity Plan and Management System for Information Security ISO 27001:2005
Because the BCP
The main reasons for undertaking a project of BCP:
• Increasing dependence in the last years of the business processes on ICT with increasing risk loss of service. • Recognition
growing influence that an unforeseen event could have on business.
• Need to establish a process to follow in the event of a destructive event.
• Need to develop an effective strategy for backup and recovery in the event of a calamity. • Interest
to lower costs and losses from destructive events.
• Avoid business losses resulting from destructive events.
Business Continuity Plan means to draw up a plan with the aim to allow the organization to continue operations necessary for the maintenance or growth of their business in any critical condition. One such project includes a ristrutturazione ed ampliamento di tutte le procedure interne, una valutazione dei sistemi aziendali (applicazioni, infrastrutture tecnologiche, assetto organizzativo) ed una fase di adeguamento e formazione del personale.
Business Continuity Plan (BCP) è il termine utilizzato per indicare le attività finalizzate a garantire il proseguo del business dell’azienda a fronte di eventi classificati, ovvero l’insieme delle attività volte a garantire la continuità dei processi aziendali che concorrono al “core business” dell’azienda. Vengono quindi coperti anche quegli aspetti non prettamente informatici, quali, per esempio risorse umane, interfacciamento verso i fornitori, aspetti comunicativi in caso di crisi.
Questo piano consente di predisporre quanto necessario per:
1. Reagire per assicurare il ripristino dei processi critici
2. Guidare le scelte in caso di crisi
3. Definire procedure alternative per assicurare l’operatività
4. Ridurre il tempo di interruzione dei processi aziendali critici
5. Assicurare che le procedure di ripristino siano efficaci
Tale documento deve possedere una portata operativa immediata. In sostanza, un Business Continuity Plan efficace si basa sull’accettare come fatto che esiste sempre un elemento di rischio: il punto è localizzarlo, valutarlo, stimarne gli effetti e decidere se e come assumersi il rischio. Tutto ciò che è need for business continuity processes is essential, both to support, must be reviewed and taken into account in the definition of a business continuity plan. Whereas the competitive landscape that affects the consistency of the business is constantly changing due to exogenous factors (reaction to market changes) and endogenous (reorganization) the continuity plan can be likened to a snapshot of the company and therefore not valid until The main elements do not change. From the above it follows that surely the definition of a business continuity plan is based on a need for reliability of systems not only as a response to IT issues but also as availability dei sistemi a supporto dei Processi di Business. I confini tematici e metodologici del "Business Continuity Plan" hanno subito negli ultimi anni un significativo mutamento, muovendosi da un'interpretazione rivolta essenzialmente al Disaster Recovery, focalizzato univocamente su information technology and system recovery, a tutti gli aspetti del business spaziando, quindi, dai metodi di alta affidabilità dei sistemi, fino alle gestione delle risorse umane. Si è maturata nel tempo la coscienza di essere di fronte ad un processo di gestione che deve essere costantemente revisionato, aggiornato e testato al fine di creare massima aderenza alle esigenze di business
Il Business Continuity Plan gestisce, quindi, anche i processi di business correlati logical and physical infrastructure of Information Technology. In this perspective (and only this), the BCP is in effect an instrument of control of the ISMS (System Management Information Security), implemented in accordance with international standards ISO 27001:2005. In particular, Appendix A (paragraph A.14) of ISO 27001:2005 refers explicitly to the Business Continuity Plan recommending that "include information security in the process for managing business continuity." This means that once set up a business continuity plan, the part thereof relating to information security is in effect a control richiesto esplicitamente dalla ISO 27001.
La sicurezza delle informazioni è, quindi, una responsabilità gestionale, e non un fattore esclusivamente tecnologico. La tutela dei dati personali e delle informazioni di business (know-how) è una priorità in tutti i settori di attività. Gli organismi normatori nazionali ed internazionali hanno emanato disposizioni per ridurre il fattore di rischio legato alla gestione delle informazioni, ad esempio, il nuovo Codice sulla Privacy, o la nuova versione del Trattato di Basilea, che hanno implicazioni per tutti i settori (finanza, manifatturiero, servizi, PP.AA.).
Con gli standard internazionali ISO 27001, le organizzazioni hanno la possibilità di affrontare la gestione delle informazioni ed il tema della loro sicurezza delle informazioni in modo organico, considerando tutti gli elementi che possono avere impatti (risorse umane, processi operativi, sistemi tecnologici, eventi interni ed esterni), focalizzandosi sugli aspetti gestionali.
La Metodologia
Qualunque sia la realtà che si vuole analizzare, esiste sempre e comunque un punto di partenza: la definizione dei processi e i relativi livelli di servizio.
Nella costruzione di un Business Continuity Plan e, in seconda battuta, del Sistema di Gestione per la Sicurezza delle Informazioni, non si può pensare di limitare l'identificazione dei processi a quelli dell'infrastruttura tecnologica: le tecnologie costituiscono solamente uno degli aspetti che influenzano il corretto funzionamento di un processo. Essenzialmente il punto di partenza è l'identificazione delle esigenze di business: quali strumenti vengono utilizzati dai responsabili dell’organizzazione? Chi sono i process owner? Esiste una procedura che deve essere seguita per svolgere tale attività? L’esistenza di un sistema informativo di supporto alle attività implica l’analisi dei componenti applicativi che forniscono il sevizio; in questo caso specifico la maggior parte degli sforzi per la definizione del piano, devono essere incentrati nell'analisi dell'applicativo: poiché ci si appoggia su un sistema informativo per la totalità o comunque buona parte activities, it is clear that the system is at the heart of the business. Often the determination of a guaranteed level is perceived simply as an active contract when you establish a relationship with an outside vendor, but not deemed necessary / appropriate if you move within the company. In the interests of maximizing efficiency and effectiveness it seems desirable to the systematic application of rules and safeguards similar to those used in dealing with external suppliers.
The level of service associated with each process affects each application component: ensuring a level of service to the whole process is about ensuring service levels of each component.
phases of the project
Phase 1 The first task is to "prepare" the BCP project. This means defining the activities of the Project Initiation and the Organization of them.
Step 2 Review the different types of emergencies that may occur and determine possible risks for the different processes.
Step 3 Identification of backup and recovery strategy to reduce the effects of a possible emergency. Step 4
Development of procedures to be performed where human life may be at risk.
Step 5 Develop detailed procedures to recover il “business”. .
Fase 6
Prova dettagliata della fase del Business Recovery con accurate simulazioni.
Fase 7
Preparazione di tutto il personale all’uso delle procedure per effettivamente gestire il processo di Business Recovery.
Fase 8
Il BCP deve essere considerato un documento dinamico e dunque aggiornato per riflettere tutti i cambiamenti al processo aziendale e strutturale.