BUSINESS CONTINUITY MANAGEMENT -ISO 22301

Cos’è la norma UNI ISO 37001

La norma ISO 22301:2012 definisce lo standard internazionale relativo alla continuità operativa del business di un’organizzazione.

La norma ISO 22301 specifica i requisiti per pianificare, attuare, gestire e migliorare continuamente un sistema di gestione documentato per prepararsi, reagire e riprendersi da eventi non prevedibili o accidentali, quali:

Catastrofi naturali
Turbolenze dei mercati
Atti terroristici
Interruzioni fisiche dello stato di sicurezza
Guasti alle infrastrutture
Frodi o azioni di pirateria informatica

La norma è stata sviluppata per ridurre al minimo il rischio di interruzione delle attività di ciascuna organizzazione.

L’applicazione dei requisiti della ISO 22301 consente all’Organizzazione di poter dimostrare agli stakeholder che è in essere un sistema di gestione della business continuity modellato su best practice riconosciute a livello mondiale.

La norma richiede di lavorare su obiettivi ampi, per questo motivo non è prescrittiva e può essere applicata da tutte le Organizzazioni, indipendentemente dalla loro dimensione o dal fatto che operino su mercati locali, nazionali e globali o che siano pubbliche o private.

I VANTAGGI

Essere preparati per far fronte a problematiche aziendali che fermerebbero il processo produttivo
Avere un valore aggiunto rispetto alla concorrenza ed essere valutato da una Terza Parte Indipendente
Tenere monitorati gli obbiettivi aziendali strategici e i servizi chiave della propria azienda

PERCHE’ CERTIFICARSI

Oltre a tutti i vantaggi citati, la Certificazione ISO 22301 è uno strumento fondamentale soprattutto per:

Ridurre al minimo il tempo di ripristino delle attività a pieno regime
Garantire la sopravvivenza in caso di interruzione dell’operatività ed il ripristino delle attività entro i tempi predeterminati
Ridurre i rischi di interruzione dell’attività

COME SI SVOLGE IL PROCESSO DI CERTIFICAZIONE?

Inizialmente gli sforzi dovranno essere rivolti a comprendere la natura dell’Organizzazione, identificarne le attività critiche, valutare le minacce a cui sono esposte e l’impatto potenziale correlato ad una possibile interruzione dell’attività lavorativa/produttiva, determinando i requisiti di continuità e la propensione al rischio.

In questo modo è possibile identificare l’ambito di applicazione del Business Continuity Management System (BCMS), tenendo conto di:

Obiettivi aziendali strategici
Prodotti e dei servizi chiave
Processi necessari per realizzarli e correlazione con la struttura organizzativa
Propensione al rischio e agli obblighi regolamentari e contrattuali applicabili.

Lo sviluppo del piano può seguire le fasi del ciclo di Deming (PDCA):

PLAN

definire la strategia della Business Continuity, finalizzata a recuperare ogni attività critica e gestire le interazioni.

creare una struttura di controllo e provvedere alla redazione di un piano di gestione.

CHECK

tutto quanto implementato va mantenuto in esercizio e monitorato di continuo.

ACT

il piano entra a far parte della cultura dell’organizzazione, i dipendenti vengono educati al mantenimento nel tempo dei suoi valori e della sua gestione, infine il piano viene, periodicamente aggiornato.

Un piano di continuità aziendale deve essere continuamente testato ed aggiornato per ottenere la massima aderenza alle esigenze del business, anche una piccola variazione di un qualsiasi componente base del processo può alterare l’efficacia del piano.

La garanzia di successo dipende da alcuni fattori connessi tra loro, tra i quali:

Tempo
Aggiornamento continuo delle soluzioni
Valutazione continua del rapporto tra costo/complessità della soluzione e tra valore/priorità del business e normativa del processo protetto
Costi complessivi
Ampiezza dell’impatto tra le funzioni coinvolte