ISO 22301:2019 — обзор изменений

ISOКак и было запланировано, в 2019 году ISO выпустил новую версию стандарта 22301:2019 «Security and resilience — Business continuity management systems — Requirements». Напомню, предыдущая была выпущена 7 лет назад, в 2012 году. Не сказать, чтобы изменений было много, но они есть. Как раз, по ощущениям, на 118 швейцарских франков.

Изменения начинаются прямо с названия. Т.к. теперь за этот стандарт отвечает комитет ISO/TC 292 Security and resilience, объединивший в 2014 году три комитета, в т.ч. ISO/TC 223 Societal security, то и начинается название со слов «Security and Resilience».

Во введении появился отличный раздел Benefits of a business continuity management system, которого раньше не было. В нем на полстраницы доступно рассказывается, кому нужна система управления непрерывностью бизнеса, и какие преимущества она предоставляет — с точки зрения бизнеса, финансов, заинтересованных сторон и т.п. Своим студентам я всегда рассказываю это в начале курса, и это им хорошо помогает расставить акценты для самих себя.

Определения
Поменялось определение того, что такое непрерывность бизнеса. Если в 2012 году имелась ввиду «capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident», то теперь это «capability of an organization to continue the delivery of products and services within acceptable time frames at predefined capacity during a disruption». Как мы видим, добавилось измерение времени, и на смену концепции «после разрушительного инцидента» пришло «в условиях разрушений/нарушений». Измерение времени появилось и в определении анализа воздействия на бизнес. Это хорошо, потому что лишний раз подчеркивает тот факт, что оценивать любое нарушение функционирования организации имеет смысл только в совокупности с продолжительностью этого нарушения. В целом, раздел определений был изрядно причесан, причем определения были модифицированы даже по отношению к словарю, определенному в ISO 22300.

Был сокращен раздел Understanding the organization and its context. Более четко сформулированы требования, предъявляемые к рамкам системы. Теперь это в явном виде два измерения: части организации, и продукты и сервисы.

Коммуникация
В данном разделе к требованиям определить «что говорить», «когда говорить» и «кому говорить» добавились пункты «как говорить» и «кто будет говорить». Оба момента бесспорно важные.

В описании процесса анализа воздействия на бизнес четко указано, где и как определяются параметры MTPD и RTO. В предыдущей версии стандарта этого не было.

Заметно изменился раздел, посвященный стратегии, он стал более лаконичным.
Раздел Establish and implement business continuity procedures был переименован в Business continuity plans and procedures, что явно лучше отражает его содержимое.
В структуре реагирования на инцидент гораздо больше говорится про команды, роли внутри команды, основных исполнителей и их заместителей. Важно, что в явном виде было прописано правило «Safety First» (using life safety as the first priority).

Пожалуй, на этом наиболее заметные изменения заканчиваются.
Вообще, все требования стали более четкими, стало меньше расплывчатых формулировок. Как следствие — понятнее, что делать, и как проверять.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s