Semejanzas y diferencias BS 25999 e ISO 22301

Semejanzas de la ISO 22301 con la BS 25999-2

La mayor semejanza es que todos los elementos principales de continuidad del negocio de la BS 25999-2 también están presentes en la ISO 22301.

La constitución del ciclo de vida PDCA (Plan, DO, Check, Act.):

1. Política de continuidad del negocio
2. Análisis del impacto en el negocio
3. Evaluación de riesgos
4. Estrategia de continuidad del negocio (en ISO 22301 se denomina “opciones de continuidad del negocio”)
5. Elanes de continuidad del negocio, pruebas y verificaciones, etc.

El análisis del impacto en el negocio ha sido dividido en varios puntos y demanda mayor precisión. Los requisitos para los planes de continuidad del negocio, incluidos los procedimientos de respuesta y los planes de recuperación, también están mucho más detallados; por ejemplo, la parte de comunicación de la contingencia. Por tanto, los elementos básicos de la norma BS 25999-2 se mantienen en la norma ISO 22301.

Una revisión de las dos normas confirma que cada uno incluye las siguientes secciones:

1. Establecimiento de la política.
2. Ámbito de aplicación y objetivos para la continuidad del negocio.
3. Establecer el compromiso de la Dirección.
4. Realizar un análisis de impacto en el negocio.
5. Control de documentos y registros.
6. Establecer las necesidades de recursos y la necesidad de hacer ejercicio.
7. Revisar y mejorar continuamente la continuidad del negocio.

Diferencias de la ISO 22301 con la BS 25999

Mayor reconocimiento:

2012. ISO 22301:2012 Seguridad de la Sociedad – Sistemas de Gestión de la Continuidad del Negocio, ha sido publicada por la Internacional Organization for Standardization, con fecha de 15 de mayo de 2012. A diferencias de la BS 25999 – 2, tiene reconocimiento oficial, y ha sido aceptada mundialmente por institutos de normas nacionales en 163 países.
2013. BS 25999 Gestión de la Continuidad del Negocio Parte 2: Especificación, fue publicada por la British Standards Institution, con fecha 20 de noviembre de 2007. Su reconocimiento oficial únicamente se circunscribe al Reino Unido, aunque ha sido implementada mundialmente.

Estructura normativa

La estructura de la norma ISO 22301 es muy diferente de la norma BS 25999-2, a pesar de que el contenido básico es muy similar. La ISO cuenta con dos partes: la ISO 22301 que es el documento de requisitos, y la 22313 es el documento guía que acompaña a la ISO 22301. En principio estaba previsto que se publicaran las dos juntas, pero, en la práctica, la ISO 22301 se ha adelantado a la guía.

El contenido de la norma ISO 22301, certificable, y que establece los requisitos de SGCN, se divide en 10 secciones como sigue:

1. Sección 1. El ámbito de aplicación del plan.
2. Sección 2. Referencia Normativa.
3. Sección 3. El contexto de la organización (incluyendo la determinación del alcance del sistema de gestión).
4. Sección 4. La comprensión de la organización, sus necesidades y el alcance del sistema de gestión en relación con el negocio.
5. Sección 5. Liderazgo (incluyendo la organización roles, responsabilidades y autoridades).
6. Sección 6. La planificación (incluyendo objetivos y planes para alcanzarlos).
7. Sección 7. Apoyo (incluidos los recursos, competencia, sensibilización, comunicación).
8. Sección 8. Funcionamiento del Sistema de Gestión de Continuidad.
9. Sección 9. Evaluación del desempeño (incluido el seguimiento, medición, análisis y evaluación).
10. Sección 10. Mejora continua.

Respecto a la 25999, la Norma fue publicada en dos partes:

1. La BS 25999-1:2006 Parte 1, se trata de un documento orientativo que proporciona las recomendaciones prácticas para las el BCM.
2. La que establece los requisitos para un Sistema de Gestión de la Continuidad (BCM) es la BS 25999-2:2007 Parte 2. Esta es la parte de la norma que se certifica a través de una etapa de implementación, de auditoría y posterior certificación.

El contenido de la BS 25999-2 se divide en 6 secciones:

1. Sección 1. Ámbito de aplicación. Define el alcance de la norma, los requisitos para la implantación y operación de una continuidad de negocio documentado sistema de gestión.
2. Sección 2. Términos y Definiciones. En esta sección se describen las definiciones de la terminología y los utilizados en el cuerpo de la norma.
3. Sección 3. Planificación de la Continuidad de Negocio Sistema de Gestión.
4. Sección 4. Implementación y Operación de los BCMS (DO) En realidad, poner en práctica los planes.
5. Sección 5. Seguimiento y revisión.
6. Sección 6. Mantenimiento y Mejora.