If you are citizen of an European Union member nation, you may not use this service unless you are at least 16 years old.
You already know Dokkio is an AI-powered assistant to organize & manage your digital files & messages. Very soon, Dokkio will support Outlook as well as One Drive. Check it out today!

La nuova ISO 22301:2012 sulla continuità operativa

Page history last edited by Francesco Gigante 11 years, 7 months ago

Esistono delle circostanze in cui la prevenzione fallisce per cui serve un piano per gestire l'emergenza. Esempi recenti sono gli eventi sismici imprevedibili del Giappone 2011 e, in scala più limitata fortunatamente, quelli dell'Emilia 2012. Ma anche le copiose nevicate dello scorso inverno sono state eventi calamitosi assolutamente non previsti in regioni come il Lazio.

Il 15 maggio è stata pubblicata dall'ISO (International Standard Organization) il nuovo standard internazionale sulla continuità operativa ISO 22301 “Societal security - Business continuity management systems – Requirements”. Questo standard rimpiazzerà il corrente ISO 25999 ( http://pecb.org/iso22301/ ).

Il piano della continuità operativa è volto a comprendere quelle che sono le iniziative a fronte di incidenti catastrofici che possono colpire direttamente o indirettamente qualsiasi organizzazione. La casistica è varia: si parte, ovviamente, dalle catastrofi naturali con i danni economici e le turbolenze dei mercati arrecati ma devono essere considerati anche il terrorismo, le interruzioni fisiche dello stato di sicurezza, i guasti alle infrastruttura ed alle IT, le possibili frodi o azioni di pirateria informatica, gli adeguamenti alle nuove norme legali.

Anche le conseguenze potenziali sono molteplici: la sicurezza dei dipendenti viene compromessa, la fiducia del cliente ridotta, si va incontro ad una perdita di immagine, alla flessione dei ricavi ed ad un declino nel mercato. La procedura per la gestione delle emergenze (BCM Business Continuity Management) lavora su obiettivi ampi e può essere applicabile a tutte le organizzazioni, siano esse piccole, medie, grandi, locali, nazionali o globali, pubbliche o private.

Consiste innanzitutto nella definizione degli impatti, e poi dei servizi e delle attività critiche da ripristinare nell'emergenza. Le componenti fondamentali da ripristinare sono le persone, le attività, le strutture informatiche. La gestione della crisi dura in genere 24-48 ore e richiede da parte delle organizzazione un piano aggiornato e collaudato, delle procedure, dei numeri di emergenza, la presenza di un team subito operativo in grado di coordinare le azioni. La pubblicazione dello standard internazionale fornisce una linea guida e d un modello di riferimento: l'azienda certificata è riconoscibile per la sua capacità di resistere ad un impatto calamitoso e di continuare la sua attività. Ma la certificazione non è un processo breve, sono necessari dai 6 ai 12 mesi e impone all'azienda di tenere il piano aggiornato. Il lungo percorso di attuazione è basato sui concetti di Plan, Do, Check e Act.

Inizialmente gli sforzi sono rivolti a comprendere la natura dell’organizzazione, identificarne le attività critiche (Business Impact Analysis BIA) valutare le minacce cui sono esposte, determinare i requisiti di continuità, formulare di conseguenza delle scelte. Nella fase di PLAN viene dunque definita la strategia della Business Continuity finalizzata a recuperare ogni attività critica e gestire contingentemente le relazioni. Nella fase DO si genera una risposta BCM con l’allestimento di una struttura di controllo e la redazione di un piano di gestione dell’incidente. Nella seguente fase CHECK quanto istituito nella fase precedente viene mantenuto in esercizio e monitorato di continuo. Infine nella fase ACT il BCM entra a far parte della cultura dell’organizzazione, i dipendenti vengono educati al mantenimento nel tempo dei suoi valori e della sua gestione, periodicamente il piano viene aggiornato.

Lo standard ISO 22301:2012 è strutturato in questo modo:

Introduction

0.1 General

0.2 The Plan-Do-Check-Act (PDCA) model

0.3 Components of PDCA in this International Standard

1 Scope

2 Normative references

3 Terms and definitions

4 Context of the organization

4.1 Understanding of the organization and its context

4.2 Understanding the needs and expectations of interested parties

4.3 Determining the scope of the management system