ISO 22301 - Managementul continuității -

Conceptul de management al continuității implică asigurarea că: funcțiile critice ale afacerii și infrastructura ce le susține sunt astfel proiectate încât nu pot fi cu ușurință afectate de un incident; există aranjamente adecvate pentru a restaura funcțiile critice ale afacerii în urma unui eveniment și există capacitatea de a face față incidentelor.

Managementul continuității a devenit din ce în ce mai important în ultimii ani, pe măsură ce relațiile economice devin tot mai complexe și interconectate iar mediul în care organizațiile operează este tot mai turbulente. Riscurile cu care orice organizație se poate confrunta variază de la cele comune ce pot fi identificate și evaluate, până la evenimente absolut neașteptate, așa numitele “lebede negre”.

ISO 22301 este un standard internațional, publicat în anul 2012, ce definește cerințele pentru un sistem de management al continuității activității.

Certificarea conform ISO 22301 demonstrează că organizația deține aranjamente eficace pentru a proteja funcțiile critice ale activității și pentru a putea continua operarea la un nivel acceptabil, inclusiv în situații de criză.

ISO 22301 definește cerințele ce trebuie îndeplinite de către o organizație ce proiectează și implementează un sistem de management al continuității activității ce poate fi auditat și certificat ca și dovadă a conformității sale. Mai jos prezentăm cerințele lui ISO 22301:2012 cu mențiunea importantă că cerințele standardului (ca și în situația oricărui alt standard) trebuie înțelese și implementate ținând cont de specificul organizației, activitățile și contextul său.

CONTEXTUL ORGANIZAȚIEI

O organizație ce implementează ISO 22301 trebuie să identifice aspectele interne și externe ce sunt relevante pentru scopul său și care îi pot afecta capacitatea de a obține rezultatele așteptate ale sistemului de management. Nicio o organizație nu funcționează izolat și cu siguranță există o multitudine de aspecte externe și interne care o influențează. Exemple de aspecte interne: produsele și serviciile a căror furnizare poate fi afectată semnificativ în cazul unui eveniment nedorit; modul de organizare și procesul de luare a deciziilor în cadrul organizației; apetitul pentru risc al organizației; cultura organizațională; resursele umane; tehnologiile deținute și operate. Exemple de aspecte externe: condițiile de mediu; climatul politic și economic sau disponibilitatea forței de muncă.

Părțile ce au un interes în sistemul de management al continuității precum și cerințele relevante ale acestora trebuie identificate. Clienți, parteneri, angajați, autorități, comunitate locală, companii de asigurări sau furnizori sunt câteva exemple de părți interesate pentru majoritatea organizațiilor.

Cerințele legale referitoare la managementul continuității pe care organizația este obligată să le respecte trebuie identificate, actualizate și luate în considerare în cadrul sistemului de management.

Domeniul de aplicare al sistemului de management al continuității activității trebuie identificat și documentat. O organizație poate decide să includă în sistemul său de management toate activitățile și locațiile operate, sau numai o parte a acestora. Pentru a avea un sistem de management credibil este totuși important să nu fie lăsate în afara domeniului de aplicare al sistemului de management activități sau locații cu un impact semnificativ asupra abilității organizației de a furniza produsele și serviciile sale cheie.

LEADERSHIP

Susținerea din partea conducerii este vitală pentru ca sistemul de management al continuității să fie luat în serios în cadrul organizației. ISO 22301 solicită managementului de vârf al companiei să-și demonstreze angajamentul pentru stabilirea, implementarea și îmbunătățirea sistemului de management al continuității.

O politică documentată privind managementul continuității trebuie definită de către conducere, comunicată în cadrul organizației și disponibilă părților interesate, după caz.

Conducerea trebuie să se asigure că sunt stabilite și comunicate responsabilități și autorități pentru personalul organizației.

Una sau mai multe persoane din cadrul companiei trebuie să coordoneze sistemul de management al continuității, asigurându-se că acesta se conformează cerințelor și comunicând conducerii privitor la performanța acestuia.

PLANIFICARE

La planificarea sistemului de management al continuității organizația trebuie să determine riscurile și oportunitățile pe care trebuie să le trateze în scopul de a se asigura că sistemul de management obține rezultatele așteptate.

Câteva exemple de riscuri ce pot fi considerate: riscuri referitoare la resursele umane (ex. lipsa personalului competent, angajați cheie ce părăsesc organizația); riscuri referitoare la aspecte economice (ex. dificultatea accesului la finațare) sau riscuri referitoare la cerințele legale și de reglementare (ex. modificări dese ale legislației aplicabile). Oportunitățile se pot referi la aspecte precum: obținerea certificării ISO 22301 (ce poate fi utilă organizației în obținerea de clienți corporativi), participarea în proiecte sau accesul în diverse organizații.

Companiei i se solicită să stabilească și să documenteze obiective privind managementul continuității, precum și responsabilități pentru îndeplinire, resursele necesare și termenele la care se urmărește a fi îndeplinte obiectivele stabilite.

Evident, îndeplinirea obiectivelor trebuie monitorizată.

SUPORT

Resursele necesare pentru implementare, menținerea și îmbunătățirea sistemului de management al continuității trebuie să fie disponibile. Organizației i se solicită să determine cerințele de competență pentru personal și să se asigure că personalul său este competent, inclusiv prin întreprinderea de acțiuni precum furnizarea de instruire, mentoratul, recrutarea de personal competent sau schimbarea responsabilităților în conformitate cu competența personalului.

Personalul ce desfășoară activități sub controlul organizației trebuie să fie conștientizat cu privire la politica de continuitate, contribuția personală la sistemul de management, rolul fiecăruia în cazul unui incident precum și consecințele neconformării cu cerințele.

Comunicarea este esențială pentru managementul continuității iar standardul solicită organizației să dețină procese eficace de comunicare (internă și externă).

Sistemul de management trebuie susținut de informații documentate (ex. manuale, proceduri, politici, instrucțiuni, planuri, etc). Documentația trebuie controlată în ceea ce privește distribuția sa, perioada de păstrare, utilizarea, regăsirea, prevenirea utilizării de documente perimate sau sistemul de revizuire.

OPERARE

ISO 22301 solicită organizației să dezvolte un proces de analiza a impactului (Business Impact Analysis). Acest proces va include: identificarea activităților ce susțin furnizarea de produse și servicii cheie pentru organizație; evaluarea impactului în situația în care organizația nu are capacitatea de a derula aceste activități (aici sunt de regulă utilizați indicatori precum MTPD - Maximum Tolerable Period of Disruption sau RTO - Recovery Time Objective) și stabilirea unor intervale de timp pentru reluarea activității la un nivel minim acceptabil.

Este necesară o evaluare de risc cu scopul de a identifica, analiza și evalua riscul unor evenimente neașteptate și pentru a trata riscurile identificate. Două elemente importante ce trebuie luate în considerare în evaluarea riscurilor: Single Points of Failure și posibile evenimente în afara organizației ce o pot afecta.

In baza analizei de impact și a evaluării de risc, organizația își va dezvolta strategia de continuitate. Aceasta activitate implică identificarea resurselor necesare pentru managementul continuității (personal, infrastructură, informații, mijloace de transport, finanțe, parteneri, furnizori, etc); măsuri pentru a trata riscurile identificate și evaluate; proceduri de continuitate; desemnarea unei echipe pentru situații de urgență; dezvoltarea unor proceduri de avertizare și comunicare și crearea de planuri de continuitatea afacerii (Business Continuity Plans). Pentru a se asigura că aceste aranjamente vor funcționa atunci când este necesar, ISO 22301 solicită organizației să testeze periodic procedurile sale și să le îmbunătățească, după cum este necesar.

EVALUAREA PERFORMANȚEI

ISO 22301 solicită organizației să evalueze performanța și eficacitatea sistemului său de management al continuității. Atunci când identifică trenduri sau efecte negative organizația trebuie să acționeze înainte de apariția neconformităților. La intervale planificate, organizația trebuie să realizeze audituri interne ale sistemului său de management al continuității pentru a se asigura că acesta este implementat și menținut corespunzător.

