La vem a ISO 22301 substituindo a BS 25999.

16 mai, 2012 | Nenhum Comentário »

22301

Já é avisado de maneira informal desde o segundo semestre de 2011 que a BS 25999 está com os dias contados. A norma desenvolvida pela British Standard Institute, tradicional em predesenvolver as bases das normas internacionais ISO, chegou ao seu ponto máximo, mesmo com uma aceitação ainda baixa.

A transição de uma norma regional para uma mundial como aconteceu com a  ISO 27001 em 2005, que substituiu a norma BS 7799 -2, é normal.

A principal vantagem de se tornar uma ISO é a aceitação mundial ainda mais forte e o respaldo.

Quais são as principais mudanças trazidas pela ISO 22301 em relação à BS 25999-2?

Com base na versão preliminar publicada em fevereiro de 2011 no site BSi (Draft Review).

O título da ISO 22301 será ISO 22301 Segurança social – Sistemas de gestão de continuidade de negócios – Requisitos. Embora “Segurança social” possa soar um pouco estranho em relação à continuidade de negócios, eis a sua definição de acordo com a ISO: “… normalização no domínio da segurança social, com a finalidade de aumentar os recursos de gestão de crises e continuidade de negócios, ou seja, por meio do aprimoramento da interoperabilidade técnica, humana, organizacional e funcional, bem como da conscientização situacional entre todas as partes interessadas.” Ou seja, continuidade é muito mais do que TI, como menciono a muito tempo no meu blog e site. As questões de proteção a marcas, respeito a sociedade, acionistas e questões ambientais são fundamentais para a Gestão de Continuidade de Negócios. Bom, que a ISO também entende dessa forma.

Alguns detalhes:

A base conceitual é a mesma e muita coisa como Política de Continuidade, Análises de Riscos e outros são considerados Business Continuity Options.

O BIA recebe atenção especial e será muito reforçado e enfatizado em várias partes para que sua precisão seja ainda maior. Muitas empresas ainda subestimam esta fase ou decidem de forma muito subjetiva, o que representa uma possível falha para toda a GCN.

O conteúdo de gestão da BS 25999-2 passam para a nova norma, assim como acontece na ISO 9001, ISO 14001 e ISO 27001. Isto será apresentado como complementos.

O modelo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é confuso e gera dúvidas, espero que na última versão isto seja corrigido, pois, acho que complicará a vida dos gestores de continuidade de negócios.

A ISO 22301, enfatizará a definição dos objetivos estratégicos, desempenho e métricas. Portanto, na minha opinião reforça a idéia de que a Gestão de Continuidade de Negócios é um Domínio de Gestão de Riscos Estratégicos. Ela define claramente o que é esperado em termos de gestão e resume essas expectativas em uma única seção. (similar a COBIT e outras referencias de apoio a Governança Corporativa e de TI).

A ISO 22301 vai exigir/recomendar um planejamento e preparação muito mais cuidadosos dos recursos necessários para garantir a continuidade dos negócios. Ou seja, a certificação será muito mais rígida.

Conclusão:

O que era uma boa referencia conceitual influenciada desde 2005 por DRI, BCI e BSI traduzindo uma expectativa de mais de 10 anos de profissionais de continuidade de negócios de todo o mundo através da norma BS 25.999-1 e BS 25.999-2, ficará ainda melhor. Creio que a norma ISO 22.301 reflete parte do momento de amadurecimento do mercado mundial em relação ao tema GESTAO DE RISCO ESTRATÉGICO e GRC. Precisa-se ter mais normas internacionais complementando este pacote. Temos a ISO 38500 de Governança de TIC, a ISO 27001 de Gestão de Segurança da Informação, a ISO 14001 Gestão Ambiental, ISO 26001 de Responsabilidade Social Corporativa, ISO 31.000 de Gestão de Riscos e agora a ISO 22.301 para Gestão de Continuidade de Negócios. Todas são complementares e congruentes. Pode-se usá-las em separado ou em sinergia para otimização de custos.

Fique atento também a toda a família e:

  • ISO/TR 22312:2011
    Societal security — Technological capabilities
  • ISO 22320:2011
    Societal security — Emergency management — Requirements for incident response
  • ISO/PAS 22399:2007
    Societal security – Guideline for incident preparedness and operational continuity management

Tags: , , , , , , , , , , , , , ,

Comente

Código de Segurança: