In 31.10.2019 ISO a publicat noua editie a standardului ISO 22301:2019 ”Security and resilience — Business continuity management systems — Requirements”.
Adoptarea Anexei SL - High-Level Structure reprezinta unul dintre principale motivele pentru care standardele ISO privind sistemele de management au fost revizuite in ultimii ani.
Anexa SL reprezinta este o structura unificata si o baza pentru toate standardele ISO pentru sisteme de management.
Versiunea din 2012 a ISO 22301 era deja aliniata la Anexa SL.
Aceste cuvinte definesc ce aduce nou aceasta revizuire a ISO 22301 din 2019 pentru managementul continuitatii afacerii. S-a urmarit reintoarcerea si concentrarea pe esenta managementului continuitatii afacerii.
Prin urmare, in cadrul acestei revizii, in loc sa rescrie intregul standard, grupul de lucru s-a concentrat pe claritate. Multe sectiuni redundante au fost simplificate, definitiile au devenit mai consistente si textul a devenit mai logic.
Schema modelului PDCA a fost eliminata, deoarece diagramele sunt dificil de standardizat si duc de obicei la discutii si interpretari interminabile. Dar clauzele 4 - 10 acopera componentele PDCA, ca mai inainte.
Nu exista referinte normative in acest document.
In clauza 3 „Termeni si definitii” mai multi termeni au fost modificati, redefiniti, eliminati dar au si fost adaugati unii noi.
Spre exemplu termenul „apetit pentru risc” a fost eliminat din standard. In versiunea 2012, „apetitul pentru risc” a fost definit ca „marimea si tipul de risc pe care o organizatie este dispusa sa le accepte in continuare”.
Noul standard a eliminat acest termen. Nu numai ca „apetitul pentru risc” este o problema destul de subiectiva, dar este, in cele din urma, irelevant. Ceea ce conteaza nu este riscul pe care este organizatia este dispusa sa il asume, ci nivelul la care impactul de a nu relua activitatile ar deveni inacceptabil pentru o organizatie.
Multe documente cerute explicit in editia anterioara nu mai sunt obligatorii, cum ar fi procedurile de identificare a obligatiilor de conformare si documentele pentru analiza impactului asupra afacerilor si evaluarea riscurilor (desi ar fi o buna practica utilizarea acestora).
Unele cerinte sunt mai putin prescriptive.
Sectiunea 4.1 este un bun exemplu. In timp ce versiunea din 2012 prevede ce trebuie sa faca (si sa se documenteze) o organizatie, pentru a intelege organizatia si contextul acesteia, noua versiune nu face decat sa precizeze necesitatea de a „determina elemente externe si interne”, cu specificarea a ceea ce presupune acest fapt. Standardul nu precizeaza aspectele de care trebuie sa se tina seama si nici nu include o cerinta de documentare a acestui proces.
O alta cerinta care a fost simplificata este angajamentul conducerii la cel mai inalt nivel (5.2). Atat versiunea veche, cat si cea noua cere managementului la cel mai inalt nivel sa dovedeasca angajament si leadership. Cu toate acestea, in timp ce vechea versiune a impus managementului de varf sa se „angajeze activ in exercitare si testare”, noua versiune este mai pragmatica in abordare si se concentreaza pe ceea ce este cu adevarat necesar pentru a mentine un sistem eficace.
Similar s-a abordat si sectiunea 7.4 privind comunicarea, noua versiune fiind semnificativ mai putin prescriptiva.
Asta inseamna ca organizatiile au acum mai multa libertate de a adopta abordari care se potrivesc cel mai bine contextelor lor.
A fost adaugata o noua clauza, care necesita planificarea modificarilor la BCMS (clauza 6.3) Desi, din punct de vedere tehnic, aceasta cerinta este noua, continutul clauzei nu ar trebui sa fie o surpriza pentru nimeni.
Resursele necesare sunt acum identificate pe baza solutiilor de continuitate in loc de strategii de continuitate.
Sectiunea 8.2.2 privind analiza impactului asupra afacerilor (BIA) prevede acum ca BIA ar trebui sa ia categoriile de impact ca punct de plecare. In timp ce multe organizatii definesc deja categoriile de impact in BIA lor, noua versiune a standardului impune acum ca acest lucru sa fie obligatoriu. Au fost adaugate note referitoare la termenii MTPD si RTO (ambii eliminati din clauza privind termenii si definitiile).
Sectiunea 8.3 a fost redenumita din „Strategia de continuitate a afacerii” in „Strategii si solutii de continuitate a afacerii”, evidentiind in 8.3.2 necesitatea identificarii si selectiei strategiilor si solutiilor. Acest lucru reflecta cresterea pragmatismului standardului, accentul nu se rezuma doar la dezvoltarea unei mari strategii de asigurare a continuitatii afacerii, ci mai degraba la gasirea de solutii pentru riscuri si impacturi specifice.
Clauza 8.4 (denumita anterior „Stabilirea si implementarea procedurilor de continuitate a activitatii”) a fost redenumita ca „Planuri si proceduri de continuitate a afacerii”, cu accent pe „Structura de raspuns”(8.4.2), „Avertisment si comunicare”(8.4.3), „Planuri de continuitate a afacerii”(8.4.4) si „Recuperare” (8.4.5).
Restul clauzelor au fost simplificate, iar cerintele aferente au devenit mai practice si mai prietenoase pentru firmele care implementeaza standardul.
Standardul ISO 22313 care dateaza din 2012, va fi, de asemenea, actualizat pentru a reflecta modificarile standardului ISO 22301.
Toate certificarile ISO 22301: 2012 vor fi automat retrase la sfarsitul perioadei de tranzitie (31.10.2022).
In cadrul acestei perioade de tranzitie:
Adoptarea Anexei SL - High-Level Structure reprezinta unul dintre principale motivele pentru care standardele ISO privind sistemele de management au fost revizuite in ultimii ani.
Anexa SL reprezinta este o structura unificata si o baza pentru toate standardele ISO pentru sisteme de management.
Versiunea din 2012 a ISO 22301 era deja aliniata la Anexa SL.
Principalele modificari ale ISO 22301:2019
Simplificat si practic.Aceste cuvinte definesc ce aduce nou aceasta revizuire a ISO 22301 din 2019 pentru managementul continuitatii afacerii. S-a urmarit reintoarcerea si concentrarea pe esenta managementului continuitatii afacerii.
Prin urmare, in cadrul acestei revizii, in loc sa rescrie intregul standard, grupul de lucru s-a concentrat pe claritate. Multe sectiuni redundante au fost simplificate, definitiile au devenit mai consistente si textul a devenit mai logic.
Schema modelului PDCA a fost eliminata, deoarece diagramele sunt dificil de standardizat si duc de obicei la discutii si interpretari interminabile. Dar clauzele 4 - 10 acopera componentele PDCA, ca mai inainte.
Nu exista referinte normative in acest document.
In clauza 3 „Termeni si definitii” mai multi termeni au fost modificati, redefiniti, eliminati dar au si fost adaugati unii noi.
Spre exemplu termenul „apetit pentru risc” a fost eliminat din standard. In versiunea 2012, „apetitul pentru risc” a fost definit ca „marimea si tipul de risc pe care o organizatie este dispusa sa le accepte in continuare”.
Noul standard a eliminat acest termen. Nu numai ca „apetitul pentru risc” este o problema destul de subiectiva, dar este, in cele din urma, irelevant. Ceea ce conteaza nu este riscul pe care este organizatia este dispusa sa il asume, ci nivelul la care impactul de a nu relua activitatile ar deveni inacceptabil pentru o organizatie.
Multe documente cerute explicit in editia anterioara nu mai sunt obligatorii, cum ar fi procedurile de identificare a obligatiilor de conformare si documentele pentru analiza impactului asupra afacerilor si evaluarea riscurilor (desi ar fi o buna practica utilizarea acestora).
Unele cerinte sunt mai putin prescriptive.
Sectiunea 4.1 este un bun exemplu. In timp ce versiunea din 2012 prevede ce trebuie sa faca (si sa se documenteze) o organizatie, pentru a intelege organizatia si contextul acesteia, noua versiune nu face decat sa precizeze necesitatea de a „determina elemente externe si interne”, cu specificarea a ceea ce presupune acest fapt. Standardul nu precizeaza aspectele de care trebuie sa se tina seama si nici nu include o cerinta de documentare a acestui proces.
O alta cerinta care a fost simplificata este angajamentul conducerii la cel mai inalt nivel (5.2). Atat versiunea veche, cat si cea noua cere managementului la cel mai inalt nivel sa dovedeasca angajament si leadership. Cu toate acestea, in timp ce vechea versiune a impus managementului de varf sa se „angajeze activ in exercitare si testare”, noua versiune este mai pragmatica in abordare si se concentreaza pe ceea ce este cu adevarat necesar pentru a mentine un sistem eficace.
Similar s-a abordat si sectiunea 7.4 privind comunicarea, noua versiune fiind semnificativ mai putin prescriptiva.
Asta inseamna ca organizatiile au acum mai multa libertate de a adopta abordari care se potrivesc cel mai bine contextelor lor.
A fost adaugata o noua clauza, care necesita planificarea modificarilor la BCMS (clauza 6.3) Desi, din punct de vedere tehnic, aceasta cerinta este noua, continutul clauzei nu ar trebui sa fie o surpriza pentru nimeni.
Resursele necesare sunt acum identificate pe baza solutiilor de continuitate in loc de strategii de continuitate.
Sectiunea 8.2.2 privind analiza impactului asupra afacerilor (BIA) prevede acum ca BIA ar trebui sa ia categoriile de impact ca punct de plecare. In timp ce multe organizatii definesc deja categoriile de impact in BIA lor, noua versiune a standardului impune acum ca acest lucru sa fie obligatoriu. Au fost adaugate note referitoare la termenii MTPD si RTO (ambii eliminati din clauza privind termenii si definitiile).
Sectiunea 8.3 a fost redenumita din „Strategia de continuitate a afacerii” in „Strategii si solutii de continuitate a afacerii”, evidentiind in 8.3.2 necesitatea identificarii si selectiei strategiilor si solutiilor. Acest lucru reflecta cresterea pragmatismului standardului, accentul nu se rezuma doar la dezvoltarea unei mari strategii de asigurare a continuitatii afacerii, ci mai degraba la gasirea de solutii pentru riscuri si impacturi specifice.
Clauza 8.4 (denumita anterior „Stabilirea si implementarea procedurilor de continuitate a activitatii”) a fost redenumita ca „Planuri si proceduri de continuitate a afacerii”, cu accent pe „Structura de raspuns”(8.4.2), „Avertisment si comunicare”(8.4.3), „Planuri de continuitate a afacerii”(8.4.4) si „Recuperare” (8.4.5).
Restul clauzelor au fost simplificate, iar cerintele aferente au devenit mai practice si mai prietenoase pentru firmele care implementeaza standardul.
Revizuirea Ghidului ISO 22313
Prin readucerea standardului la esenta sa, ISO a obtinut o separare mai clara intre cerinte (ce) si indrumare (cum).Standardul ISO 22313 care dateaza din 2012, va fi, de asemenea, actualizat pentru a reflecta modificarile standardului ISO 22301.
Perioada de tranzitie
Dupa publicare (31.10.2019), va exista o perioada de tranzitie de trei ani, conform IAF Resolution 2019-17 – Transitional Arrangements for ISO 22301:2019.Toate certificarile ISO 22301: 2012 vor fi automat retrase la sfarsitul perioadei de tranzitie (31.10.2022).
In cadrul acestei perioade de tranzitie:
- organismele de certificare vor finaliza tranzitia acreditarii pentru ISO 22301:2019 in termen de 18 luni de la ultima zi a lunii publicarii standardului revizuit;
- organismele de certificare vor efectua audituri de certificare initiala si de recertificare doar conform ISO 22301:2019 incepand cu data de 01.04.2021 (18 luni din ultima zi a lunii publicarii standardului revizuit).
Avantajele implementarii noii editii a standardului ISO 22301:2019
- sporeste increderea in capacitatea organizatiei de a continua operatiunile pe parcursul unei intreruperi a activitatii,
- protejarea reputatiei,
- ajuta la indeplinirea cerintelor legislative,
- reducerea costurilor aferente intreruperii activitatii,
- crearea unui avantaj competitiv,
- contributie la rezilienta organizationala