Análisis de deficiencias de transición ISO 22301
26 febrero 2021
Este blog proporcionará una visión general de los cambios clave entre las versiones de 2012 y 2019 de la norma ISO 22301. Algunas partes de la norma se han reorganizado, con varios requisitos modificados, y hay cambios en las definiciones clave.
Plazos de la ISO 22301:2019
La norma ISO 22301:2019 se publicó en octubre de 2019 y sustituye a la norma ISO 22301:2012. Para las organizaciones que actualmente utilizan la norma ISO 22301:2012 existe un periodo de transición de 3 ½ años (ampliado debido a la pandemia) para cambiar a la norma ISO 22301:2019.
Principales revisiones de la norma ISO 22301:2019
-
Planificación de cambios en el SGCN (6.3)
-
Concienciación antes, durante y después de las interrupciones (7.3)
-
Proceso de Análisis de Impacto de Negocio (BIA) más detallado (8.2)
-
Estrategias y soluciones de continuidad de negocio (8.3)
-
Equipos de estructura de respuesta (8.4.2)
-
Ejercicios centrados en el programa y los equipos (8.5)
- Aportaciones de la revisión por la dirección más claros y ampliados (9.3)
Principales diferencias en la terminología
Verá que parte de la terminología conocida de la norma ISO 22301:2012 se ha modificado o eliminado.
| ISO 22301:2012 | ISO 22301:2019 (nuevos términos y cambios) |
|---|---|
| SGCN | Redefinido |
| Consecuencia | |
| Disrupción | |
| Documento | Eliminado |
| Impacto | |
| Infraestructura | Eliminado |
| Información | |
| Invocación | Eliminado |
| Probabilidad | |
| Gestión | |
| Medición | |
| MAO, MTPD, MBCO | Eliminado |
| Planificación | |
| Protección | |
| RPO, RTO | Ahora: Recuperación |
| Resiliencia | |
| Revisión | |
| Apetito de riesgo | Eliminado |
Análisis de deficiencias y orientación
| CLÁUSULAS ISO 22301:2019 |
CLÁUSULAS ISO 22301:2012 |
ORIENTACIÓN |
|---|---|---|
| 4 Contexto de la organización | ||
| 4.1 Comprender la organización y su contexto | 4.1 | Requisito simplificado que elimina los documentos y requisitos especificados en otros lugares. También se ha eliminado la referencia al término apetito de riesgo (en toda la norma), pero se utiliza la definición (es decir, "la cantidad y el tipo de riesgo que puede o no puede asumir") para abordar la misma intención. |
| 4.2 Comprender las necesidades y expectativas de las partes interesadas | 4.2 | Intención similar; cambio de procedimiento a proceso; supresión de la referencia a las partes interesadas según los requisitos legales y reglamentarios; supresión de la referencia a la comunicación en esta sección. |
| 4.3 Determinar el alcance del sistema de gestión de la continuidad de negocio |
4.3 | La misión y los objetivos se han trasladado aquí; se han reorganizado y son menos específicos; se ha añadido la "ubicación" para que se tenga en cuenta el ámbito de aplicación; sigue siendo necesaria la documentación. |
| 4.4 Sistema de gestión de la continuidad de negocio | 4.4 | No hay cambios importantes. |
| 5 Liderazgo | ||
| 5.1 Liderazgo y compromiso | 5.1 & 5.2 | Combinación de los apartados 5.1 y 5.2; reorganización con el traslado de varias afirmaciones a otras secciones (p. ej., 4, 9, 10); supresión del requisito de participación activa de la alta dirección en las pruebas y ejercicios; supresión de los requisitos de presentación de pruebas y de las funciones asignadas (incluido el representante de la dirección), que se deducen en otros apartados a través de la autoridad y la competencia. |
| 5.2 Política | 5.3 | Propósito similar; reorganizado en dos subsecciones (5.2.1 y 5.2.2). Se ha eliminado la declaración [redundante] relativa a la revisión de la idoneidad, pero sigue siendo una aportación de la dirección (9.3.e) |
| 5.3 Funciones, responsabilidades y autoridades |
5.4 | No hay cambios importantes. |
| 6 Planificación | ||
| 6.1 Acciones para abordar riesgos y oportunidades |
6.1 | Los mismos requisitos divididos en dos secciones (6.1.1 y 6.1.2); no hay cambios importantes. |
| 6.2 Objetivos de continuidad del negocio y planificación para lograrlos | 6.2 | Los requisitos se dividen en dos subsecciones (6.2.1 y 6.2.2); se añade comunicación y actualizaciones; se ha eliminado el MBCO; se ha ampliado la responsabilidad a la organización frente a la gerencia. |
| 6.3 Planificación de cambios en el sistema de gestión de continuidad de negocio | 8.1 | Requisito ampliado a partir de una breve mención en 8.1. Dependiendo de cómo la organización haya abordado previamente los cambios, esto puede requerir un nivel de esfuerzo adicional. |
| 7 Apoyo | ||
| 7.1 Recursos | 7.1 | No hay cambios importantes. |
| 7.2 Competencia | 7.2 | No hay cambios importantes. |
| 7.3 Concienciación | 7.3 | Modificado para incluir las funciones y responsabilidades antes, durante y después de las interrupciones. |
| 7.4 Comunicación | 7.4 | Reestructurado y simplificado; se han eliminado los requisitos de procedimiento específicos de esta sección, pero se mantienen en la sección 8.4.3. |
| 7.5 Información documentada | 7.5 | Reorganización y racionalización menores para eliminar redundancias. |
| 8 Operación | ||
| 8.1 Planificación y control operativo | 8.1 | No hay cambios importantes; se ha añadido una referencia a los procesos subcontratados y a la cadena de de suministro (potencial flujo hacia abajo). |
