ISO/TC 292 - Business continuity management systems – Business impact analysis

ISO/DTS 22317 – Uma nova norma para Análise de Impacto nos Negócios ISO DTS/22317 – A new standard for Business Impact Analysis Recentemente, quando estava realizando mais uma Análise de Impacto nos Negócios, provavelmente a centésima na minha carreira, numa empresa química e petroquímica brasileira enviei um “post” no Linkedin lembrando sobre o prazo final para o envio de comentários (Call for Comments) do rascunho da nova norma ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Recently, when I was conducting a Business Impact Analysis, probably the one hundredth in my carrier, in a Brazilian chemical and petrochemical company, I sent a post on Linkedin remembering the final time frame for sending comments (Call for Comments) on the draft of the new standard ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis. Mais ou menos ao mesmo tempo sugiram discussões, nos grupos do Linkedin e outros, sobre a real necessidade de mais uma norma, agora para BIA, quando este assunto já é endereçado nas normas ISO 22301/22313. Ainda, em outros grupos de discussão haviam pessoas pedindo “templates” de questionários de BIA. About the same time, some discussions showed up, on Linkedin groups and others, about the real need of another standard, this time for BIA, as ISO 22301/22313 standards already addressed this topic. Yet, in other discussion groups there were people requesting some BIA survey “templates”. Antes de analisarmos a necessidade ou não de mais uma norma, vamos entender o que é uma DTS – “Draft of a Technical Specification: D = Draft, isto é, o texto ainda está em elaboração e na fase de “Public Draft” onde comentários da comunidade serão compilados, analisados e eventualmente inseridos no texto final; TS = Technical Specification, representa um acordo entre os membros do comitê técnico de forma que a norma poderá ser aceita para publicação caso aprovada por 2/3 dos membros do comitê técnico com direito a voto. Portanto, caso aprovada para publicação, a ISO 22317 será o que o nome diz uma Before we start evaluating the need or not of another standard, lets understand what is a DTS - “Draft of a Technical Specification”: D = Draft, means the text available in the document is at the “Public Draft” phase where comments from the community will be compiled, analyzed and eventually inserted in the final version; TS = Technical Specification, represents an agreement between the members of a technical committee and is accepted for publication if it is approved by 2/3 of the members of the committee casting a vote. Therefore, if approved for publication, ISO 22317 will be exactly what its name says, a

Transcript of ISO/TC 292 - Business continuity management systems – Business impact analysis

Page 1: ISO/TC 292 - Business continuity management systems – Business impact analysis

ISO/DTS 22317 – Uma nova norma para

Análise de Impacto nos Negócios

ISO DTS/22317 – A new standard for Business

Impact Analysis

Recentemente, quando estava realizando mais uma Análise de Impacto nos Negócios, provavelmente a centésima na minha carreira, numa empresa química e petroquímica brasileira enviei um “post” no Linkedin lembrando sobre o prazo final para o envio de comentários (Call for Comments) do rascunho da nova norma ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis.

Recently, when I was conducting a Business Impact Analysis, probably the one hundredth in my carrier, in a Brazilian chemical and petrochemical company, I sent a post on Linkedin remembering the final time frame for sending comments (Call for Comments) on the draft of the new standard ISO/DTS 22317 - Societal security – Business continuity management systems – Business impact analysis.

Mais ou menos ao mesmo tempo sugiram discussões, nos grupos do Linkedin e outros, sobre a real necessidade de mais uma norma, agora para BIA, quando este assunto já é endereçado nas normas ISO 22301/22313. Ainda, em outros grupos de discussão haviam pessoas pedindo “templates” de questionários de BIA.

About the same time, some discussions showed up, on Linkedin groups and others, about the real need of another standard, this time for BIA, as ISO 22301/22313 standards already addressed this topic. Yet, in other discussion groups there were people requesting some BIA survey “templates”.

Antes de analisarmos a necessidade ou não de mais uma norma, vamos entender o que é uma DTS – “Draft of a Technical


D = Draft, isto é, o texto ainda está em elaboração e na fase de “Public Draft” onde comentários da comunidade serão compilados, analisados e eventualmente inseridos no texto final;

TS = Technical Specification, representa um acordo entre os membros do comitê técnico de forma que a norma poderá ser aceita para publicação caso aprovada por 2/3 dos membros do comitê técnico com direito a voto.

Portanto, caso aprovada para publicação, a ISO 22317 será o que o nome diz uma

Before we start evaluating the need or not of another standard, lets understand what is a DTS - “Draft of a Technical Specification”:

D = Draft, means the text available in the document is at the “Public Draft” phase where comments from the community will be compiled, analyzed and eventually inserted in the final version;

TS = Technical Specification, represents an agreement between the members of a technical committee and is accepted for publication if it is approved by 2/3 of the members of the committee casting a vote.

Therefore, if approved for publication, ISO 22317 will be exactly what its name says, a

Page 2: ISO/TC 292 - Business continuity management systems – Business impact analysis

Especificação Técnica e não uma norma certificável como a ISO 22301.

Technical Specification and not a certifiable standard like ISO 22301.

As pessoas que questionaram a necessidade ou não da norma ISO 22317 tem razão, tanto a ISO 22301 como a ISO 22313 tem capítulos específicos sobre Análise de Impacto nos Negócios.

People who questioned the need or not of the ISO 221317 standard were correct, even ISO 22301 as ISO 22313 have specific chapters about Business Impact Analysis.

Entretanto, como um “ISO 22301 BSI Technical Expert” posso afirmar que nenhuma das normas (22301 ou 22313) especificam quais informações devem ser coletadas numa Análise de Impacto nos Negócios, nem como realiza-la.

However, as a “ISO 22301 BSI Technical Expert” I can assure you neither these two standards (22301 or 22313) specify which information shall be collected in a Business Impact Analysis, neither how to conduct it.

Atualmente, o documento que melhor descreve a realização da Análise de Impacto nos Negócios é o Manual de Boa Práticas do BCI - Good Practice Guidelines - GPG 2013, disponível gratuitamente para os membros do BCI e vendido aos não membros em

Today, the document that better describes how to conduct a Business Impact Analysis is the BCI - Good Practice Guidelines - GPG 2013, available for free for BCI members and for purchase for non BCI member at

Tanto nos meus trabalhos de certificação na ISO 22301 como, principalmente, nos de consultoria, é necessário analisar os resultados da última Análise de Impacto nos Negócios, ou anteriores.

Even in my ISO 22301 certification assignments as, mainly, in my consulting projects, frequently it is needed to analyze the results of the last Business Impact Analysis, or older.

Frequentemente o que encontro é:

Uma definição de alto nível elaborada pelo CIO e seus assessores diretos estabelecendo tiers de recuperação para as principais aplicações supostamente críticas para a organização e com isto definindo as estratégias de recuperação para o DRP e não para os negócios. De TIC para os negócios e não dos negócios para TIC;

Ou uma lista de valores dos ativos de TIC feita pelo CSO para atender aos requisitos da ISO 27001:2005 e daí tentar estabelecer os impactos nos negócios;

Ou uma análise que não considera cenários de indisponibilidade, como se o incidente de interrupção ocorresse em todos os locais da empresa ao mesmo tempo, isto no caso de uma empresa multi-locais,

And frequently what I find is:

A high level definition done by the CIO and its direct assessors establishing recovery tiers for the main applications supposedly critical for the business and from here defining recovery strategies for the DRP and not for the business. From ICT to business instead of the other way round;

Or a list of asset values done by the CSO to attend the ISO 27001:2005 requirements and from there trying to establish the impacts on the businesses;

Or an analyses that does not take into account the disruptive scenario, as all disruptions would take place in all corporate facilities at the same time, in a multi

Page 3: ISO/TC 292 - Business continuity management systems – Business impact analysis

é claro. (NOTA: Não estou me referindo a terremotos, tsunamis, grandes calamidades etc.)

facilities environment, of course. (NOTE: I´m not talking about earthquakes, tsunamis, major calamities etc.)

E estas observações não acontecem só no Brasil. Frequentemente, nos meus encontros periódicos com os demais Representantes Autorizadas da Sungard Availability Services no mundo onde discutimos maturidades, necessidades e tendências dos mercados locais de GCN observamos comportamentos e práticas semelhantes.

In addition, my findings do not happen only in Brazil. Frequently, in my timely meetings with all other Sungard Availability Services Authorized Representatives all over the world where we discuss maturities, needs and trends in the BCM local markets we observe that the pattern and practices are about the same worldwide.

Ou seja, na minha avaliação, o entendimento do que é, para que serve e como deve ser realizada uma Análise de Impacto nos Negócios não é claro para muitos profissionais de Continuidade de Negócios ao redor do mundo.

This means, in my analysis, the full understanding of what´s BIA, what BIA is for, how a BIA shall be conducted is not clear for many Business Continuity practitioners all over the world.

Daí a necessidade da ISO 22317, para fornecer orientações detalhadas para estabelecer, implantar e manter um processo de Análise de Impacto nos Negócios consistente com os requisitos da ISO 22301.

Therefore, there is clearly the need of ISO 22317, to provide detailed guidance for establishing, implementing, and maintaining a business impact analysis (BIA) process consistent with the requirements in ISO 22301.

Sidney R. Modenesi, MBCI