Το πρότυπο ISO 22301 – που αποτελεί σημείο αναφοράς για τη διαχείριση επιχειρησιακής συνέχειας – αναθεωρείται και αξίζει να αναδείξουμε τις βασικές πτυχές αυτής της επικαιροποιήσης.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Εισαγωγή
Στην σημερινή εποχή, η ικανότητα αντιμετώπισης κρίσεων και αναταράξεων στην επιχειρησιακή λειτουργία των οργανισμών κατά τη διάρκεια καταστάσεων έκτακτης ανάγκης είναι πιο σημαντική παρά ποτέ. Το πρότυπο ISO 22301 έχει καταστεί παγκόσμιο σημείο αναφοράς για συστήματα διαχείρισης της επιχειρησιακής συνέχειας των οργανισμών. Έχοντας τα παραπάνω ως δεδομένα, το ISO 22301 αναθεωρείται και ενημερώνεται για να εξασφαλίσει τη συνάφειά του με ένα συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον. Η αναθεωρημένη έκδοση του ISO 22301 προβλέπεται να δημοσιευθεί το φθινόπωρο του 2019.
Το προσχέδιο του διεθνούς προτύπου έχει δημοσιευθεί στις αρχές του 2019. Κατά τη διάρκεια αυτής της περιόδου, όλα τα ενδιαφερόμενα μέρη είχαν τη δυνατότητα να διατυπώνουν παρατηρήσεις και να τα υποβάλλουν στα αρμόδια όργανα τους, τα οποία λαμβάνονται υπόψη πριν από την τελική δημοσίευση το πρότυπο. Παρόλο που ορισμένες αλλαγές μπορεί να είναι εμφανείς στην τελική έκδοση του προτύπου σε σχέση με το σχέδιο, το τελευταίο δίνει μόνο μια ιδέα για το ποια θα είναι η τελική έκδοση του προτύπου.
Σύνοψη των επικρατέστερων αλλαγών που εισάγονται στην νέα έκδοση του πρότυπου
Λαμβάνοντας υπόψη ότι το πρότυπο ISO 22301 αναπτύσσεται χρησιμοποιώντας το παράρτημα SL και τη δομή που μπορεί ήδη να ευθυγραμμιστεί με άλλα πρότυπα συστήματος διαχείρισης όπως ISO 9001 – Διαχείριση της Ποιότητας ή Διαχείριση Ασφάλειας Πληροφοριών ISO / IEC 27001, δεν αναμένονται δραστικές διαρθρωτικές αλλαγές στην αναθεωρημένη έκδοση.
Αντίθετα, κύριο μέλημα αυτής της επικαιροποίησης είναι η απλούστευση, η σαφήνεια και η ορθότερη επιλογή όρων στα άρθρα, περιλαμβάνοντας ταυτόχρονα λιγότερο περιοριστικές διαδικασίες. Όπως μπορεί να διαπιστωθεί στο τρέχων προσχέδιο του διεθνούς προτύπου, έχουν αφαιρεθεί περιττές πληροφορίες, η ορολογία έχει απλοποιηθεί και το περιεχόμενο έχει γίνει πιο συνεπές.
Στην συνέχεια, παρατίθεται μια σύνοψη των τρεχουσών τροποποιήσεων και καθώς και οι ομοιότητες σε σύγκριση με την αρχική έκδοση:
- Το διάγραμμα μοντέλου PDCA (Plan – Do – Check – Act) διαγράφηκε, καθώς τα διαγράμματα είναι δύσκολο να τυποποιηθούν και συνήθως οδηγούν σε ατελείωτες συζητήσεις και ερμηνείες.
- Τα άρθρα 4 έως 10 καλύπτουν τα στοιχεία του PDCA, όπως και πριν.
- Δεν υπάρχουν κανονιστικές παραπομπές σε αυτό το έγγραφο.
- Οι όροι και οι ορισμοί ενημερώθηκαν για να συμπεριλάβουν την πλατφόρμα περιήγησης σε απευθείας σύνδεση ISO και την IEC Electropedia.
- Στο άρθρο 3 “Όροι και ορισμοί”, διάφοροι όροι τροποποιήθηκαν, επαναπροσδιορίστηκαν, αφαιρέθηκαν και προστέθηκαν.
- Στο άρθρο 4 “Πλαίσιο της οργάνωσης” έγιναν μόνο μικρές τροποποιήσεις. Η ομάδα του έργου προσπάθησε να δημιουργήσει εισαγωγικά υπο-άρθρα στην αρχή κάθε άρθρου. Ως εκ τούτου, για παράδειγμα, η υποενότητα 4.1 είναι μια εισαγωγή στο άρθρο 4 και η παράγραφος 4.2.1 είναι μια εισαγωγή στην υπο
- -ενότητα 4.2.
