ISO 22320

ایزو 22320 (ISO 22320:2018): استاندارد راهنما برای مدیریت حوادث

نام انگلیسی استاندارد: ISO 22320:2018 Security and resilience — Emergency management — Guidelines for incident management
نام فارسی استاندارد: ایزو ۲۲۳۲۰:۲۰۱۸ امنیت و تاب‌آوری – مدیریت شرایط اضطراری – راهنما برای مدیریت حوادث

حوادث، اعم از بلایای طبیعی، نقص‌های فنی، حملات سایبری، یا سایر رویدادهای غیرمنتظره، می‌توانند تأثیرات مخربی بر سازمان‌ها، جوامع و زیرساخت‌ها داشته باشند. توانایی پاسخگویی مؤثر و کارآمد به این حوادث برای به حداقل رساندن آسیب‌ها، حفاظت از جان انسان‌ها، حفظ دارایی‌ها و تضمین تداوم عملیات ضروری، حیاتی است. استاندارد بین‌المللی ایزو 22320 راهنمایی‌هایی را برای ایجاد و بهبود قابلیت‌های مدیریت حوادث در سازمان‌ها، صرف‌نظر از نوع، اندازه یا ماهیت فعالیت آن‌ها، ارائه می‌دهد.

شرکت بیکران راهکار به عنوان یک نهاد معتبر صدور گواهینامه، مفتخر است اطلاعات جامعی را در خصوص این استاندارد کلیدی برای تقویت آمادگی و پاسخ به حوادث ارائه دهد.

مقدمه‌ای بر مدیریت حوادث (Incident Management)

مدیریت حوادث (که گاهی اوقات به عنوان مدیریت پاسخ به حوادث یا مدیریت بحران نیز شناخته می‌شود، هرچند تفاوت‌های ظریفی بین این اصطلاحات وجود دارد) شامل مجموعه‌ای از فعالیت‌ها و فرآیندها است که یک سازمان برای آمادگی، پاسخگویی، مدیریت و بازیابی از یک حادثه یا رویداد مخرب انجام می‌دهد. هدف اصلی مدیریت حوادث، کنترل و کاهش تأثیرات منفی یک حادثه و بازگرداندن وضعیت به حالت عادی یا یک حالت پایدار جدید در سریع‌ترین زمان ممکن است.

اهمیت یک سیستم مدیریت حوادث مؤثر از جنبه‌های زیر قابل بررسی است:

حفاظت از جان انسان‌ها: اولویت اصلی در هر حادثه‌ای، ایمنی و سلامت افراد است.

کاهش آسیب به دارایی‌ها و محیط زیست: به حداقل رساندن خسارات مالی، فیزیکی و زیست‌محیطی.

تضمین تداوم عملیات حیاتی: حفظ عملکردهای ضروری سازمان در طول و پس از حادثه.

حفظ شهرت و اعتبار سازمان: پاسخگویی سریع و مؤثر می‌تواند اعتماد ذینفعان را حفظ یا حتی تقویت کند.

انطباق با الزامات قانونی و نظارتی: بسیاری از صنایع و مناطق دارای مقرراتی برای آمادگی و پاسخ به حوادث هستند.

یادگیری و بهبود مستمر: تجزیه و تحلیل حوادث گذشته برای بهبود برنامه‌ها و رویه‌های آینده.

استاندارد ایزو 22320 چیست؟

ISO 22320:2018 راهنمایی‌هایی را برای مدیریت حوادث ارائه می‌دهد. این استاندارد اصول، فرآیندها و ساختارهای اساسی را برای آماده‌سازی و مدیریت مؤثر پاسخ به انواع حوادث، از جمله بلایای طبیعی، حوادث صنعتی، حملات تروریستی، و همه‌گیری‌های بیماری، مشخص می‌کند. این یک استاندارد "راهنما" (Guidelines) است، به این معنی که اصول و بهترین شیوه‌ها را توصیه می‌کند، اما الزامات سفت و سختی را که برای صدور گواهینامه یک سیستم مدیریت (مانند ISO 9001) لازم است، به طور مستقیم مشخص نمی‌کند. با این حال، می‌توان بر اساس اصول آن، یک سیستم مدیریت حوادث را ایجاد و ممیزی کرد.

