Меньше текста, больше гибкости; меньше предписаний, больше прагматизма – такова новая версия стандарта ISO 22301 для систем управления непрерывностью бизнеса (BCMS). Хотя пересмотр не принес радикальных изменений, новая версия стандарта является определенным улучшением и принесет еще большую ценность для своих пользователей. В этой статье мы расскажем все, что вам нужно знать.

Со времени своей первоначальной публикации в 2012 году стандарт ISO 22301 стал международным эталоном систем управления непрерывностью бизнеса. Согласно опросу ISO, более 4000 организаций имеют сертификат ISO 22301. Популярность этого стандарта распространилась среди самых разных отраслей – среди прочего, DQS имеет сертифицированные банки, химические заводы, поставщиков ИТ-услуг, а также производителей автомобильных запчастей.

Учитывая эту популярность, для ISO целесообразно было обновить свой стандарт и учесть уроки первых лет его использования. Новая версия была опубликована в ноябре 2019 года.

ХОРОШИЕ НОВОСТИ: ИЗМЕНЕНИЯ ОГРАНИЧЕНЫ

Давайте начнем с основного момента: если вы уже сертифицированы по ISO 22301: 2012, у вас не должно возникнуть никаких проблем с переходом. Параллельное сравнение показывает, что в стандарте не было серьезных структурных изменений.

Одной из основных причин, по которым пересмотр стандартов системы менеджмента ИСО в последние пару лет был сложным, стало принятие структуры высокого уровня, которая является единой структурой и основным текстом для всех стандартов системы менеджмента ИСО. Тем не менее, версия ISO 22301 2012 года уже имела структуру высокого уровня – это был один из первых стандартов ИСО, в котором была использована эта новая структура.

Поэтому вместо того, чтобы переписывать весь стандарт, рабочая группа могла бы сосредоточиться на формулировке и ясности. Многие избыточные разделы были сокращены, определения стали более согласованными, а текст стал более логичным.

ОТЛИЧНЫЕ НОВОСТИ: НАЗАД К СУТИ НЕПРЕРЫВНОСТИ БИЗНЕСА

Что особенно интересно, так это то, сколько требований было возвращено к их сути. Хороший пример – раздел 4.1: в то время как версия 2012 года предписывает, что организация должна делать (и документировать!), чтобы понять свой контекст, новая версия просто заявляет о необходимости «определить внешние и внутренние проблемы» без указания что это влечет за собой. В нем не говорится, какие аспекты необходимо принимать во внимание, и при этом не содержится требования документировать этот процесс. Нечто подобное происходит в разделе 7.4 о коммуникации: новая версия заметно менее предписывающая.

Другое требование, которое было урезано, – это участие высшего руководства (5.2). И старая, и новая версии требуют, чтобы высшее руководство приняло политику BCM. Однако, хотя старая версия зашла настолько далеко, что требовала, чтобы высшее руководство «активно участвовало в упражнениях и тестировании», новая версия более прагматична в своем подходе и фокусируется на том, что действительно необходимо для поддержания эффективной BCMS.

ДРУГИЕ ИЗМЕНЕНИЯ

Помимо большого количества незначительных корректировок, практически не влияющих на сертифицированные сайты, есть несколько изменений, на которые стоит обратить внимание:

Одним из очень немногих новых требований является пункт 6.3, который требует от организаций вносить изменения в систему «в плановом порядке». Хотя технически это требование является новым, содержание этого пункта не должно никого удивлять.

Раздел 8.2.2 об анализе воздействия на бизнес (BIA) теперь предусматривает, что BIA должна принимать категории воздействия в качестве отправной точки. Хотя многие организации уже определяют категории воздействия в своих BIA, новая версия стандарта делает это обязательным.

Раздел 8.3 был переименован из «Стратегии обеспечения непрерывности бизнеса» в «Стратегии обеспечения непрерывности бизнеса и решения». Это отражает возросший прагматизм стандарта: основное внимание уделяется не столько разработке грандиозной стратегии обеспечения непрерывности бизнеса, сколько поиску решений для конкретных рисков и воздействий:

«Организация должна определить и выбрать стратегии обеспечения непрерывности бизнеса на основе результатов анализа влияния на бизнес и оценки рисков. Стратегии обеспечения непрерывности бизнеса должны состоять из одного или нескольких решений ».

Термин «склонность к риску» был удален из стандарта. В версии 2012 года «аппетит к риску» был определен как «сумма и тип риска, который организация готова использовать или сохранить». Новый стандарт, однако, имеет право отменить этот термин. Мало того, что «склонность к риску» является довольно субъективной проблемой, это также в конечном счете не имеет значения: важен не риск, на который организация готова пойти, а уровень, на котором воздействие невозобновления деятельности станет неприемлемым для организации.

ПЕРЕСМОТР РУКОВОДСТВА ИСО 22313

Уточняя стандарт до его сути, ИСО добилась более четкого разделения между требованиями (что) и руководством (как). Руководящий документ ISO 22313, который датируется 2012 годом, также будет обновлен с учетом изменений в стандарте ISO 22301. Ожидается, что он будет опубликован вскоре после выпуска новой версии ISO 22301.

СРОКИ И ПЕРЕХОД

Новая версия ISO 22301 была опубликована в ноябре 2019 года.

Начиная с даты публикации, будет переходный период в три года. Это будет означать, что все сертификаты версии 2012 года в конечном итоге потеряют свою силу в ноябре 2022 года. Мы опубликуем точный переходный период, как только это будет подтверждено.