ISO 22301, è in arrivo la nuova revisione per il Busnisess Continuity Standard

20/02/2019


Meno testo, più flessibilità; meno prescrittività, più pragmatismo - che, in poche parole, è la nuova versione dello standard ISO 22301 per i sistemi di gestione della continuità operativa (BCMS). Sebbene la revisione non porti a cambiamenti drastici, la nuova versione dello standard è un netto miglioramento e porterà ancora più valore ai suoi utenti.
 
Dalla sua pubblicazione iniziale nel 2012, lo standard ISO 22301 è diventato il punto di riferimento internazionale per i sistemi di gestione della continuità operativa. Secondo un'indagine ISO, oltre 4000 organizzazioni hanno un certificato ISO 22301. La popolarità dello standard si è diffusa in settori molto diversi, per citarne solo alcuni:  banche, stabilimenti chimici, fornitori di servizi IT e produttori di parti di automobili.
 
Considerando questa popolarità, è giusto che l'ISO riveda i suoi standard e incorpori gli insegnamenti dei suoi primi anni di utilizzo.
Nel gennaio 2019, ISO ha pubblicato lo standard ISO / DIS 22301: 2019, che è una bozza della nuova versione. Sebbene possano esserci dei cambiamenti tra la bozza e la versione finale, dà già un'idea chiara di cosa aspettarsi.
 
LE BUONE NOTIZIE: I CAMBIAMENTI SONO LIMITATI
Iniziamo con il punto principale: se sei già certificato ISO 22301: 2012, non dovresti avere alcun problema con la transizione. Un confronto affiancato mostra che non sono state apportate modifiche strutturali importanti allo standard.
 
Uno dei motivi principali per cui le revisioni degli standard dei sistemi di gestione ISO sono state difficili negli ultimi due anni è stata l'adozione della struttura di alto livello, che è una struttura unificata e un testo centrale per tutti gli standard dei sistemi di gestione ISO. Tuttavia, la versione 2012 della ISO 22301 aveva già la struttura ad alto livello - era uno dei primissimi standard ISO a presentare questa nuova struttura.
 
Pertanto, piuttosto che riscrivere l'intero standard, il gruppo di lavoro potrebbe concentrarsi sulla formulazione e sulla chiarezza. Molte sezioni ridondanti sono state ridotte, le definizioni sono diventate più coerenti e il testo è diventato più logico.
 
LE GRANDI NOVITÀ: TORNA ALL'ESSENZA DI BCM
Ciò che è particolarmente interessante è il modo in cui molti requisiti sono stati ridotti alla loro essenza. La sezione 4.1 è un buon esempio: considerando che la versione 2012 prescrive ciò che un'organizzazione deve fare (e documentare!) Per comprendere l'organizzazione e il suo contesto, la nuova versione afferma semplicemente la necessità di "determinare problemi esterni e interni" senza specificare cosa comporta. Non dice quali aspetti devono essere presi in considerazione, né include un requisito per documentare questo processo. Qualcosa di simile sta accadendo nella sezione 7.4 sulla comunicazione: la nuova versione è marcatamente meno prescrittiva.
 
Un altro requisito che è stato ridotto è il coinvolgimento del top management (5.2). Sia la vecchia che la nuova versione richiedono il top management per il commit della politica BCM. Tuttavia, mentre la vecchia versione arrivava al punto da richiedere al top management di "impegnarsi attivamente nell'esercizio e nei test", la nuova versione è più pragmatica nel suo approccio e si concentra su ciò che è veramente necessario per mantenere un BCMS efficace.
 
ALTRI CAMBIAMENTI
Oltre a un numero elevato di piccoli aggiustamenti con impatto minimo o nullo per i siti certificati, ci sono alcune modifiche che vale la pena evidenziare:
 
Uno dei pochissimi nuovi requisiti è la clausola 6.3, che richiede alle organizzazioni di apportare modifiche al BCMS "in modo pianificato". Sebbene tecnicamente questo requisito sia nuovo, il contenuto della clausola non dovrebbe sorprendere nessuno.
La Sezione 8.2.2 su Business Impact Analysis (BIA) stabilisce ora che la BIA dovrebbe prendere le categorie di impatto come punto di partenza. Mentre molte organizzazioni stanno già definendo le categorie di impatto nella loro BIA, la nuova versione dello standard rende questo obbligatorio.
La sezione 8.3 è stata rinominata da "Strategia di continuità operativa" a "Strategie e soluzioni di continuità operativa". Ciò riflette l'accresciuto pragmatismo dello standard: l'attenzione non è tanto sullo sviluppo di una grande strategia per garantire la continuità aziendale, quanto piuttosto sulla ricerca di soluzioni per rischi e impatti specifici:
"L'organizzazione deve identificare e selezionare strategie di continuità operativa basate sui risultati dell'analisi dell'impatto aziendale e della valutazione del rischio. Le strategie di continuità operativa devono comprendere una o più soluzioni. "
 
Il termine "propensione al rischio" è stato rimosso dallo standard. Nella versione 2012, "propensione al rischio" è stata definita come "quantità e tipo di rischio che un'organizzazione è disposta a perseguire o mantenere". Il nuovo standard, tuttavia, è in procinto di abolire il termine. La "propensione al rischio" non è solo una questione piuttosto soggettiva, ma è anche in ultima analisi irrilevante: ciò che conta non è il rischio che un'organizzazione è disposta a prendere, ma il livello al quale l'impatto di non riprendere le attività diventerebbe inaccettabile per un'organizzazione.