...

BCM – Ostatnie nowości w TC 292

Dariusz Rycek

Dariusz Rycek

Normy wspierające ISO 22301

W ciągu ostatnich 6 miesięcy z rąk komitetu ISO/TC – Security and resilience (Bezpieczeństwo i odporność), a więc jak sama nazwa wskazuje zagadnień niezwykle  ważnych na czasie wyszło aż 9 publikacji wspierających główny produkt systemu zarządzania, czyli ISO 22301. Akredytowana certyfikacja ISO 22301 opisana jest na naszej podstronie produktowej dotyczącej ISO 22301 (link powyżej). Gdy patrzę na 50 opublikowanych norm to ogrania mnie rozdrażnienie, bo gdyby przyszło kupić pełen zestaw opracowań, to musielibyśmy wydać jakieś 35.000,00 PLN. Oczywiście nie wszystkie są nam potrzebne ad hoc, jednakże te rozdrobnienie norm budzi pewien mentalny sprzeciw – to z jednej strony. Z drugiej strony w wielu przypadkach są bardzo użyteczne, dlatego przyjrzyjmy się kilku z nim.

Opisywaliśmy już w publikacji „ISO 22361 – Zarządzanie kryzysowe” (https://coe.biz.pl/zarzadzanie-kryzysowe/) , jako jedną z poniższych ale lista w okresie ostatniego kwartału 2022 roku, oraz 2 miesięcy b.r. jest całkiem pokaźna, bo obejmuje 9 pozycji, do których należą:

  • ISO 22393:2023 – Security and resilience — Community resilience — Guidelines for planning recovery and renewal (Wytyczne dotyczące planowania odbudowy i odnowy),
  • ISO 22385:2023 – Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish a framework for trust and interoperability (Autentyczność, integralność i zaufanie do produktów i dokumentów — Wytyczne dotyczące ustanowienia ram zaufania i interoperacyjności),
  • ISO 22328-3:2023 – Security and resilience — Emergency management — Part 3: Guidelines for the implementation of a community-based early warning system for tsunamis (Wytyczne dotyczące wdrażania społecznościowego systemu wczesnego ostrzegania przed tsunami),
  • ISO 22322:2022 – Security and resilience — Emergency management — Guidelines for public warning (Wytyczne dotyczące publicznego ostrzegania),
  • ISO 22324:2022 – Security and resilience – Emergency management – Guidelines for colour-coded alert (Wytyczne dotyczące alertu oznaczonego kolorami),
  • ISO 22379:2022 – Security and resilience — Guidelines for hosting and organizing citywide or regional events (Wytyczne dotyczące organizacji imprez o zasięgu miejskim lub regionalnym),
  • ISO 22378:2022 – Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for interoperable object identification and related authentication systems to deter counterfeiting and illicit trade (Wytyczne dla interoperacyjnych systemów identyfikacji obiektów i powiązanych systemów uwierzytelniania w celu powstrzymania fałszerstw i nielegalnego handle),
  • ISO 22387:2022 – Security and resilience — Authenticity, integrity and trust for products and documents — Validation procedures for the application of artefact metrics (Procedury walidacji dla stosowania metryk artefaktów),
  • ISO 22361:2022 – Security and resilience — Crisis management — Guidelines (Zarządzanie kryzysowe – wytyczne).

Pominę tematy związane z grupa tematyczną „Autentyczność, integralność i zaufanie do produktów i dokumentów”, gdyż specyfika wykorzystania tych norm powinna być dla producentów dóbr materialnych dobrze znana z tytułu odpowiedzialności za wprowadzanie wyrobu na rynek i potrzeby jego wycofania w sytuacji zagrażającej zdrowiu i życiu klientów, a także innych aspektów o czym można dowiedzieć się przy lekturze wspomnianych norm. Certyfikacja ISO 22301 nie wymaga aby bezwzględnie odwoływać się do wytycznych opisanych w normach komitetu 292, gdyż w wielu przypadkach ich opracowania są mocno spóźnione, a biznes nie lubi pustki i znalazł sobie inne rozwiązania.

