• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    NFPA 1600 vs. ISO 22301 – Similaridades e diferenças

    Caso você seja um praticante de continuidade de negócio nos EUA, você provavelmente deve estar imaginando qual norma aplicar – NFPA 1600 ou ISO 22301. Afinal, ambas são normas de continuidade de negócio, e ambas possuem um histórico significativo – agências governamentais americanas parecem adorar a NFPA 1600, e a ISO 22301 é uma norma internacional aceita mundialmente.

    Uma rápida visão geral

    A NFPA 1600 é oficialmente intitulada como “Standard on Disaster/Emergency Management and Business Continuity Programs” (“Norma para gestão de desastres/emergências e programas de continuidade de negócio” em tradução livre) e foi inicialmente publicada pela National Fire Protection Association em 1995. Ela foi algumas vezes desde então, e atingiu um escopo que é muito maior do que seu título sugeriria – ela foi aprovada pela Comissão 9/11, foi adotada pelo Departamento de Segurança Nacional americano como um boa prática, e recebeu designação e certificação como uma tecnologia antiterrorismo sob o SAFETY Act americano.

    Por outro lado, a ISO 22301 (oficialmente chamada de “Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos) começou sua “carreira” como a norma britânica BS 25999 em 2006/2007, e em 2012 tornou-se uma norma internacionalmente aceita publicada pela International Organization for Standardization (ISO). Isto significa que, diferentemente da NFPA 1600, que é primariamente uma norma americana, a ISO 22301 é reconhecida em muitos países como a principal norma ou estrutura para continuidade de negócio.

    A parte engraçada é que, enquanto a NFPA 1600 é muito maior (66 páginas), ela é gratuita, enquanto que a ISO 22301 é menor (32 páginas) e é um tanto quanto cara, como são todas as outras normas ISO.

    O que a NFPA 1600 tem que a ISO 22301 não tem?

    Aqui estão alguns exemplos de requisitos que não existem na ISO 22301, ou onde a NFPA 1600 trata de forma muito mais detalhada:

    • 4.3 Comitê do programa – não existe tal requisito na ISO 22301.
    • 4.6 Finanças e Administração – os requisitos na ISO 22301 não são tão específicos.
    • 5.2 Levantamento de riscos – os requisitos são muito mais precisos do que na ISO 22301 – por exemplo, eles definem perigos (hazards – ameaças), vulnerabilidades e impactos em maior detalhe.
    • 5.4.2 Levantamento de recursos necessários – a especificação é mais detalhada do que na ISO 22301.
    • Os requisitos em 6.4 Comunicação de crises e informação pública e 6.5 Aviso, notificações e comunicações são basicamente os mesmos que na ISO 22301, mas aqui eles estão mais estruturados logicamente.
    • 6.7.1.1 Centros de operações de emergência (Emergency Operations Centers – EOCs) – não existe na ISO 22301.
    • 6.7.7 e 6.7.8 gestão de recursos e gestão de incidentes são muito mais detalhados do que na ISO 22301.
    • 6.10 Assistência e suporte ao empregado – aqui é muito mais detalhado do que na ISO 22301.
    • 8.3 Projeto de exercícios e testes – novamente, a NFPA 1600 é muito mais detalhada do que a ISO 22301.
    • Anexo A – embora não seja obrigatório para a implementação, ele provê uma grande quantidade de guias úteis (muito similar ao que a ISO 22313 faz para a ISO 22301). Por exemplo:
      ◦ estratégias de recuperação
      ◦ métodos para exercícios e testes
      ◦ catálogo de perigos (ameaças)
      ◦ questões a serem incluídas na análise de impacto no negócio

    Resumindo, a NFPA 1600 é muito mais detalhada e é provavelmente mais fácil para implementar a continuidade de negócio utilizando alguma literatura adicional; uma vez que muitos requisitos são mais detalhados do que na ISO 22301, ela é provavelmente mais adequada para organizações de médio e grande porte.

    O que a ISO 22301 tem que a NFPA 1600 não tem?

    Aqui estão os elementos onde a ISO 22301 coloca mais ênfase:

    • 4.2.1 Partes interessadas e seus requisitos – os requisitos são mais precisos do que na NFPA 1600.
    • 4.3.2 Escopo – os requisitos são muito mais precisos na ISO 22301.
    • 7.5 Informação documentada – novamente, requisitos muito mais precisos do que na NFPA 1600.
    • 8.2.2 Análise de impacto no negócio – a NFPA 1600 não reconhece a Indisponibilidade Máxima Aceitável (Maximum Acceptable Outage – MAO) como uma etapa antes do estabelecimento do Tempo Objetivo de Recuperação (Recovery Time Objective – RTO).
    • 8.3 Estratégia de continuidade de negócio – embora a NFPA não requeira que uma estratégia seja desenvolvida, isto não é especificado em um capítulo separado ou seção; nem tão pouco ela não está em uma etapa separada do processo. Na ISO 22301 a estratégia tem uma significância muito maior.
    • 9.1 Monitoramento, medição, análise e avaliação – a ISO 22301 é muito mais demandante aqui.
    • 9.2 Auditoria interna – basicamente, a NFPA 1600 não possui tal requisito (pelo menos não na parte principal da norma, embora existam alguns guias no Anexo A).
    • 9.3 Análise crítica pela administração – não existem requisitos detalhados na NFPA 1600, bem como não há requisitos para envolvimento da alta administração.
    • 10.1 Ações corretivas – a NFPA não possui tais requisitos detalhados.

    Parece-me que a ISO 22301 é mais flexível, e portanto mais facilmente implementável em organizações de todos os tamanhos; ela coloca mais ênfase em assuntos de gestão, então é provavelmente mais fácil de comunicar a alta administração.

    Qual implementar?

    Talvez esta seja a questão errada. O que eu não disse antes é que estas normas são similafes em pelo menos 90% dos requisitos; e elas se complementam muito bem – o que a NFPA 1600 possui e a ISO 22301 não se adequa perfeitamente a ISO 22301 – e vice versa.

    Então, por que não implementar ambas? Se você é uma organização americana, seu cliente ou regulador provavelmente irá perguntar pela NFPA 1600; mas se você também opera em um mercado internacional, cedo ou tarde a ISO 22301 se tornará uma necessidade.

    Eu admito que sou tendencioso aqui, mas eu sugeriria iniciar a implementação com a ISO 22301 e adicionar algumas coisas da NFPA 1600 que estão ausentes na ISO. Você terá as duas normas por uma com quase nenhum esforço extra.

    Clique aqui para baixar de forma gratuita a Lista de verificação de documentos obrigatórios da ISO 22301.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.