Review (White Paper) BCM Academy 8 juni 2012
Source: BCM
ISO 22301 (Societal security - Business continuity management systems - Requirements) is direct onderdeel en resultaat van beschikbare en bestaande reeksen standaarden, normen en regelgeving op het gebied van “Societal security”.
Gerelateerde standaarden binnen dit domein zijn onder andere, ISO22300 (Terminology) en ISO22313 (Requirements). De relatie tussen ‘Societal security’ (oftewel maatschappelijke veiligheid) en BCM is door de ISO, (International Organization for Standardization) als volgt uitgelegd: "de standaardisatie van maatschappelijke veiligheid, met als doel het verhogen van de crisisbeheersing en ‘business continuity’- mogelijkheden, middels een betere samenwerking tussen techniek, mensen, organisatie en functies met dezelfde situatiespecifieke inzichten onder alle betrokken partijen."
Verschillen (samenvatting)
- Structuuraspecten en indeling van ISO 22301 is sterk gewijzigd ten opzichte van de BS 25999-2. basisaspecten en deelelementen van BS 25999-2 zijn goeddeels aanwezig en relevant binnen ISO22301.
- De aard en wijze van benaderen, acteren en reageren op risico’s door organisaties is sterk gewijzigd evenals de zogenoemde governance, de bestuurlijke aspecten.
- ISO22301 is sterker ‘doelstellingsgericht’. Monitoren, meten van prestaties, KPIs en een nadrukkelijke businessoriëntatie en heeft een grotere focus op management en bestuur met als doel “business continuity management” top-down te verankeren.
- Nieuwe definities en begrippen zijn bepaald om eenduidigheid te verkrijgen voor ondermeer maatschappelijke veiligheid (Societal security). (Deze zijn zowel binnen ISO 22300 en 23313 aanwezig).
- Het framework stelt binnen secties specifieke eisen en verwachtingen aan management en bestuur. In een separate sectie vorm ‘specifieke governance’ de basis.
- Binnen de preventie context (precautionary), maatregelen ter voorkoming, zijn de begrippenkaders vervangen door ‘acties die risico’s en kansen sneller inzichtelijk maken’.
- Aan de aspecten binnen crisis communicatie & disaster response worden meer en specifieke eisen gesteld ook het domein ‘verantwoordelijkheid’ is breder benoemd en is bij een grotere groep/rol geplaatst.
- De BIA (Business Impact Analyse) als voorbeeld, is niet enkel binnen de terminologie gewijzigd, ook de context van en naar de risico-omgevingen worden daarbij geraakt. Ook in bestuurlijke en beleidszin worden duidelijke voorwaardelijkheden aangemerkt.
- ISO 22301 richt zich primair als nieuwe standaard op Business Continuity Management verbeteringen als integrale norm. Eist een nadrukkelijke en sterke voorbereiding. De uitgebreide eisen die gesteld worden zijn duidelijker gestructureerd en kennen een strakke implementatie guidance.
- Borging van de continuïteit van organisaties onder alle omstandigheden en verregaande rationalisatie van het stelsel van maatregelen worden nadrukkelijker benoemd evenals de toepasbaarheid van de werking ervan.
Overeenkomsten (samenvatting)
- Het samenstelsel van de BS 25999-2 is als basis van de context aanwezig binnen ISO220301. Gebruikte definities kennen soms een aanvullende of anders verklarende opbouw, maar zijn effectief bruikbaar als basis. “Business Continuity” binnen de BS 25999-2 maakt plaats voor “Business Continuity Management” volgens een duidelijke ‘syteem’ benadering.
- De management guide van de BS 25999-2 is ook aanwezig binnen de ISO 22301, echter de definitievormen verschillen deels.
- Het stelsel van eisen kent binnen het vergelijk op planvorming en procedures qua basis een overeenkomstige benadering (indeling) en op detailniveau.
- De Borgingsaspecten binnen de BS 25999-2 op onderwerpen van te stellen eisen aan het proces en de impact ervan komen in belangrijke mate overeen met de ISO22301.
- Het ‘frame’ van de BS 25999-1 blijft voor een belangrijk deel ook relevant voor ISO22301.
- De basis van BS 25999-2 is ook binnen ISO22301 essentieel onderdeel als voorliggende standaard binnen het onderneming gerichte ‘continuity management’.
- De wijze en mate van accreditatie en certificatie kent grote overeenkomsten. Zeker bij actieve (recente) implementaties binnen sectoren blijven de essentiële guidelines betrouwbaar en toepasbaar.
- Binnen het internationale veld zijn de BCM Programs vanuit de BS 25999-2 1-op-1 toepasbaar als referentie en kader voor aanpassingen op de ISO 22301.
Aanbevelingen (samenvatting)
- Voor organisaties die certificatie overwegen of een vorm van toetsing binnen de doelstellingen van het werkveld te wensen is het aan te bevelen een assessment uit te voeren wat de meest effectieve wijze is/zal zijn om beleid binnen Business Continuity Management te bepalen.
- Organisaties die voor dit moment gericht zijn op uitvoering van de BS 25999-2 en in de adoptiefase zitten is het aan te bevelen een review te ontwikkelen en momentum te bepalen wat voor de langere termijn het meest toepasbaar en effectief kan zijn.
