La norma ISO 22301 es una norma internacional de gestión de continuidad de negocio. Establece los principios y terminología de continuidad de negocio.
Proporciona una base de entendimiento, desarrollo e implantación de continuidad de negocio dentro de la organización. Se usa para asegurar a las partes interesadas clave que su empresa está totalmente preparada y que puede cumplir con los requisitos internos, regulatorios y del cliente.
La norma proporciona a las organizaciones un marco que asegura que ellos pueden continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre protegiendo a sus empleados, manteniendo su reputación y proporcionando la capacidad de continuar trabajando.
Por esto, ya son numerosas las empresas que deciden trabajar en pro de la implementación de un Sistema de Gestión de Continuidad del Negocio. En este caso, vamos a hablar del Sistema de Gestión de Continuidad del Negocio o SGCN basado en la norma ISO 22301.
La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones que quieran:
- Establecer, implantar, mantener y mejorar un SGCN.
- Demostrar conformidad con la política establecida de la continuidad de negocio de la organización.
- Dar a las partes interesadas confianza en su conformidad y compromiso con las buenas prácticas reconocidas internacionalmente.
Cambios de la revisión
Es la primera ISO basada en una estructura de alto nivel (HLS) por lo que se constituye con una base sólida alineada con diferentes normas de Sistemas de Gestión. Se publicó inicialmente en 2012, y desde entonces se ha convertido en un punto de referencia internacional para la continuidad empresarial. Supone la clave para superar cualquier crisis.
En enero de 2019 se publicó la norma ISO DIS 22301: 2019, un borrador de la nueva versión, y aunque no es la versión final y puede haber cambios, sí que da una idea clara de lo que espera:
- Sin cambios estructurales importantes. Esto evita problemas en la transición para las empresas que ya dispongan de la certificación ISO 22301: 2012.
- Definiciones más consistentes y lógicas. Ya que la anterior versión mantenía la estructura de alto nivel, no es necesario reeditar todo, por lo que la nueva edición se centra en la claridad. Creando definiciones más consistentes y un texto lógico.
- Reducción del número de requisitos. En la Sección 4.1 de la versión 2012, se prescribe lo que una empresa deber realizar. La nueva versión establece la necesidad de definir y determinar problemas externos e internos de una empresa y su contexto. Aunque no dice que elementos tener en cuenta, ni incluye requisitos a documentar para este proceso. De igual modo ocurre en la Sección 7.4 sobre comunicación.
- Alta dirección centrada en lo necesario. En ambas versiones se requiere una administración superior comprometida con la política de BCM. Aunque en la versión anterior se requería una participación activamente en el ejercicio y todas las etapas, la nueva versión, se enfoca en lo realmente necesario para mantener el sistema de gestión de la seguridad de datos. Esto modifica la Sección 5.2 en la participación de la alta dirección.
- Cambios en el BCMS. Una nueva Sección 6.3 requiere que la empresa realice cambios planificados al BCMS. Este requisito es nuevo, pero se preveía su inclusión.
- Obligatoriedad al definir categorías de impacto. En la Sección 8.3 se ha cambiado el nombre a Estrategia y Soluciones de continuidad de negocios, en lugar del antiguo Estrategia de Continuidad de Negocios. Esto muestra el aumento del interés encontrar soluciones para posibles impactos o riesgos, en lugar de centrarse en garantizar la continuidad.
- Nivel de impacto para no reanudar una actividad. En la antigua versión, se definía la cantidad y tipos de riesgos que una empresa es capaz de perseguir, en la nueva versión lo importante no es el riesgo que se esté dispuesto asumir, sino el nivel de impacto que este riesgo pueda provocar en actividades y el impacto que se genere para reanudar o no la actividad.
La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones
Beneficios de implementar la norma
Por destacar algunos beneficios brevemente se podrían comentar;
- Capacidad para continuar al trabajo a pesar de una interrupción.
- Protege la reputación de la organización frente a riesgos.
- Cumple y responde frente a los requisitos legislativos.
- Reduce el margen de interrupción de la actividad.
- Crea una avanzada ventaja frente a su competencia.
Este enero de 2019 se publicó el borrador de la nueva revisión, que seguramente se publicará en otoño de 2019 como ISO 22301: 2019. Se abrirá un periodo de tres años para migrar a la nueva versión, perdiendo así su validez en 2022 todos aquellos certificados de la versión 2012.
Tomado de: https://www.isotools.org