Certyfikacja ISO 22301

Wytyczne dotyczące planowania odbudowy i odnowy

W moim odczuciu norma ISO 22393:2023 powinna być adresowana głównie do centrów zarządzania kryzysowego, których działania są określone w ustawie z dnia 26 kwietnia 2007 r. (Dz. U. 2007 Nr 89 poz. 590), gdzie Art. 1. Ustawa określa organy właściwe w sprawach zarządzania kryzysowego oraz ich zadania i zasady działania w tej dziedzinie, a także zasady finansowania zadań zarządzania kryzysowego. Jednakże kilka zdań ze wstępu do normy, gdyż może stanowić podstawę do doskonalenia opracowań opartych na w/w dokument prawny. Dokument ten stanowi ramy dla zarządzania, koordynowania i oceny skutków wszelkiego rodzaju poważnych sytuacji kryzysowych, katastrof i kryzysów, bez względu na ich wpływ na społeczności, a także reagowania na nie poprzez planowanie transakcyjnych działań naprawczych i strategizowanie inicjatyw transformacyjnej odnowy.

W normie napisano, że „… Pomimo złożonego i długotrwałego charakteru reakcji na kryzys, ogólne planowanie odbudowy rozpoczyna się jeszcze przed wystąpieniem kryzysu. Dostosowanie tych ogólnych działań naprawczych do konkretnych warunków, z jakimi mamy do czynienia w kryzysie, rozpoczyna się wcześnie, w trakcie reagowania. Myślenie o odbudowie można rozpocząć już w trakcie trwania kryzysu, tak aby w odpowiednim czasie i na odpowiednią skalę można było podjąć szybkie działania w celu rozpoczęcia procesu odbudowy. W tym kontekście, odbudowa zapewnia działania transakcyjne, aby szybko przezwyciężyć negatywne skutki kryzysu i przygotować się do następnego zdarzenia. Odbudowa następuje w krótkim czasie i ma na celu np. ponowne uruchomienie podstawowych usług (takich jak elektryczność i woda), odbudowę zniszczonej infrastruktury, tymczasowe wsparcie źródeł utrzymania, zapewnienie zarządzania oraz zachęcanie do nowych zachowań niezbędnych do podjęcia pracy i życia społecznego. Te działania transakcyjne zaspokajają najpilniejsze potrzeby poprzez refleksję nad kryzysem i wyciąganie wniosków, które posłużą do przyszłych działań, weryfikację gotowości na przyszłe kryzysy oraz przywracanie części systemu dotkniętego kryzysem. Cel szybkiego “powrotu do normalności”, choć w niektórych sytuacjach przekonujący, jest często zbyt uproszczony, nie docenia zakłóceń i wyrządzonych szkód oraz nie uwzględnia możliwości rozwiązania chronicznych problemów, które zostały ujawnione przez kryzys. Odzyskiwanie przywraca gotowość po kryzysie, o której informuje zarządzanie ciągłością działania, zarządzanie jakością lub kompetentne osoby. Certyfikacja ISO 22301 nie wymaga aby bezwzględnie korzystać z przywołanych tutaj norm wsparcia, jednakże dobre praktyki przytoczone w nich warto wykorzystywać we własnych opracowaniach.

Poza taką działalnością transakcyjną, zakłócenia spowodowane kryzysami tworzą warunki, które mogą zachęcać do poważnych zmian strategicznych; tego, co w tym dokumencie nazywane jest “odnową”. Odnowa dąży do przekształcenia systemu poprzez ambitne inicjatywy strategiczne, które zostały opracowane wspólnie ze społecznościami. Odnowa nie jest częścią cyklu zarządzania kryzysowego (łagodzenie, przygotowanie, reagowanie, odbudowa), ponieważ skala skutków ostatnich kryzysów wykracza poza możliwości transakcyjnej odbudowy w ramach zarządzania kryzysowego. Skutki te wymagają szeroko zakrojonych zmian systemowych, ponieważ odnowa ma na celu pogodzenie zerwanych relacji ze społecznościami oraz poprawę i zmianę niedociągnięć, nierówności i strategicznych słabości, które zostały obnażone przez skutki kryzysu i które obecnie okazują się niewystarczające jako podstawa dla przyszłości. Obejmuje to zmianę otoczenia w celu stworzenia bardziej korzystnych warunków lub przeformułowanie działań w świetle tych warunków. Odnowa zwiększa odporność po kryzysie…”. Trudno się nie zgodzić z takim podejściem, które pokazuje rolę prawdziwego, odpowiedzialnego gospodarza. Procedury kryzysowe zwykle są dobrze opracowane, dlatego prezentowana norma może posłużyć jako dokument odniesienia do doskonalenia. Po więcej informacji na temat odbudowy i odnowy zapraszam do lektury wspomnianej normy.