- Termijnen worden binnen BCM context uitgelegd voor meerdere jaren, maar standaarden hebben binnen de regelgevende en uitvoerende instanties een zogenoemde ‘eindtijd’. Einde 2012 kan er in gevallen niet langer actief gecertificeerd worden voor de BS 25999-2. Voor zogenoemd YE 2014 (Year-End 2014) is het niet langer een optie en is zal welke onderneming dan ook gedwongen worden te kiezen voor een best-in-class of/en een opvolgende standaard.
- Er is (altijd) een post-adoption optie. zaak is dat daarbij wel een basis ontwikkelmodel binnen de organisatie in een vorm aanwezig en actief dient zijn. De termijnen daarvan verschillen sterk en is afhankelijk van het huidige maturiteistniveau.
- Voor de zogenoemde ‘in process’ adopties van de BS 25999-2 zijn redelijk ontwikkelde assessments in voorbereiding. Maatgevend daarbij is wat en hoe de nieuwe standaard als het gaat om kosten en inspanning zich zal gaan ontwikkelen.
- Business drivers, zoals kosten en inspanningen worden in de ‘sign of the time’ anders beoordeeld. Populair gezegd: ‘zijn het kosten of is het een investering’.
- De nieuwe ISO 22301 claimt als een Management & Leadership Standard dat de return of/on investment altijd hoger is dan de geleverde inspanning om daarmee en daardoor de “Societal security” en de alomvattende continuïteit van de eigen organisatie binnen de arena van economie en markt te kunnen borgen.
- Termijnen kunnen beoordeeld worden als; in redelijke mate ‘vloeibaar’ en is afhankelijk van de volwassenheid en geïmplementeerde mate van de eerdere geaccepteerde standaarden/normen.
- Als algemeen zal gaan gelden dat vanaf jaareinde 2012 geen nadere en verdere accreditaties meer gedaan kunnen/zullen worden volgens de ‘oude norm’ zonder aanpassingen.
- Vanaf jaareinde (YE) 2014 zal deBS 25999-2 niet langer een optie zijn om te handhaven (zie ook Gartner) en het advies daarbij zal zijn: Ondernemingen die noodzaak, of wens hebben te transformeren overeenkomstig ISO 22301 in mate rekening dienen te houden met een relevant tijd en impactschema.
- Een aantal specifieke sectoren zullen vanuit regelgeving geadviseerd worden een standaard, richtlijn of framework te selecteren om BCM (Business Continuity Management) effectief een meetbaar te implementeren. Andere sectoren, zoals Financial Services, Banking & Insurance zijn in hoge mate verplicht om specifieke guidance te volgen als het gaat om de nieuwe norm. Voorlopig is dit nog in de U.S. een superseding standard, maar alle direct betrokken deelnemingen/subsidiaire ondernemingen zullen ook met de regels/normen geconfronteerd worden.
- ISO 22301 de nieuwe internationaal erkende norm voor bedrijfscontinuïteitsmanagement (Business Continuity Management) vormt het referentiekader. Het ondersteund organisaties/ ondernemingen van welke aarde en doelstelling ook Business Continuity Management in te richten en zorgt ervoor dat alle ondernemingsactiviteiten voortzet kunnen worden bij, ten tijde van en na (eventuele) calamiteit(en).
- De norm is gebaseerd op Management en Leadership standards. Executive Governance is nu een actieve parameter om BCM te richten en te implementeren.
- De norm gaat als basis uit meer voordelen te behalen in plaats van de beperkende maatregelen. ( Negatieve aspecten in balans, positieve als factor+).
- Robuuste omgeving binnen Crisis Management & Communicatie is binnen het ISO plan een absolute requirement. Het –Do-Check-Act management systeem is als een brandpunt geschetst en zal verder ontwikkeld worden.
- De brede omgeving binnen de ondernemingsdoelen zijn of worden onderdeel vooruitlopend op ook Europese wet- en regelgeving.
- ISO integreert ook conducts van andere relevante standaarden binnen het perspectief zoals CSR (Corporate Social Responsibility), ISO 26000 e.a.
- Accreditatie en certificatie op of voor de BS (norm) vormt het uitgangspunt voor de future view om een integraal en business gedreven BCM(S) vorm te geven en tot optimum in te richten.
Meer informatie: Info@BCMAcademy.nl
BCM Academy Point-Of-View
- BCM Academy draagt in belangrijke mate bij aan de professionalisering en adoptie van ‘Business Continuity Management’ binnen het vakgebied. Is als eerste betrokken, deel van ontwikkeling en is internationaal actief binnen selecte organisatieomgevingen.
- ISO 22301:2012 Societal security – Business Continuity Management Systems – Requirements presenteert de vereisten voor een Business Continuity Management System (BCMS) die voor nu, de nabije toekomst (2013-2016) een solide basis vormt voor verdere ontwikkeling en borging. De standaard is gebaseerd op een management systeem dat ongeacht de verstoring of calamiteit voorziet in een meest effectieve continuïteit.
Informeer verder voor een volledige point of view of het uitgebreide ‘white paper’ ISO22301 Info@BCMAcademy.nl
Terug