نکته مهم در مورد ماهیت ایزو 22320:

ایزو 22320 در عنوان خود کلمه "Guidelines" را دارد. این بدان معناست که این استاندارد بیشتر بر ارائه توصیه‌ها و بهترین شیوه‌ها تمرکز دارد تا الزامات دقیق قابل ممیزی برای یک سیستم مدیریت کامل. با این حال، سازمان‌ها می‌توانند از این راهنمایی‌ها برای ایجاد یک چارچوب مدیریت حوادث قوی استفاده کنند و حتی می‌توانند برای نشان دادن همسویی با این راهنمایی‌ها، تحت ممیزی‌های شخص ثالث قرار گیرند که منجر به نوعی "بیانیه انطباق" یا "گواهی همسویی" می‌شود، هرچند این با گواهینامه یک استاندارد سیستم مدیریتی مانند ISO 22301 (سیستم مدیریت تداوم کسب‌وکار) متفاوت است. (این بخش در "شرایط اخذ گواهینامه" بیشتر توضیح داده خواهد شد).

اهداف اصلی ایزو 22320 عبارتند از:

ارائه یک مبنای مشترک برای مدیریت حوادث در سطح بین‌المللی.

بهبود هماهنگی و همکاری بین سازمان‌ها و نهادهای مختلف درگیر در پاسخ به حوادث.

ارتقای قابلیت‌های فرماندهی و کنترل، اطلاعات عملیاتی، و همکاری در حین حوادث.

حمایت از تصمیم‌گیری مؤثر در شرایط بحرانی.

خانواده استانداردهای مدیریت بحران و تداوم کسب‌وکار (سری ایزو 223xx)

ایزو 22320 بخشی از یک خانواده گسترده‌تر از استانداردها با پیشوند ایزو 223xx است که به امنیت و تاب‌آوری (Security and Resilience) می‌پردازند. این خانواده شامل استانداردهای مهمی در زمینه‌های مدیریت بحران، تداوم کسب‌وکار، و سایر جنبه‌های آمادگی و پاسخ به رویدادهای مخرب است. برخی از استانداردهای کلیدی در این خانواده عبارتند از:

ISO 22300: امنیت و تاب‌آوری – واژگان. (Security and resilience – Vocabulary)

ISO 22301: امنیت و تاب‌آوری – سیستم‌های مدیریت تداوم کسب‌وکار – الزامات. (Business continuity management systems – Requirements)

این یک استاندارد سیستم مدیریتی قابل گواهی شدن است و اغلب با ایزو 22320 برای ایجاد یک رویکرد جامع به تاب‌آوری سازمانی ترکیب می‌شود.

ISO 22313: امنیت و تاب‌آوری – سیستم‌های مدیریت تداوم کسب‌وکار – راهنما برای استفاده از ایزو 22301. (Guidance on the use of ISO 22301)

ISO 22316: امنیت و تاب‌آوری – تاب‌آوری سازمانی – اصول و ویژگی‌ها. (Organizational resilience – Principles and attributes)

ISO 22322: امنیت و تاب‌آوری – مدیریت شرایط اضطراری – راهنما برای هشدارهای عمومی. (Public warning)

ISO 22324: امنیت و تاب‌آوری – مدیریت شرایط اضطراری – راهنما برای هماهنگی رنگی هشدارها. (Colour-coded alerts)

ISO 22325: امنیت و تاب‌آوری – مدیریت شرایط اضطراری – راهنما برای ارزیابی قابلیت. (Capability assessment)

ISO 22361: امنیت و تاب‌آوری – مدیریت بحران – راهنما. (Crisis management – Guidelines)

ISO TS 22317: امنیت و تاب‌آوری – سیستم‌های مدیریت تداوم کسب‌وکار – راهنما برای تحلیل تأثیر کسب‌وکار (BIA). (Business impact analysis (BIA) — Guidelines)

ایزو 22320 به طور خاص بر "مدیریت حوادث" تمرکز دارد و فرآیندها و ساختارهای عملیاتی برای پاسخ به یک رویداد را پوشش می‌دهد، در حالی که استانداردهایی مانند ایزو 22301 بر تضمین تداوم عملکردهای حیاتی کسب‌وکار در بلندمدت تمرکز دارند. این استانداردها مکمل یکدیگر هستند.

اصول و عناصر کلیدی راهنمایی‌های ایزو 22320

ایزو 22320 بر چندین اصل و عنصر کلیدی برای مدیریت مؤثر حوادث تأکید دارد:

فرماندهی و کنترل (Command and Control / Incident Command System - ICS):

ایجاد یک ساختار فرماندهی و کنترل واضح و مقیاس‌پذیر برای مدیریت منابع، تصمیم‌گیری و هماهنگی فعالیت‌ها در طول یک حادثه.

