Contattaci: +39 02 55186649
E-mail: segreteria@verifiche.info

Business continuity

Business continuity – gli standard BS 25999 e ISO 22301

ISO 22301 il nuovo standard internazionale sulla business continuity

È lo standard internazionale, norma contrattuale che definisce requisiti) per i sistemi di gestione per la continuità dei processi centrali e critici delle aziende, ha sostituito la BS 25999, che è stata la prima norma al mondo realmente diffusa e che ha permesso parecchie certificazioni e inserimenti contrattuali e applicazione da parte degli enti di controllo o legislativi.
Per informazioni, audit di conformità o corsi di formazione specifici contattateci a info@verifiche.info

Riferimenti completi
ISO 22301:2012: Societal security -- Business continuity management systems --- Requirements

Business continuity – Cos'è?
Lo spiega la norma BS 25999

Audit in Italy svolge verifiche e gap analisy in materia di business continuty.
Per informazioni o per un preventivo (gratuito) invia una mail: info@verifiche.info.

Business continuity: la nuova frontiera
Si ringrazia Stefano Bonetto autore del testo per la concessione dell’articolo (riproduzione riservata)

Finalmente è arrivata la norma sulla business continuity: è la BS 25999. In realtà per il momento è arrivata solo la prima parte che è il codice di condotta, la seconda parte, quella che definirà i requisiti sarà disponibile (probabilmente) per ottobre 2007. Come al solito le norme innovative arrivano dal British Standard, l'ente normatore inglese, e forse quello più vicino alle esigenze del mercato ed ai lavori dei centri di competenza (in questo caso il BCI - Business Continuity Institute).

Dico finalmente per tre motivi, e lo dico perché ho letto e studiato attentamente la norma e partecipato alla attività di qualifica dei primi formatori. Il primo motivo è quello della comunicazione, la norma infatti permetterà di fare chiarezza e di far diventare patrimonio comune almeno tre concetti essenziali per chi deve gestire gli aspetti di business continuity (uso ancora i termini in inglese in attesa della versione ufficiale italiana di qualche super esperto nazionale di normazione).

Il secondo aspetto è prettamente di marketing, quando viene pubblicata una norma ufficiale è comunicazione su scala globale di un certo problema e questo permette di sensibilizzare il mercato e soprattutto le imprese. Terzo (ultimo ma più importante) si potrà avere un chiaro riferimento da mettere nei contratti e per fare attestazioni di conformità.

L'argomento è già di un certo interesse, la norma provvederà a renderlo veramente diffuso. La discussione sulla business continuity nasce dall'esigenza di tutte le grandi imprese, spesso quotate o legate ad investitori finanziari, di avere ogni tipo di “coccarda” o garanzia che possa aumentare il valore per gli azionisti. Un ulteriore fattore di interesse è sicuramente la minaccia terroristica (purtroppo), che ha determinato disposizioni di legge per elaborare piani di business contiuity per i servizi al cittadino o di particolare interesse pubblico (come è avvenuto in Inghilterra).

Anche l'Italia dovrebbe inserire questo aspetto in qualche disposizione di legge o direttiva per la pubblica amministrazione.
L'ultimo aspetto, per fortuna più utile dei precedenti, è la diffusione della cultura dell'analisi delle aspettative degli stakeholder e della relativa gestione del rischio, dimensione naturale dove la business continuity nella sua accezione si sistema si deve inserire.

I tre termini per i quali la norma sarà essenziale saranno i seguenti.

Business continuity: la norma la definisce in due dimensioni rendendo il concetto veramente completo. Significa capacità di resistere (resiliance) ad impatti che possono ridurre la capacità di una organizzazione a fornire secondo standard normali, ma anche contemporaneamente capacità di rispondere agli effetti di tale impatto. Quindi la norma definisce la doppia dimensione: resistenza e capacità di reazione, e la limita agli aspetti critici dell'attività, ossia relativi alle attività essenziali per creare valore o minor rischio per gli stakeholder critici.
Service level agreement: la norma chiarisce che non esiste un livello (SLA) ma più livelli che sono relativi a diverse situazioni operative e che questi livelli devono essere formali e formalizzati.
Business continuity level: è il livello di servizio nella situazione di emergenze.

I settori di maggiore interesse (fonte BSI) sanano i seguenti:

  • finanza (banche ed assicurazioni)
  • telecomunicazioni
  • servizi pubblici, trasporti e utility
  • fornitori critici di grandi aziende

La scelta dei settori risulta ovviamente condizionata dagli eventi di terrorismo che hanno colpito gli inglesi, ma è sicuramente attendibile.
L'ultimo aspetto da ricordare è una breve sintesi della norma nei suoi tratti essenziali ed innovativi e l'obiettivo della business continuity come chiave di lettura di tutto il documento sia nella guida sia nella parte due che può essere certificata.
Se devo sintetizzare la norma posso dire che definisce un approccio ed un modello (insieme di requisiti). L'approccio è il seguente: tutto parte dall'analisi del contesto dell'organizzazione dove l'obiettivo è quello di capire quali sono i prodotti/servizi critici ed a quali esigenze degli stekeholder principali a questi sono collegabili. Questa prima analisi formale porta ad individuare quello che in termini di prodotti e servizi sarà il campo di applicazione del modello. Fatto questo, il sistema proposto parte dall'analisi del rischio (identificazione, analisi e valutazione), compiuto questo percorso devono essere individuati quegli aspetti di rischio che superano il livello di soglia considerato accettabile e che hanno influenza sul concetto di BC, ossia capacità di mantenere i livelli di servizio/prodotto collegati all'evento/crisi emergenza in atto. Se i rischi non sono collegabili ai suddetti livelli di servizio non rientrano nel modello di BC e nel relativo approccio sistemico (ormai molto simile per tutte le norme e quindi integrabile). Ovviamente tutto deve essere coerente in un ottica costo beneficio e con i requisiti contrattuali e di legge.

Ultimo passo del modello è quello di definire per ogni rischio collegabile alla BC (livello di servizio) una serie di tre documenti: piano di gestione incidenti (minimizzare l'evento), piano per la business continuity e programma per il ripristino della situazione normale (back to normal). Quest'ultimo aspetto è forse quello più innovativo perché difficilmente presente nei recovery plan classici, mentre nella BS 25999 è essenziale.

Per saperne di più consultate il canale sulla business continuity del BSI su YouTube.

 

News

  • 13/09/2019

    Linee guida videosorveglianza del Comitato Europeo per la protezione dei dati: primi commenti

    Il Comitato è intervenuto allo scopo di delineare un quadro omogeneo in tema di video sorveglianza
  • 26/06/2019

    La Privacy in Condominio: linea guida per la gestione

    Istruzioni operative agli amministratori condominiali
  • 31/05/2019

    Welfare aziendale: fornitura e servizi alla persona: nuova prassi di riferimento

    Il 30 maggio è stata pubblicata la prassi di riferimento 58 in materia di welfare aziendale
  • Archivio news

In primo piano

  • Certificazione e fiere

    Il settore fieristico, determinante per lo sviluppo dell'economia italiana, sta avendo un notevole successo e riscontro anche in materia di “certificazione”. L’argomento è oggi però da inquadrare in uno scenario che si sta muovendo in direzioni ben specifiche e sta ca...
  • Altri approfondimenti