Certificazione ISO 22301
Certificazione dei Sistemi di Gestione per la Continuità Operativa ISO 22301: resilienza organizzativa e capacità di una risposta efficace a un evento critico
La ISO 22301 “Sicurezza della società – Sistemi di gestione della continuità operativa – Requisiti”, è lo standard internazionale sviluppato per indirizzare le organizzazioni ad individuare le potenziali minacce verso i loro processi di business, e a costruire sistemi e processi di backup efficaci per salvaguardare i loro interessi e quelli degli stakeholder. La norma specifica i requisiti per pianificare, implementare, monitorare, revisionare e migliorare il Sistema di Gestione della continuità operativa delle organizzazioni, con l’obiettivo di ridurre l’impatto sulle attività causato dalle interruzioni.
La finalità dell’applicazione di questa norma all’interno dell’organizzazione è infatti proprio quella di garantire un adeguato piano di continuità dei servizi essenziali in accordo con il service agreement del mercato o dei clienti. L’obiettivo è garantire la capacità di reagire agli incidenti, rispondere alle emergenze e alle calamità assicurando, al verificarsi di un episodio di crisi, la continuità della fornitura di prodotti e l’erogazione di servizi, salvaguardando il personale e l’immagine dell’azienda, permettendo di continuare a produrre e vendere i propri prodotti e servizi.
Lo standard è applicabile a tutte le organizzazioni che desiderano definire e migliorare la propria gestione della continuità del business aziendale e dimostrare la solidità del proprio sistema agli stakeholders. In particolare è consigliata per le società che operano in ambienti ad alto rischio, come le public utilities, i servizi finanziari, il settore Oil&Gas, i trasporti, le telecomunicazioni e la produzione alimentare, o nei quali la continuità operativa è un fattore critico, come il settore pubblico.
La ISO 22301 è una norma gestionale perfettamente integrabile con le atre ISO come la ISO 9001.
La norma ISO 22301
La ISO 22301 è relativa alla gestione della continuità operativa, specifica i requisiti per pianificare, stabilire, attuare, far funzionare, monitorare, mantenere attivo e migliorare in continuo un sistema di gestione documentato finalizzato alla protezione, alla riduzione della possibilità di accadimento, alla preparazione, alla risposta ed al ripristino riferiti ad eventi destabilizzanti quando essi di manifestano. Scopo della norma è quello di:
- Fornire un’infrastruttura coerente, basata sulle migliori pratiche internazionali, per gestire la continuità operativa.
- Identificare gli eventuali impatti che minacciano un’organizzazione e fornire un modello per la creazione della resilienza e la capacità di reazione in modo fattivo al fine di salvaguardare gli interessi delle principali parti interessate, la reputazione, il marchio e le attività mirate alla creazione di valore aggiunto.
- Migliorare proattivamente la capacità di resistere ad incidenti (resilienza) che possono determinare interruzioni di attività critiche da cui dipende il raggiungimento di obiettivi chiave. Fornire un metodo collaudato per il ripristino della capacità di erogare prodotti e servizi critici ad un livello predefinito ed entro un lasso di tempo prestabilito, a seguito di un’interruzione.
- Offrire una risposta adeguata per gestire un’interruzione.
- Consentire una chiara comprensione di come funziona l’intera organizzazione e permettere d’identificare opportunità di miglioramento.
- Creare l’opportunità di ridurre il premio assicurativo per l’interruzione di operatività.
I vantaggi della certificazione ISO 22301
Il servizio di certificazione a fronte della ISO 22301 consiste nella verifica dell’adeguatezza del Sistema di Gestione con particolare riferimento ai seguenti elementi: modalità di identificazione dei fenomeni che possono ripercuotersi sul business, analisi dei rischi che ne conseguono nella valutazione dei relativi impatti, definizione dei sistemi di monitoraggio e governo delle attività, sviluppo di piani e programmi volti a minimizzare gli impatti, sviluppo di procedure finalizzate a gestire situazioni emergenziali. La certificazione del sistema di gestione per la continuità operativa permette di:
- Facilitare il rispetto dei requisiti contrattuali e legislativi
- Rafforzare la credibilità e la visibilità dell’azienda salvaguardandone l’immagine ed il patrimonio e facilitando il ripristino dalle interruzioni
- Ridurre i costi degli incidenti
- Finalizzare in modo efficace gli investimenti impiegati per implementare i piani di gestione degli incidenti ed i piani di continuità operativa
- Assicurare e dare evidenza alle parti interessate “stakeholders”, che si sono attuati tutti gli strumenti e le misure tecniche e organizzative necessari per garantire l’erogazione di prodotti e servizi critici
- Fornire un’infrastruttura coerente, basata sulle migliori pratiche internazionali, per gestire la continuità operativa
- Identificare gli eventuali impatti che minacciano un’organizzazione e fornire un modello per la creazione della resilienza e la capacità di reazione in modo fattivo
- Fornire un metodo collaudato per il ripristino della capacità di erogare prodotti e servizi critici ad un livello predefinito ed entro un lasso di tempo prestabilito, a seguito di un’interruzione.