- Το άρθρο 5 για την ηγεσία είναι απλοποιημένο.
- Το άρθρο 6 για τον προγραμματισμό ενισχύθηκε, εστιάζοντας στους στόχους της συνέχισης των δραστηριοτήτων και στον προγραμματισμό τους (6.2). Μια νέα υπο-ενότητα για τις αλλαγές προγραμματισμού στο σύστημα επιχειρησιακής συνέχειας BCMS (6.3) εισήχθη.
- Το άρθρο 7 για την υποστήριξη βελτιώθηκε.
- Το άρθρο 8 (λειτουργία) πήρε πολύ χρόνο για να τροποποιηθεί, όπως αναμενόταν, η αντιμετώπιση του πυρήνα του θέματος της συνέχειας των επιχειρήσεων. Ενώ η δομή των υπο-ενοτήτων δεν τροποποιήθηκε σε μεγάλο βαθμό, νέες προσθήκες στο περιεχόμενο βελτιώθηκαν για να ανταποκριθούν καλύτερα στις απαιτήσεις των επαγγελματιών που χρησιμοποιούν αυτό το διεθνές πρότυπο. Για παράδειγμα, βελτιώθηκε η υπο-ενότητα 8.2.2 “Ανάλυση επιχειρησιακών επιπτώσεων” και προστέθηκε αναφορά στο ISO 22318 (Συνέχεια της Αλυσίδας Εφοδιασμού). Οι αναφορές στους όρους “Μέγιστη ανεκτή Περίοδος Διακοπής” της λειτουργίας του οργανισμού – “MTPD” και “Χρονικός Στόχος Ανάκαμψης” από καταστροφή – “RTO” (και οι δύο αφαιρέθηκαν από το άρθρο σχετικά με τους όρους και τους ορισμούς) προστέθηκαν. Η υπο-ενότητα 8.3, που στο παρελθόν ονομάστηκε “Στρατηγική Επιχειρησιακής Συνέχειας”, μετονομάστηκε σε “Στρατηγικές και Λύσεις Επιχειρησιακής Συνέχειας”, υπογραμμίζοντας (στο σημείο 8.3.2) την ανάγκη προσδιορισμού και επιλογής στρατηγικών και λύσεων. Η ενότητα 8.4 (παλαιότερα αποκαλούμενη “Καθιέρωση και Εφαρμογή Διαδικασιών Συνέχειας της Επιχείρησης”) μετονομάστηκε σε “Σχέδια και Διαδικασίες Συνέχειας της Επιχείρησης”, εστιάζοντας στη “Δομή Απόκρισης” (8.4.2), “Προειδοποίηση και Επικοινωνία”, “Σχέδια Επιχειρησιακής Συνέχειας “(8.4.4) και” Ανάκαμψη “(8.4.5). Μια υπο-ενότητα για το “Πρόγραμμα Άσκησης” (8.5) αντικαθιστά την υπο-ενότητα που προηγουμένως ονομαζόταν “Άσκηση και Έλεγχος”.
- Το άρθρο 9 για την “Αξιολόγηση της Απόδοσης” και το άρθρο 10 “Βελτίωση” βελτιώθηκαν, λαμβανομένων επίσης υπόψη των νέων απαιτήσεων της ISO για τον τρόπο εμφάνισης αυτών των άρθρων προκειμένου να ευθυγραμμιστούν με όλα τα πρότυπα διαχείρισης του συστήματος ISO.
Επίλογος
Συνοψίζοντας, στην νέα έκδοση του πρότυπου, ενώ επιτυγχάνεται η κατάργηση των επικαλύψεων, το αναθεωρημένο πρότυπο διακρίνει σαφώς τις απαιτήσεις (τι) και την καθοδήγηση (πώς). Πρέπει να σημειωθεί ότι το ISO 22313, ένα έγγραφο καθοδήγησης, θα ενημερωθεί επίσης, αντανακλώντας τις αλλαγές στο ISO 22301 και θα δημοσιευθεί μετά την έκδοση της νέας έκδοσης του ISO 22301. Δεδομένου ότι η τελευταία αναμένεται να δημοσιευθεί το φθινόπωρο 2019, θα υπάρξει μεταβατική περίοδος τριών ετών για όλες τις τρέχουσες πιστοποιήσεις. Ως εκ τούτου, όλα τα πιστοποιητικά του 2012 θα ισχύουν μόνο μέχρι το φθινόπωρο του 2022.