این اغلب بر اساس اصول سیستم فرماندهی حادثه (ICS) یا ساختارهای مشابه است که شامل نقش‌های مشخص (مانند فرمانده حادثه، مسئول عملیات، مسئول برنامه‌ریزی، مسئول لجستیک، مسئول مالی/اداری) و یک زنجیره فرماندهی روشن است.

استاندارد بر اهمیت وحدت فرماندهی (هر فرد فقط به یک سرپرست گزارش می‌دهد) و دامنه کنترل مدیریت‌پذیر تأکید می‌کند.

اطلاعات عملیاتی (Operational Information):

جمع‌آوری، تجزیه و تحلیل، مدیریت و به اشتراک‌گذاری اطلاعات دقیق و به‌موقع برای حمایت از تصمیم‌گیری و آگاهی از وضعیت در طول حادثه.

این شامل ایجاد یک "تصویر عملیاتی مشترک" (Common Operational Picture - COP) برای همه طرف‌های درگیر است.

همکاری و هماهنگی (Cooperation and Coordination):

ایجاد فرآیندها و مکانیسم‌هایی برای همکاری و هماهنگی مؤثر بین واحدهای مختلف درون یک سازمان، و همچنین با سازمان‌های خارجی (مانند خدمات اضطراری، نهادهای دولتی، سایر شرکت‌ها) در طول پاسخ به حادثه.

این شامل ایجاد پروتکل‌های ارتباطی، تعریف نقش‌ها و مسئولیت‌ها، و برگزاری تمرین‌های مشترک است.

برنامه‌ریزی برای مدیریت حوادث (Incident Management Planning):

توسعه برنامه‌های مدیریت حوادث که شامل شناسایی ریسک‌ها، سناریوهای احتمالی، رویه‌های پاسخ، تخصیص منابع، و برنامه‌های ارتباطی باشد.

این برنامه‌ها باید به طور منظم بازنگری، به‌روزرسانی و آزمایش شوند.

آمادگی (Preparedness):

شامل فعالیت‌هایی مانند آموزش کارکنان، برگزاری تمرین‌ها و مانورها، تهیه و نگهداری تجهیزات و منابع لازم برای پاسخ به حوادث.

پاسخ (Response):

فعال‌سازی برنامه‌های مدیریت حوادث، اجرای رویه‌های تعریف شده، و مدیریت حادثه با استفاده از ساختار فرماندهی و کنترل.

بازیابی (Recovery):

اگرچه ایزو 22320 بیشتر بر پاسخ فوری تمرکز دارد، اما به اهمیت برنامه‌ریزی برای بازیابی و بازگشت به حالت عادی نیز اشاره می‌کند. این بخش با استانداردهای تداوم کسب‌وکار مانند ایزو 22301 همپوشانی دارد.

یادگیری و بهبود مستمر:

پس از هر حادثه یا تمرین، انجام یک بازنگری (After-Action Review - AAR) برای شناسایی درس‌های آموخته شده و بهبود برنامه‌ها، رویه‌ها و قابلیت‌های مدیریت حوادث.

مزایای پیاده‌سازی راهنمایی‌های ایزو 22320

پیاده‌سازی اصول و راهنمایی‌های ایزو 22320 می‌تواند مزایای قابل توجهی برای سازمان‌ها به همراه داشته باشد:

بهبود قابلیت پاسخ به حوادث: افزایش سرعت، کارایی و اثربخشی در مدیریت حوادث.

کاهش تأثیرات منفی حوادث: به حداقل رساندن آسیب به جان، مال، محیط زیست و شهرت سازمان.

تصمیم‌گیری بهتر در شرایط بحرانی: با دسترسی به اطلاعات دقیق و یک ساختار فرماندهی روشن.

افزایش هماهنگی و همکاری: بهبود همکاری بین تیم‌های داخلی و با نهادهای خارجی.

استفاده بهینه از منابع: تخصیص و مدیریت مؤثرتر منابع در طول پاسخ به حادثه.

افزایش آمادگی کارکنان: کارکنان آموزش‌دیده و آماده، با اطمینان بیشتری به حوادث پاسخ می‌دهند.

تقویت تاب‌آوری سازمانی: کمک به سازمان برای مقاومت در برابر رویدادهای مخرب و بازیابی سریع‌تر از آن‌ها.

افزایش اعتماد ذینفعان: نشان دادن تعهد سازمان به ایمنی، امنیت و آمادگی.

ایجاد یک زبان مشترک: استفاده از اصطلاحات و اصول استاندارد شده برای مدیریت حوادث، ارتباطات را تسهیل می‌کند.

