Come già detto, è uscita da pochi giorni la ISO 22301 con i requisiti (per la certificazione) di un Sistema di gestione per la business continuity (Business continuity management system, BCMS).
L'ho letta velocemente e, ovviamente, non l'ho ancora mai applicata. Tenendo conto di queste premesse, non mi pare ci siano importanti modifiche sostanziali a quanto già previsto dalla precedente BS 25999.
Grazie anche al documento "Moving from BS 25999-2 to ISO 22301" del BSI e alla presentazione fatta dal BSI Italia il 24 maggio a Milano (grazie a Max Cottafavi di Reply per la condivisione della conoscenza), provo ad elencare nel seguito i punti di interesse, con alcuni miei commenti:
- il testo si basa sulla ISO Guide 83, ossia su uno schema comune a tutte le norme dei sistemi di gestione (bisognerà poi vedere come sarà recepito dalla ISO 9001, ISO/IEC 27001, eccetera)
- l'adozione alla ISO Guide 83 implica che non si parli più di procedure documentate o registrazioni, ma di informazioni documentate
- l'adozione alla ISO Guide 83 implica che i requisiti per il miglioramento siano drasticamente ridotti; su questo punto credo ci sarà necessità di approfondimenti nei prossimi anni, anche dopo l'uscita della futura ISO 9001 tra qualche anno; si potranno comunque trovare le azioni preventive nelle "azioni volte ad affrontare rischi e opportunità"
- l'adozione alla ISO Guide 83 implica che vi sia un chiaro obbligo di prendere in considerazione le parti interessate e non solo l'organizzazione (azienda)
- l'interpretazione dei requisiti della ISO Guide 83 da parte del Technical Committee ISO/TC 223 (che non condivido) ha portato all'introduzione di due risk assessment: uno nella parte di pianificazione dove si parla di "issues" e uno propriamente detto; ci sarà da discutere nei prossimi anni
- l'adozione alla ISO Guide 83 implica che la norma non sia più impostata sul concetto di "BCM programme", ma sul concetto di "Sistema di gestione" e sul ciclo PDCA
- fornisce due definizioni per la stessa cosa: "Maximum acceptable outage (MAO)" e "Maximum tolerable period of disruption (MTPD)"; poi, nel corpo del testo, non ne usa neanche una (stranezze della standardizzazione)
- esplicita il concetto di "Minimum business continuity objective (MBCO)", ossia di livelli minimo di servizi da ripristinare a seguito di un'interruzione delle attività
- esplicita la necessità di dare delle priorità alle diverse attività di ripristino (Prioritized timeframes), simile ma non uguale al ben noto termine di RTO
- approfondisce alcune aree quali: valutazione dei rischi, comunicazione, gestione degli incidenti (costruendo così un collegamento tra eventi "ordinari" e straordinari)
- introduce il concetto di "ritorno alla normalità",
Il documento del BSI si trova al seguente link:
- shop.bsigroup.com/upload/Shop/22301-Transition-Guide.pdf
La ISO ha in programma per "fine 2012 o inizio 2013" la pubblicazione della ISO 22313, guida alla realizzazione di un BCMS. Immagino che anche il The BCI modificherà le sue GPG.
Per la transizione: gli audit sulla ISO 22301 potranno essere condotti dal 1 novembre 2012 (anche per garantire la disponibilità di tempo per modificare le procedure e la formazione di tutte le parti coinvolte), non potranno più essere effettuati audit sulla BS 25999 dopo il 31 dicembre 2013 e tutti i BCMS certificati dovranno essere conformi alla ISO 22301:2012 ento fine 2014.
Nessun commento:
Posta un commento