- Offrire una risposta adeguata per gestire un’interruzione
- Consentire una chiara comprensione di come funziona l’intera organizzazione e permettere d’identificare opportunità di miglioramento
- Creare l’opportunità di ridurre il premio assicurativo per l’interruzione di operatività
Certificazione Sistemi di Gestione per la Continuità Operativa: i settori industriali di interesse e le aree di attenzione
L’esigenza di garantire la fornitura di prodotti e/o servizi anche in caso di incidenti gravi di varia natura (come disastri naturali, guasti, scioperi, atti terroristici o vandalici, ecc.) è ormai un elemento indispensabile per tutte le organizzazioni. In questo contesto, si sottolinea, infatti, che la continuità operativa in generale non può essere raggiunta solo con l’introduzione di strumenti tecnici, ma richiede un’adeguata organizzazione ed opportune procedure. Inoltre, la gestione della continuità operativa si basa fortemente sulla partecipazione di tutto il personale chiave, in certi casi anche dei fornitori, dei clienti e delle altre parti interessate (stakeholders). Le organizzazioni, dunque, devono identificare le specifiche criticità secondo il settore merceologico di appartenenza.
Certificazione ISO 22301 per il settore Finanziario
Il mondo dei servizi finanziari comprende diversi settori, dalle banche alle società di assicurazione, tutti accomunati dalla necessità di impiegare sistemi di rete per eseguire transazioni monetarie e di dati. Elementi peculiari sono:
- Garantire la continuità delle transazioni;
- Garantire la salvaguardia ed il recupero dei dati;
- Ripristinare i servizi critici entro tempi stabiliti.
Il settore bancario e di conseguenza i partner strategici potranno usufruire della certificazione del proprio SGCO per fornire evidenze oggettive del rispetto delle direttive della Banca d’Italia al fine di garantire la continuità operativa.
Certificazione ISO 22301 per il settore Utility
I fornitori di energia, telecomunicazioni, trasporti, ecc., rientrano tra le infrastrutture critiche del Paese. Il recepimento delle Direttive Europee in materia porterà all’implementazione di piani per garantire la continuità di fornitura o di servizio e la certificazione del SGCO sarà la naturale evoluzione per garantire l’aggiornamento, l’adeguatezza ed il continuo miglioramento del sistema di gestione.
Certificazione ISO 22301 per il settore Industria e Commercio
Il settore industriale e del commercio ha l’esigenza di garantire la continuità nella produzione o nell’erogazione dei propri servizi a seguito di un disastro, ovvero prevedere anticipatamente possibili scenari ed essere preparati ed addestrati per garantire la sopravvivenza della propria organizzazione, e garantirsi che i propri fornitori critici lo siano altrettanto. Non basta essere ottimisti e pensare che non succederà, è meglio essere preparati per il peggio. Con la certificazione del proprio SGCO è comunque assicurato un vantaggio d’immagine e di opportunità rispetto alla concorrenza.
Certificazione ISO 22301 per il settore Pubblico
Il settore pubblico raggruppa molte aree differenti, per le quali il tema della continuità operativa è di fondamentale importanza; in particolare questo riguarda la pubblica amministrazione propriamente detta (PA), la difesa, la sanità, l’erogazione di servizi ai cittadini. Comprendere la propria realtà, a quali minacce può essere soggetta, analizzare i possibili scenari e gli impatti ai servizi ed alle infrastrutture, pianificare anticipatamente dei piani per ridurre gli impatti di questi eventi disastrosi, per gestire gli incidenti e avere dei piani che consentano il ripristino delle funzionalità dovrebbe essere compito di ogni buona amministrazione pubblica. Certificare il proprio sistema di gestione per la continuità operativa significa offrire garanzie che quanto pianificato è coerente, è aggiornato, è efficace, è stato provato con opportune esercitazioni ed è periodicamente riesaminato e migliorato.