Conducerea companiei trebuie să analizeze periodic sistemul de management al continuității pentru a da asigurări că acesta continuă să fie potrivit, adecvat și eficace.

ÎMBUNĂTĂȚIRE

In situația identificării de neconformități organizația trebuie să acționeze pentru a le corecta și a trata consecințele.

Standardul solicită identificarea cauzelor neconformităților și implementarea de acțiuni corective cu scopul de a preveni reapariția neconformităților.

ISO 22301 solicită organizației să identifice și să implementeze soluții pentru a îmbunătăți în mod continuu sistemul său de management al continuității.

Acestea sunt pe scurt cerințele lui ISO 22301 pe care o organizație trebuie să le îndeplinească pentru a obține certificarea sistemului său de management

ISO 22301 poate fi implementat în organizații mici sau de dimensiuni mari, indiferent de activitățile desfășurate. Acest standard poate fi implementat individual sau integrat cu alte standarde de sistem de management precum ISO 9001, ISO/IEC 20000-1 sau ISO/IEC 27001, de exemplu.

Pentru solicitări referitoare la certificare vă rugăm să ne contactați la adresa office@rigcert.org.

Dacă sunteți interesat de un curs online care descrie în detaliu cerințele ISO 22301 îl puteți accesa de mai jos

Solicită

Ofertă de Certificare

  • ISO 9001
  • ISO 14001
  • ISO 45001/OHSAS 18001
  • Alt standard
  • ISO 37001
  • ISO/IEC 27001
  • ISO 22301
  • ISO 39001
  • ISO/IEC 20000-1
  • ISO 50001

Ce spun

CLIENȚII NOȘTRI

Colaborarea noastră pentru certificarea ISO 9001:2015 a decurs excelent! Recomandăm echipa RIGCERT pentru flexibilitate, operativitate şi soluţiile oferite.
image description

Andrei Manea

CEO Concept24 Online
Colaborare excelentă pentru certificarea sistemului nostru integrat de management. Apreciez auditorii RIGCERT pentru modul in care au inteles activitatea noastră şi pentru oportunităţile de imbunatătire identificate.
image description

Marian Sandulache

Director QEHS Helinick
PROFESIONALISM, IMPLICARE, INCREDERE, SIGURANŢĂ, COMUNICARE EFICIENTĂ. Auditul efectuat de echipa RIGCERT nu inseamnă doar controlul sec al clientului ci oferă si soluţii reale la problemele pe care le intampină o organizaţie, ceea ce ne face sa îi recomandăm cu incredere.
image description

Adriana Cojocaru

Director executiv Hifu Terramed Conformal
Recomandăm RIGCERT pentru profesionalismul echipei, promptitudine, flexibilitate. Un partener c RIGCERT iţi asigură garanţia mentinerii standardului de calitate vizat. De asemenea, cursurile online de pe site au reprezentat un real ajutor pentru inţelegerea cerinţelor ISO 9001:2015.
image description

Florin Manea

Director tehnic Bio Terra Med
Colaborăm de mulţi ani cu echipa RIGCERT pentru audit şi certificare conform standardelor internaţionale şi intotdeauna am obţinut rezultatele asteptate. Făra indoială vom continua să lucrăm cu voi.
image description

Cristian Moise

Director Best Plate
Apreciez echipa RIGCERT pentru profesionalism şi operativitate. Am colaborat mereu excelent şi recomand RIGCERT cu mare incredere.
image description

Dan Zoldan

Vicepreședinte ARCVIP

Întrebari

curente

Un sistem de management este un set de elemente (politici, procese, proceduri) utilizate de către o organizație pentru a-și desășura activitățile și a-și îndeplini obiectivele. Un sistem de management poate trata o singură disciplină (ex. managementul calității sau managementul securității informației) sau mai multe discipline în același timp, în ceea ce reprezintă un sistem de management integrat.