| 8.2 Análisis del impacto de negocio y evaluación de riesgos | 8.2 | (8.2.1) Reorganizado y reformulado a "procesos sistemáticos" y "análisis de los impactos del negocio" para BIA y RA; eliminado el uso del término "apetito de riesgo" (aunque el concepto permanece en toda la norma); añadido el requisito de revisar BIA/RA a intervalos planificados o con cambios significativos en la organización. (8.2.2) Los requisitos del BIA son más prescriptivos con respecto a los requisitos del BIA; se ha añadido a) tipos y criterios de impacto; c) "tipos y criterios de impacto"; se han separado las intenciones del MTPD y del RTO; se ha añadido f) identificación de actividades prioritarias. (8.2.3) La evaluación de riesgos se simplifica sin cambios importantes. |
| 8.3 Estrategias y soluciones de continuidad de negocio | 8.3 | (8.3.1) CLAUSULA NUEVA: La adición de soluciones es el tema principal de este requisito revisado. En general, considere que una organización tendrá varias estrategias de BC; y cada estrategia puede estar apoyada por una o más soluciones para lograr el objetivo dado. Las organizaciones deben asegurarse de que sus estrategias de BC existentes incluyen soluciones adecuadas para satisfacer sus necesidades de continuidad y recuperación. (8.3.2) proviene de los anteriores 8.3.1 y 8.3.3 con consideraciones ampliadas que incluyen la provisión de recursos adecuados (ampliada en 8.3.4). El requisito de realizar evaluaciones de los proveedores se traslada de esta sección a la 8.6. (8.3.3) Se separa del anterior 8.3.1 y se añade la consideración de la cantidad y el tipo de riesgo [también conocido como apetito] junto con los costes y los beneficios. (8.3.4) Los requisitos de recursos se han trasladado en gran medida del anterior 8.3.2; se han añadido algunas consideraciones (por ejemplo, la logística). (8.3.5) NUEVA CLÁUSULA: Se añade la implementación de soluciones como un nuevo requisito específico". |
| 8.4 Planes y procedimientos de continuidad de negocio | 8.4 | (8.4.1) Reformulada y mejor explicada; añadida la asignación de funciones a la lista. (8.4.2) La estructura de la respuesta se ha ampliado con subsecciones para incluir el enfoque en los equipos, la composición de los mismos, las competencias y las funciones necesarias para aplicar los planes de continuidad de la actividad. También se ha añadido un llamamiento específico para identificar al personal "alternativo". Se ha suprimido el requisito de comunicación externa en relación con los riesgos importantes. (8.4.3) La advertencia y la comunicación requieren un procedimiento ""documentado"" que antes no se exigía explícitamente. (8.4.4) Los planes de BC añaden la consideración de los impactos en el medio ambiente. También exige que los planes sean específicamente utilizables y estén disponibles en el momento y lugar en que se requieran. Se hace hincapié en un "programa" de ejercicios más holístico o planificado y en el desarrollo del trabajo en equipo. |
| 8.5 Programa de ejercicios | 8.5 | Se hace hincapié en un "programa" de ejercicios más holístico o planificado y en el desarrollo del trabajo en equipo. |
| 8.6 Evaluación de la continuidad del negocio documentación y capacidades | 9.1.2/8.3.2 | NUEVA CLÁUSULA: Creada a partir del contenido trasladado de 9.1.2 con una mejor explicación de los objetivos. Su objetivo es reforzar el concepto de que la evaluación de las capacidades/eficacia del SGCN debe hacerse regularmente (no sólo la evaluación de los procedimientos). También se añade la evaluación de las capacidades de continuidad del negocio de los socios y proveedores, es decir, el flujo de continuidad del negocio (al que se hacía referencia anteriormente en 8.3.2). |
| 9 Evaluación del rendimiento | ||
| 9.1 Seguimiento, medición, análisis y evaluación |
9.1 | Intención similar; menos específica. 9.1.2 se traslada a 8.6 (véase más arriba). |
| 9.2 Auditoría interna | 9.2 | Misma intención;(9.2.2) énfasis ampliado en relación con el programa de auditoría con la creación de una nueva subsección (aunque formada por requisitos existentes). |
| 9.3 Revisión por la dirección | 9.3 | Dividir la lista en Entradas y Salidas; Incrementar la lista de Entradas para incluir: d) retroalimentación de las Partes Interesadas, g) información del BIA y de la Evaluación de Riesgos, y h) evaluación de las capacidades del BCMS (8.6); Reorganizado en 3 subsecciones; 9.3.3 agregó la modificación de los procedimientos para responder a los impactos en el BCMS, y cómo se medirá la efectividad; eliminó la lista de cambios potenciales. |
| 10 Mejora | ||
| 10.1 No conformidad y acción correctiva | 10.1 | Misma intención; reorganizado en 3 subsecciones; depurado de redundancias. |
| 10.2 Mejora continua | 10.2 | Mayor énfasis en los resultados del análisis, la evaluación y la revisión de la gestión como consideraciones para la actividad de mejora continua. |
La norma ISO 22301:2019 incorpora más terminología y conceptos de gestión empresarial y garantizará que los sistemas se integren en los procesos empresariales generales de la organización en lugar de ser entidades separadas.
Nuestros valores
Le ayudaremos a entender los cambios, a interpretar los nuevos conceptos y a actuar en consecuencia.
Si tiene alguna duda, póngase en contacto con nosotros.
Puede obtener mayor información sobre la norma ISO 22301:2019 o solicitar presupuesto online, estaremos encantados de ayudarle en todo el proceso de certicación de su sistema de gestión de continuidad de negocio.