NFPA 1600 vs. ISO 22301 – Similaridades e diferenças

Caso você seja um praticante de continuidade de negócio nos EUA, você provavelmente deve estar imaginando qual norma aplicar – NFPA 1600 ou ISO 22301. Afinal, ambas são normas de continuidade de negócio, e ambas possuem um histórico significativo – agências governamentais americanas parecem adorar a NFPA 1600, e a ISO 22301 é uma norma internacional aceita mundialmente.

Uma rápida visão geral

A NFPA 1600 é oficialmente intitulada como “Standard on Disaster/Emergency Management and Business Continuity Programs” (“Norma para gestão de desastres/emergências e programas de continuidade de negócio” em tradução livre) e foi inicialmente publicada pela National Fire Protection Association em 1995. Ela foi algumas vezes desde então, e atingiu um escopo que é muito maior do que seu título sugeriria – ela foi aprovada pela Comissão 9/11, foi adotada pelo Departamento de Segurança Nacional americano como um boa prática, e recebeu designação e certificação como uma tecnologia antiterrorismo sob o SAFETY Act americano.

Por outro lado, a ISO 22301 (oficialmente chamada de “Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos) começou sua “carreira” como a norma britânica BS 25999 em 2006/2007, e em 2012 tornou-se uma norma internacionalmente aceita publicada pela International Organization for Standardization (ISO). Isto significa que, diferentemente da NFPA 1600, que é primariamente uma norma americana, a ISO 22301 é reconhecida em muitos países como a principal norma ou estrutura para continuidade de negócio.

A parte engraçada é que, enquanto a NFPA 1600 é muito maior (66 páginas), ela é gratuita, enquanto que a ISO 22301 é menor (32 páginas) e é um tanto quanto cara, como são todas as outras normas ISO.

O que a NFPA 1600 tem que a ISO 22301 não tem?

Aqui estão alguns exemplos de requisitos que não existem na ISO 22301, ou onde a NFPA 1600 trata de forma muito mais detalhada:

  • 4.3 Comitê do programa – não existe tal requisito na ISO 22301.
  • 4.6 Finanças e Administração – os requisitos na ISO 22301 não são tão específicos.
  • 5.2 Levantamento de riscos – os requisitos são muito mais precisos do que na ISO 22301 – por exemplo, eles definem perigos (hazards – ameaças), vulnerabilidades e impactos em maior detalhe.
  • 5.4.2 Levantamento de recursos necessários – a especificação é mais detalhada do que na ISO 22301.
  • Os requisitos em 6.4 Comunicação de crises e informação pública e 6.5 Aviso, notificações e comunicações são basicamente os mesmos que na ISO 22301, mas aqui eles estão mais estruturados logicamente.
  • 6.7.1.1 Centros de operações de emergência (Emergency Operations Centers – EOCs) – não existe na ISO 22301.
  • 6.7.7 e 6.7.8 gestão de recursos e gestão de incidentes são muito mais detalhados do que na ISO 22301.
  • 6.10 Assistência e suporte ao empregado – aqui é muito mais detalhado do que na ISO 22301.
  • 8.3 Projeto de exercícios e testes – novamente, a NFPA 1600 é muito mais detalhada do que a ISO 22301.
  • Anexo A – embora não seja obrigatório para a implementação, ele provê uma grande quantidade de guias úteis (muito similar ao que a ISO 22313 faz para a ISO 22301). Por exemplo:
    ◦ estratégias de recuperação
    ◦ métodos para exercícios e testes
    ◦ catálogo de perigos (ameaças)
    ◦ questões a serem incluídas na análise de impacto no negócio

Resumindo, a NFPA 1600 é muito mais detalhada e é provavelmente mais fácil para implementar a continuidade de negócio utilizando alguma literatura adicional; uma vez que muitos requisitos são mais detalhados do que na ISO 22301, ela é provavelmente mais adequada para organizações de médio e grande porte.

O que a ISO 22301 tem que a NFPA 1600 não tem?

Aqui estão os elementos onde a ISO 22301 coloca mais ênfase:

  • 4.2.1 Partes interessadas e seus requisitos – os requisitos são mais precisos do que na NFPA 1600.
  • 4.3.2 Escopo – os requisitos são muito mais precisos na ISO 22301.
  • 7.5 Informação documentada – novamente, requisitos muito mais precisos do que na NFPA 1600.
  • 8.2.2 Análise de impacto no negócio – a NFPA 1600 não reconhece a Indisponibilidade Máxima Aceitável (Maximum Acceptable Outage – MAO) como uma etapa antes do estabelecimento do Tempo Objetivo de Recuperação (Recovery Time Objective – RTO).
  • 8.3 Estratégia de continuidade de negócio – embora a NFPA não requeira que uma estratégia seja desenvolvida, isto não é especificado em um capítulo separado ou seção; nem tão pouco ela não está em uma etapa separada do processo. Na ISO 22301 a estratégia tem uma significância muito maior.
  • 9.1 Monitoramento, medição, análise e avaliação – a ISO 22301 é muito mais demandante aqui.
  • 9.2 Auditoria interna – basicamente, a NFPA 1600 não possui tal requisito (pelo menos não na parte principal da norma, embora existam alguns guias no Anexo A).
  • 9.3 Análise crítica pela administração – não existem requisitos detalhados na NFPA 1600, bem como não há requisitos para envolvimento da alta administração.
  • 10.1 Ações corretivas – a NFPA não possui tais requisitos detalhados.

Parece-me que a ISO 22301 é mais flexível, e portanto mais facilmente implementável em organizações de todos os tamanhos; ela coloca mais ênfase em assuntos de gestão, então é provavelmente mais fácil de comunicar a alta administração.

Qual implementar?

Talvez esta seja a questão errada. O que eu não disse antes é que estas normas são similafes em pelo menos 90% dos requisitos; e elas se complementam muito bem – o que a NFPA 1600 possui e a ISO 22301 não se adequa perfeitamente a ISO 22301 – e vice versa.

Então, por que não implementar ambas? Se você é uma organização americana, seu cliente ou regulador provavelmente irá perguntar pela NFPA 1600; mas se você também opera em um mercado internacional, cedo ou tarde a ISO 22301 se tornará uma necessidade.

Eu admito que sou tendencioso aqui, mas eu sugeriria iniciar a implementação com a ISO 22301 e adicionar algumas coisas da NFPA 1600 que estão ausentes na ISO. Você terá as duas normas por uma com quase nenhum esforço extra.

Clique aqui para baixar de forma gratuita a Lista de verificação de documentos obrigatórios da ISO 22301.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.