Pentru fiecare disciplină există standarde specifice care stabilesc cerințele pentru un sistem de management (ex. ISO 9001, ISO 14001, ISO/IEC 27001, etc). O organizație ce urmărește să obțină certificarea sistemului său de management trebuie să demonstreze, în cursul unui audit, că satisface cerințele standardului/ standardelor utilizat(e) ca și referință pentru certificare.

Indiferent de disciplină, toate standardele de sistem de management solicită organizațiilor să definească roluri, responsabilități și autorități pentru personal, să dețină politici documentate, să stabilească obiective și acțiuni pentru a le îndeplini, să demonstreze operarea în condiții controlate, să monitorizeze, să măsoare, să analizeze și să evalueze performanța și să acționeze pentru a îmbunătăți continuu sistemul de management.

Un sistem de management poate fi implementat de către organizație cu personalul propriu sau prin utilizarea de consultanți externi. Este necesar ca sistemul de management să fie menținut și îmbunătățit continuu.

Pentru a fi folositor, sistemul de management trebuie să fie parte din activitățile curente ale organizației și nu un set de elemente separate de rutina operațională. Suportul din partea conducerii este vital pentru succesul oricărui sistem de management.



Certificarea este o atestare din partea unei terțe părți (denumită organism de certificare) că sistemul de management implementat de către o organizație satisfacecerințele unuia sau mai multor standarde (documente). Nu organizația în sine este subiectul certificării ci sistemul său de management.



Procesul de certificare începe cu transmiterea unei cereri de către organizația interesată. Cererea furnizează informațiile necesare pentru ca organismul de certificare să înțeleagă ce se dorește a fi certificat și să planifice resursele pentru a furniza serviciul de certificare.

Se semnează un contract pentru certificarea sistemului de management.

Auditul de certificare este realizat pentru a evalua dacă cerințele standardului/ standardelor sunt implementate corespunzător. Echipa de audit este formată dintr-unul sau mai mulți membri iar durata auditului depinde de o serie de factori precum standardele implicate, dimensiunea organizației, activitățile sale, locațiile operate, etc.

În situația în care concluziile auditului sunt pozitive și nu există alte elemente care ar putea afecta decizia de certificare, organismul emite certificatul/ certificatele de conformitate.

Documentul Reguli Generale pentru Certificarea Sistemelor de Management conține informații detaliate despre modul în care procesul de certificare funcționează și care sunt cerințele pentru a obține și menține certificarea.



Certificarea unui sistem de management este valabilă pentru 3 ani în condițiile parcurgerii cu succes a auditurilor de supraveghere anuale.Auditurile de supraveghere au rolul de a confirma că sistemul de management certificat continuă să respecte cerințele aplicabile.

Organizația este informată cu privire la planificarea auditurilor de supraveghere la momentul obținerii certificării.

În cel de-al treilea an de valabilitate a certificării are loc auditul de recertificare iar organizația intră într-un nou ciclu de 3 ani similar celui anterior.



În situația în care auditurile de supraveghere nu sunt efectuate așa cum este planificat certificarea sistemului de management poate fi suspendată. Pe parcursul suspendării certificarea este temporar invalidă.



Apelurile se referă la decizii ale RIGCERT cu privire la o anumită certificare (ex.neacordare, suspendare, retragere, etc) în vreme ce reclamațiile se pot referi la varii aspecte precum: activitatea personalului RIGCERT, activități ale organizațiilor certificate de către RIGCERT, activități ale unor terți ce dețin relații cu RIGCERT, etc.

Apelurile și reclamațiile trebuie transmise prin email la office@rigcert.org.

Personalul RIGCERT ce ia parte la analiza și decizia referitoare la un apel sau o reclamație nu este implicat în activitățile la care se referă respectivul apel/ respectiva reclamație.

Această analiză poate include acțiuni precum audituri speciale sau solicitarea de informații de la părțile implicate și este finalizată cu o decizie comunicată tuturor părților.

Informații detaliate privind procesul de tratare a apelurilor și reclamațiilor găsiți în documentul Reguli Generale pentru Certificarea Sistemelor de Management.