Warning: Undefined variable $p in /web/htdocs/www.tsiouras.it/home/wp-content/plugins/efficient-related-posts/efficient-related-posts.php on line 317
Come è noto la norma ISO 22301: 2012 Societal security – Business continuity management systems – requirements, applica il modello “Plan-Do-Check_Act” (PDCA) per pianificare, stabilire, implementare, mettere in atto e condurre, monitorare, riesaminare, mantenere aggiornato e migliorare continuamente l’efficacia del BCMS di un’organizzazione.
Questo modello assicura prima di tutto un certo grado di consistenza e di uniformità con le altre norme, come la ISO 9001, ISO 14001, ISO/IEC 27001, ISO 20000-1, la ISO 28000, ma, soprattutto, assicura e favorisce una perfetta integrazione tra i vari sistemi di gestione in conformità con quanto stabilisce la norma ISO Guide 83 (di prossima pubblicazione).
La figura riportata di seguito illustra come il BCMS riceve in ingresso i requisiti per la gestione della continuità operativa di tutte le parti interessate al business dell’organizzazione e attraverso le attività e i processi restituisce alle parti interessate il risultato atteso che è la gestione della continuità operativa.
Nel modello PDCA sono coinvolti i Requisiti dal 4 al 10 come descritto nel seguente schema.
Il Requisito 4.0 Contex of the organization, è una componente della fase “Plan” del modello “Plan-Do-Check-Act” (PDCA). Questo capitolo introduce requisiti necessari per stabilire il contesto del BCMS nella modalità in cui si applica nell’organizzazione. Coloro che hanno familiarità con la norma BS 25999, possono notare che il requisito 4.0 è più incentrato sul business continuity a livello organizzativo.
Quest’ultimo requisito è di altissima importanza, in quanto richiede che l’organizzazione dimostri apprezzamento e comprensione della sua ragione di esistere, in quanto allineata alle esigenze e alle aspettative dei propri stakeholder, intese come “parti interessate”.
A questo punto il normatore pone una grande attenzione allo scopo capire le esigenze delle parti interessate; infatti, questo aspetto viene ripetuto in tutta la norma ISO 22301. La norma considera l’organizzazione come parte di una comunità più ampia, tenendo in considerazione tutti gli stakeholder a livello locale. Essa arriva persino ad introdurre il concetto di non meglio specificato per le “parti interessate” di respiro più ampio includendo tutte quelle parti che hanno un qualche interesse direttamente o indirettamente nei confronti del business dell’organizzazione.
È inoltre richiesta un’adeguata focalizzazione dell’ambito e dell’estensione del BCMS e ciò dovrebbe dare evidenza della correlazione forte che deve esistere tra gli obiettivi principali, i requisiti delle parti interessate e alla propensione al rischio dell’organizzazione.
Il Requisito 5.0 Leadership, è una componente della fase “Plan” del modello “Plan-Do-Check-Act” (PDCA). Esso impone al top management e a tutti i ruoli coinvolti di dimostrare la propria leadership, in termini di impegno nella motivazione, nel potenziamento e nella delega delle persone per contribuire all’efficacia del BCMS; esso riassume i requisiti che l’alta direzione deve soddisfare per avere una leadership e un impegno forte ed articolato nel BCMS allo scopo di soddisfare le sue aspettative delle parti interessate.
Tenendo presente tutto questo è possibile determinare la business continuity policy, i ruoli organizzativi e le autorità e sarà possibile considerare il rischio e l’impatto sul proprio business.
Il Requisito 6.0 Planning, è una componente della fase “Plan” del modello “Plan-Do-Check-Act” (PDCA). Il contenuto di questo requisito è molto importante e introduce una maggiore attenzione sulle attività di pianificazione di carattere preventivo per ridurre i rischi. La pianificazione delle attività è indirizzata inoltre ad assicurare una correlazione forte tra il contesto del BCMS, le aspettative e i bisogni delle parti interessate, l’integrazione e l’implementazione delle attività pianificate e la valutazione dell’efficacia delle azioni intraprese.
