Изменения начинаются прямо с названия. Т.к. теперь за этот стандарт отвечает комитет ISO/TC 292 Security and resilience, объединивший в 2014 году три комитета, в т.ч. ISO/TC 223 Societal security, то и начинается название со слов «Security and Resilience».

Во введении появился отличный раздел Benefits of a business continuity management system, которого раньше не было. В нем на полстраницы доступно рассказывается, кому нужна система управления непрерывностью бизнеса, и какие преимущества она предоставляет — с точки зрения бизнеса, финансов, заинтересованных сторон и т.п. Своим студентам я всегда рассказываю это в начале курса, и это им хорошо помогает расставить акценты для самих себя.

Определения
Поменялось определение того, что такое непрерывность бизнеса. Если в 2012 году имелась ввиду «capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident», то теперь это «capability of an organization to continue the delivery of products and services within acceptable time frames at predefined capacity during a disruption». Как мы видим, добавилось измерение времени, и на смену концепции «после разрушительного инцидента» пришло «в условиях разрушений/нарушений». Измерение времени появилось и в определении анализа воздействия на бизнес. Это хорошо, потому что лишний раз подчеркивает тот факт, что оценивать любое нарушение функционирования организации имеет смысл только в совокупности с продолжительностью этого нарушения. В целом, раздел определений был изрядно причесан, причем определения были модифицированы даже по отношению к словарю, определенному в ISO 22300.

Был сокращен раздел Understanding the organization and its context. Более четко сформулированы требования, предъявляемые к рамкам системы. Теперь это в явном виде два измерения: части организации, и продукты и сервисы.

Коммуникация
В данном разделе к требованиям определить «что говорить», «когда говорить» и «кому говорить» добавились пункты «как говорить» и «кто будет говорить». Оба момента бесспорно важные.

В описании процесса анализа воздействия на бизнес четко указано, где и как определяются параметры MTPD и RTO. В предыдущей версии стандарта этого не было.

Заметно изменился раздел, посвященный стратегии, он стал более лаконичным.
Раздел Establish and implement business continuity procedures был переименован в Business continuity plans and procedures, что явно лучше отражает его содержимое.
В структуре реагирования на инцидент гораздо больше говорится про команды, роли внутри команды, основных исполнителей и их заместителей. Важно, что в явном виде было прописано правило «Safety First» (using life safety as the first priority).

Пожалуй, на этом наиболее заметные изменения заканчиваются.
Вообще, все требования стали более четкими, стало меньше расплывчатых формулировок. Как следствие — понятнее, что делать, и как проверять.