Certyfikacja ISO 22301, Recovery plan

Wytyczne dotyczące publicznego ostrzegania

ISO 22322:2022 mówi o systemach i procesach ostrzegania publicznego. Organizacje reagowania kryzysowego muszą szybko reagować na rozwijającą się sytuację kryzysową. Czas na komunikację jest ograniczony, a często konkretny komunikat obejmujący praktyczne działania ma być rozpowszechniony wśród dużej grupy. Proste procedury, które skutecznie przekazują wiadomość i wywołują pożądaną reakcję, mogą uratować życie, chronić zdrowie i zapobiec poważnym zakłóceniom. Skuteczne ostrzeżenie publiczne polegające na ogłoszeniu alarmu i powiadomieniu może zapobiegać reakcjom paniki i wspierać organizacje reagujące w optymalizacji reagowania i łagodzenia skutków. 

Wytyczne dla ostrzeżeń publicznych mają na celu wspieranie skutecznych ostrzeżeń publicznych w celu ochrony osób zagrożonych przed szkodą, ostrzegania ogółu społeczeństwa, wspierania organizacji reagowania w optymalizacji reagowania i łagodzenia skutków, zapobiegania reakcjom paniki i poprawy wiedzy ogólnej. Pamiętając o tych zasadach, powinny one być przydatne podczas opracowywania własnego, specyficznego protokołu dla ostrzeżeń publicznych. I o tym właśnie można przeczytać w cytowanej normie. Sama norma ISO 22301 nie zawiera odniesienia do tej normy. Podobnie jak i przy wcześniej omawianej normy certyfikacja ISO 22301, nie wymusza odniesienia się do tego opracowania, tym bardziej, że w tym zakresie mogą istnieć regulacje ustawowe.

Wytyczne dotyczące alertu oznaczonego kolorami a ISO 22301

ISO 22324:2022  – o tej normie dużo pisać nie trzeba, bo sama w sobie jest dość krótka. Podobnie jak dwie powyższe normy w przypadku zarządzania kryzysowego ich zastosowanie powinno być skorelowane z wymaganiami prawnymi w tym zakresie.

Ostrzeżenia oznaczone kolorami są wykorzystywane do powiadamiania osób zagrożonych o zmianach statusu na kontinuum bezpieczeństwa lub zagrożenia, umożliwiając im podjęcie odpowiednich działań. Norma zawiera właśnie dalsze wytyczne dotyczące ostrzeżeń publicznych.

Wszyscy doświadczamy ryzyka w naszym codziennym życiu. Osoby podatne na zagrożenia powinny być w stanie podjąć odpowiednie środki bezpieczeństwa w obliczu zagrożeń, nawet jeśli nie mają ich pełnego zrozumienia. Kolorowe alerty służą do powiadamiania osób narażonych na ryzyko o zmianach statusu. Dokument ten doprowadzi do lepszego zrozumienia kolorowych wpisów, zmniejszając zamieszanie i skłaniając do bardziej odpowiednich reakcji w sytuacji awaryjnej.

Mając na uwadze ciągłe doskonalenie systemów zarządzania ciągłością działania wg ISO 22301 podobnie jak pozostałych normach z zarządzania kryzysowego można ją zastosować jako dokument odniesienia do ciągłego doskonalenia. Certyfikacja ISO 22301 nie wymaga odniesienia do tej normy, ale tam gdzie to jest uzasadnione dobrą praktyką jest posiłkowanie się jej wytycznymi.

ISO 22301, Certyfikacja

Wytyczne dotyczące organizacji imprez o zasięgu miejskim lub regionalnym a ISO 22301

Normę ISO 22379:2022 osobiście gdybym miał wykorzystywać w praktyce, to połączył bym ją z normą ISO 20121:2012 – Event sustainability management systems — Requirements with guidance for use (Systemy zarządzania zrównoważonym rozwojem imprez – Wymagania wraz z wytycznymi dotyczącymi stosowania), bo tej drugiej brakuje właśnie takiego spojrzenia z pkt widzenia ciągłości działania jakie obecne jest w omawianym dokumencie.