In questo capitolo sono riportati inoltre i requisiti per l’alta direzione allo scopo di stabilire gli obiettivi strategici e i principi guida per il BCM nel suo complesso.
Il Requisito 7.0 Support, è anche esso una componente della fase “Plan” del modello “Plan-Do-Check-Act” (PDCA).
Tratta i requisiti per determinare le risorse necessarie e adeguate per le operazioni del BCMS e il suo miglioramento continuo. Si tratta di assicurare le competenze, la consapevolezza, la comunicazione e le informazioni documentate necessarie per stabilire, implementare, mantenere aggiornato migliorare continuamente il BCMS.
Il requisito 8.0 Operation, è l’unica componente della fase “Do” del modello “Plan-Do-Check-Act” (PDCA).
Definisce i requisiti della continuità operativa, determina le modalità di indirizzo e sviluppa le procedure per la gestione degli incidenti che possono causare interruzioni alle attività del business.
L’analisi di impatto degli incidenti catastrofici sulle attività (Business Impact Analysis–BIA) deve essere effettuata allo scopo di determinare le priorità sulla continuità, sul ripristino, sugli obiettivi e sui target da raggiungere. Il processo di BIA valuta l’impatto dell’interruzione delle attività critiche, cioè quelle che sono relative ai prodotti e ai servizi dell’organizzazione.
Il processo dell’analisi e della valutazione dei rischi (Risk Assessment-RA) deve sistematicamente identificare, analizzare e valutare i rischi degli incidenti distruttivi per l’organizzazione e intraprendere preventivamente misure e controlli affinché non avvengano.
Le strategie per la continuità operativa devono selezionare le attività critiche e le relative risorse, valutare i vari scenari e, sulla base di una valutazione costi/benefici, decidere le soluzioni appropriate per proteggere e mitigare, in modo proattivo, i rischi in conformità alla propensione dell’organizzazione al rischio.
I requisiti per l’infrastruttura per la gestione degli incidenti e per i piani di business continuity, comprese le procedure di risposta, dei piani di recupero, dell’esercizio e dei test sono anch’essi molto dettagliati.
Il Requisito 9.0 Performance Evaluation, è l’unica componente della fase “Check” del modello “Plan-Do-Check-Act” (PDCA).
Riassume i requisiti necessari per la misurazione e la valutazione delle prestazioni del BCMS, la conformità alla norma ISO 22301. Richiede la misurazione e della valutazione dell’efficacia del BCMS.
Questo requisito ha introdotto un nuovo elemento. Tutti coloro che hanno familiarità con BS 25999-2 possono notare la maggior enfasi introdotta nella definizione dei obiettivi, nel monitoraggio delle prestazioni e nelle metriche, portando la continuità operativa molto più vicino al pensiero del top management. Questo può essere di difficile realizzazione in un BCMS, in quanto non si tratta solo di documentare ciò che si è messo in atto, ma di introdurre parametri misurabili attraverso metriche che monitorano lo stato di salute del BCMS.
Come per tutte le norme in vigore per i sistemi di gestione vi è la necessità di guardare indietro a quanto è stato raggiunto. La ISO 22301 richiede, inoltre, che tale analisi sia effettuata attraverso gli audit interni e attraverso il management review da parte del top management che deve arrivare alle conclusioni e prendere decisioni.
Il Requisito 10.0 Improvement, è l’unica componente della fase “Act” del modello “Plan-Do-Check-Act” (PDCA).
Richiede la gestione delle non conformità del BCMS attraverso azioni correttive.
Il termine azione preventiva non è più utilizzato qui in quanto fa parte della pianificazione delle attività del requisito 6.1 denominato “azioni per affrontare i rischi e le opportunità”.
Le non conformità del BCMS devono essere analizzate per individuare le cause, intraprendere le azioni correttive commisurate ai rischi reali allo scopo di evitare il ripetersi delle stesse, come per tutte le norme in vigore.
Join the Forum discussion on this post