ISO22301:2019 新版标准变化
最新版本ISO22301:2019的关键改进包括更清晰的结构和术语,以促进对所需内容的更好理解,并进行更新以使其与所有其他ISO管理系统标准保持一致。
自2012年首次发布以来, ISO22301标准已成为业务连续性管理系统的国际基准。 根据ISO调查,超过4000个组织持有ISO22301证书。 该标准的受欢迎程度已经在非常不同的行业中传播-仅举几个例子,DQS拥有认证的银行,化工厂,IT服务提供商以及汽车零件制造商。
考虑到这种流行性,仅适合ISO审查其标准并结合其使用最初几年的经验。 ISO22301:2019新版本于2019年11月发布。
ISO22301:2019好消息:变化是有限的
让我们从要点开始:如果您已经通过ISO22301:2012认证,那么过渡ISO22301:2019应该没有任何问题。 ISO22301:2019与2012并排比较表明,ISO22301:2019标准没有重大的结构更改。
在过去的几年中,对ISO管理体系标准进行修订具有挑战性的主要原因之一是采用了高级结构,它是所有ISO管理体系标准的统一结构和核心文本。 但是,2012年版的ISO22301:2012已经具有高级结构,这是最早采用这种新结构的ISO标准之一。
因此,工作组不必重写整个标准,而可以专注于措辞和清晰度。 减少了许多多余的部分,定义变得更加一致,案文变得更加合乎逻辑。
ISO22301:2019好消息:回到BCM的本质
特别有趣的是,有多少要求已被还原到本质上 。
第4.1节就是一个很好的例子:ISO22301:2012年版规定了组织需要做些什么(和记录了!)才能理解组织及其背景,而新版ISO22301:2019仅说明了“确定外部和内部问题”的需要,而没有具体说明这意味着什么。 ISO22301:2019没有说需要考虑哪些方面,也没有包括记录该过程的要求。 关于通讯的第7.4节发生了类似的事情:新版本ISO22301:2019的说明性明显降低。
另一个已削减的要求是高层管理人员的参与(5.2)。 都需要最高管理层来遵守BCM策略。 但是,尽管ISO22301:2012旧版本甚至要求高层管理人员“积极参与练习和测试”,但ISO22301:2019新版本的方法更为实用,并着重于保持有效BCMS的实际需求。
ISO22301:2019其他变化
除了大量的细微调整,对认证网站的影响很小或没有影响的同时,还有一些值得一提的变化:
第6.3条是很少的新要求之一,它要求组织“以计划的方式” 对BCMS进行更改 。 尽管从技术上讲此要求是新的,但该条款的内容对于任何人都不应该感到惊讶。
现在,关于业务影响分析(BIA)的第8.2.2节规定,BIA应该以影响类别为起点。 虽然许多组织已经在其BIA中定义了影响类别,但新版标准将该要求设为强制性。
第8.3节已从“业务连续性策略”重命名为“业务连续性策略和解决方案”。 这反映出ISO22301:2019该标准越来越实用主义:重点不在于制定确保业务连续性的宏伟战略,而是针对特定风险和影响寻找解决方案 :
“组织应基于业务影响分析和风险评估的输出,确定并选择业务连续性策略。 业务连续性策略应由一个或多个解决方案组成。”
从标准中删除了“风险偏好”一词 。 在2012年版本中,“风险偏好”被定义为“组织愿意承担或保留的风险的数量和类型”。 但是,ISO22301:2019新标准取消了该术语。 “风险偏好”不仅是一个相当主观的问题,而且最终还是无关紧要的:重要的不是组织愿意承担的风险,而是不恢复活动所产生的影响对于组织而言是不可接受的。
修订ISO22313指南
通过将标准精简到本质,ISO在要求(什么)和指南(如何)之间实现了更清晰的分离。 可以追溯到2012年的指南文件ISO22313也将进行更新,以反映ISO22301标准的变化。 预期将在新版本的ISO22301发布后不久发布。
时间轴和过渡
ISO22301的新版本于2019年11月发布。
从发布日期开始,过渡期为三年。 这意味着所有2012版的证书最终都将在2022年11月失去其有效性。一旦确认,我们将发布确切的过渡期。
