Lá vem a Iso 22301 substituindo a BS 25999

0

Já é avisado de maneira informal, desde o segundo semestre de 2011, que a BS 25999 está com os dias contados. A norma desenvolvida pelo British Standard Institute, tradicional em pré-desenvolver as bases das normas internacionais ISO, chegou ao seu ponto máximo, mesmo com uma aceitação ainda baixa. A transição de uma norma regional para uma mundial, como aconteceu com a ISO 27001, em 2005, que substituiu a norma BS 7799-2, é normal. A principal vantagem de se tornar uma ISO é a aceitação mundial ainda mais forte e o respaldo.

Quais são as principais mudanças trazidas pela ISO 22301 em relação à BS 25999-2?

Com base na versão preliminar publicada em fevereiro de 2011, no site BSi (Draft Review). O título da ISO 22301 será ISO 22301 Segurança Social – Sistemas de gestão de continuidade de negócios – Requisitos. Embora “Segurança Social” possa soar um pouco estranho em relação à continuidade de negócios, eis a sua definição de acordo com a ISO: “… normalização no domínio da segurança social, com a finalidade de aumentar os recursos de gestão de crises e continuidade de negócios, ou seja, por meio do aprimoramento da interoperabilidade técnica, humana, organizacional e funcional, bem como da conscientização situacional entre todas as partes interessadas.” Ou seja, continuidade é muito mais do que TI, como menciono há muito tempo em meu blog e site. As questões de proteção a marcas, respeito à sociedade, acionistas, e questões ambientais são fundamentais para a Gestão de Continuidade de Negócios. Bom, que a ISO também entende dessa forma.

Alguns detalhes:

A base conceitual é a mesma, e muita coisa como Política de Continuidade, Análises de Riscos e outros, são considerados Business Continuity Options. O BIA recebe atenção especial e será muito reforçado e enfatizado em várias partes para que sua precisão seja ainda maior. Muitas empresas ainda subestimam esta fase ou decidem de forma muito subjetiva, o que representa uma possível falha para toda a GCN. O conteúdo de gestão da BS 25999-2 passa para a nova norma, assim como acontece na ISO 9001, ISO 14001 e ISO 27001. Isto será apresentado como complemento. O modelo PDCA (Plan-Do-Check-Act ou Planejar-Fazer-Verificar-Agir) é confuso e gera dúvidas, espero que na última versão isto seja corrigido, pois acho que complicará a vida dos gestores de continuidade de negócios.

A ISO 22301 enfatizará a definição dos objetivos estratégicos, desempenho e métricas. Portanto, em minha opinião, reforça a ideia de que a Gestão de Continuidade de Negócios é um Domínio de Gestão de Riscos Estratégicos. Ela define claramente o que é esperado em termos de gestão e resume essas expectativas em uma única seção. (similar a COBIT e outras referências de apoio a Governança Corporativa e de TI). A ISO 22301 vai exigir/recomendar um planejamento e preparação muito mais cuidadoso dos recursos necessários, para garantir a continuidade dos negócios. Ou seja, a certificação será muito mais rígida.

Conclusão:

O que era uma boa referência conceitual, influenciada desde 2005 por DRI, BCI e BSI, traduzindo uma expectativa de mais de 10 anos de profissionais de continuidade de negócios de todo o mundo, através da norma BS 25.999-1 e BS 25.999-2, ficará ainda melhor. Creio que a norma ISO 22.301 reflete parte do momento de amadurecimento do mercado mundial em relação ao tema GESTÃO DE RISCO ESTRATÉGICO e GRC. É preciso ter mais normas internacionais complementando este pacote. Temos a ISO 38500 de Governança de TIC, a ISO 27001 de Gestão de Segurança da Informação, a ISO 14001 de Gestão Ambiental, ISO 26001 de Responsabilidade Social Corporativa, ISO 31.000 de Gestão de Riscos, e agora a ISO 22.301 para Gestão de Continuidade de Negócios. Todas são complementares e congruentes. Pode-se usá-las em separado ou em sinergia para otimização de custos.
Fique atento também a toda a família e:

ISO/TR 22312:2011
Societal security — Technological capabilities

ISO 22320:2011
Societal security — Emergency management — Requirements for incident response

ISO/PAS 22399:2007
Societal security – Guideline for incident preparedness and operational continuity management

Jeferson D’Addario é Sócio-Diretor da DARYUS Consultoria

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.