Norma została opracowana jako wytyczne dla miast, regionów i krajów w zakresie zarządzania dużymi imprezami oraz minimalizowania wpływu na finanse publiczne, infrastrukturę pomocniczą i usługi na rzecz społeczności lokalnej podczas organizacji imprez o dużym zasięgu. Zawiera ona wskazówki dla gospodarzy i organizatorów imprez dotyczące identyfikacji, oceny i ewaluacji zidentyfikowanych niebezpieczeństw i zagrożeń, które mogą mieć wpływ na daną imprezę, oraz uwzględnienia ich przed podjęciem decyzji o organizacji imprezy lub jej przebiegu, a także sposobów postępowania z ryzykiem. 

Ponadto przedstawia inicjatywy dotyczące najlepszych praktyk w zakresie organizacji bezpiecznych i zrównoważonych imprez oraz zapewnia systematyczny proces i ramy współpracy pomiędzy gospodarzem imprezy a organizatorem w zakresie przygotowania i realizacji imprez publicznych o dużej randze. Wytyczne zawarte w normie mają zastosowanie do każdej organizacji, zarówno publicznej, jak i prywatnej, odpowiedzialnej za organizację lub organizację wydarzenia o zasięgu miejskim lub regionalnym i może być wykorzystywany przez każdą organizację zaangażowaną w przygotowanie i realizację wydarzeń publicznych o dużej randze.

ISO 22301, certyfikacja

Dokument ten pomoże gospodarzom i organizatorom w zaplanowaniu i przeprowadzeniu bezpiecznej, pewnej i zrównoważonej imprezy poprzez:

  • wprowadzenie procesu współpracy pomiędzy gospodarzem a organizatorem;
  • określenie i zaangażowanie odpowiednich zainteresowanych stron;
  • określenie skutków ekonomicznych, środowiskowych i społecznych spowodowanych przez dane zdarzenie;
  • ustanowienie niezbędnych środków do zarządzania ryzykiem wprowadzonym przez imprezę lub mającym na nią wpływ;
  • ustanowienie środków niezbędnych do realizacji imprezy;
  • świadczących usługi o krytycznym znaczeniu dla społeczeństwa i wydarzenia;
  • dostarczanie informacji zainteresowanym stronom i społeczeństwu;
  • dostarczenie przyszłym gospodarzom i organizatorom podobnych imprez wskazanych lekcji;
  • wprowadzenie planu spuścizny po imprezie, zgodnego z długoterminowymi celami dla miasta lub regionu.

Dokument ten ma charakter ogólny i strategiczny, nie zawiera szczegółowych opisów ani sposobu planowania i realizacji konkretnych zadań. Jednakże już na tym poziomie uogólnienia stanowi użyteczne rozwinięcie normy ISO 20121, która nie może doczekać się aktualizacji. Certyfikacja ISO 22301 dla organizacji zajmujących się działalnością organizacji imprez masowych to rzadkość, to już certyfikacja ISO 20121 chociaż rzadka ma zastosowanie. Nigdy jednak nie wymagano w  niej takiego ujęcia tematu ciągłości jak to jest opisane w ISO 22379. Ciekaw jestem czy ktoś wpadnie na połączenie normy ISO 22301 z ISO 22379 oraz ISO 20121 przy wdrożeniu systemu zarządzania zrównoważonym rozwojem wydarzeń.

O normie w zakresie „Wytycznych dotyczących wdrażania społecznościowego systemu wczesnego ostrzegania przed tsunami” również nie będziemy pisać, bo sam tytuł sugeruje zagrożenie, które trudno sobie wyobrazić w naszej szerokości geograficznej. Jednakże temat jest ciekawy z punktu wykorzystania „społecznościowego systemu wczesnego ostrzegania, który może mieć inne zastosowania. U nas można odnieść to do alertów np. RCB.

Warto śledzić prace komitety TC 292, chociaż w obecnym półroczu można spodziewać się raczej tylko jednej publikacji, a będzie nią: ISO/FDIS 22342 – Security and resilience — Protective security — Guidelines for the development of a security plan for an organization, gdyż jest już ona na etapie FDIS, co zwykle znajduje ujście publikacyjne w ciągu 3 miesięcy.

Zapraszamy do współpracy
Zespół Centre of Excellence / QSCert

Bibliografia:

  • Komitet ISO/TC 292 – https://www.iso.org/committee/5259148.html
Scroll to Top