شرایط اخذ "گواهینامه" یا معادل آن برای ایزو 22320

همانطور که قبلاً اشاره شد، ISO 22320:2018 یک استاندارد "راهنما" (Guidelines) است و نه یک استاندارد سیستم مدیریتی با الزامات مشخص برای صدور گواهینامه رسمی. این بدان معناست که:

گواهینامه انطباق مستقیم با ISO 22320 به معنای گواهینامه یک سیستم مدیریت (مانند ISO 9001 یا ISO 22301) معمولاً صادر نمی‌شود. زیرا این استاندارد بیشتر توصیه‌ها و بهترین شیوه‌ها را ارائه می‌دهد تا مجموعه‌ای از الزامات "باید" (shall) که بتوان به طور دقیق آن‌ها را ممیزی کرد و گواهی نمود.

با این حال، سازمان‌ها ممکن است به دنبال روش‌هایی برای نشان دادن همسویی یا تعهد خود به اصول ایزو 22320 باشند:

استفاده از ایزو 22320 به عنوان مبنایی برای توسعه سیستم مدیریت حوادث: سازمان‌ها می‌توانند از راهنمایی‌های این استاندارد برای ساختاردهی و بهبود فرآیندها و قابلیت‌های مدیریت حوادث خود استفاده کنند.

ادغام با سایر سیستم‌های مدیریتی قابل گواهی شدن:

ISO 22301 (سیستم مدیریت تداوم کسب‌وکار): این استاندارد قابل گواهی شدن است. اصول مدیریت حوادث از ایزو 22320 می‌تواند به طور قابل توجهی به برآورده کردن الزامات پاسخ به حوادث در ایزو 22301 کمک کند. یک سازمان می‌تواند گواهینامه ایزو 22301 را دریافت کند و در مستندات خود نشان دهد که از راهنمایی‌های ایزو 22320 برای بخش پاسخ به حوادث استفاده کرده است.

سایر سیستم‌های مدیریت مانند ISO 45001 (ایمنی و بهداشت شغلی) یا ISO 14001 (مدیریت زیست‌محیطی) نیز ممکن است جنبه‌هایی از مدیریت حوادث را پوشش دهند که ایزو 22320 می‌تواند به تقویت آن‌ها کمک کند.

ممیزی شخص ثالث برای ارزیابی همسویی (Assessment of Conformance / Statement of Compliance):

یک سازمان می‌تواند از یک نهاد صدور گواهینامه (CB) مانند BRS.ir یا یک شرکت مشاوره تخصصی (که خدمات ممیزی ارائه می‌دهد اما نه مشاوره برای پیاده‌سازی همزمان) بخواهد تا میزان همسویی سیستم مدیریت حوادث خود را با راهنمایی‌های ایزو 22320 ارزیابی کند.

نتیجه این ارزیابی ممکن است یک "گزارش ارزیابی"، "بیانیه انطباق" یا نوعی "گواهی همسویی" باشد. این سند، گواهینامه رسمی استاندارد نیست، اما می‌تواند نشان‌دهنده تلاش سازمان برای پیروی از بهترین شیوه‌های بین‌المللی باشد. مهم است که CB در این مورد شفافیت کامل داشته باشد که این یک گواهینامه رسمی استاندارد ایزو 22320 نیست.

خوداظهاری (Self-declaration):

یک سازمان می‌تواند پس از پیاده‌سازی راهنمایی‌های ایزو 22320، به طور عمومی اعلام کند که سیستم مدیریت حوادث خود را بر اساس این استاندارد بنا نهاده است.

نقش BRS.ir به عنوان یک نهاد صدور گواهینامه (CB):

با توجه به اینکه شرکت بیکران راهکار یک CB است و مشاوره ارائه نمی‌دهد، نقش آن در ارتباط با ایزو 22320 می‌تواند شامل موارد زیر باشد:

ارائه اطلاعات عمومی و آموزشی: برگزاری دوره‌ها، وبینارها یا انتشار مطالبی برای معرفی اصول و راهنمایی‌های ایزو 22320 و اهمیت مدیریت حوادث. این آموزش‌ها نباید جنبه مشاوره‌ای برای یک سازمان خاص داشته باشند.

انجام ممیزی برای استانداردهای مرتبط قابل گواهی شدن:

صدور گواهینامه ISO 22301 (سیستم مدیریت تداوم کسب‌وکار): در طول ممیزی ایزو 22301، ممیزان BRS.ir می‌توانند بررسی کنند که چگونه سازمان الزامات پاسخ به حوادث را برآورده کرده است، و اگر سازمان از ایزو 22320 به عنوان راهنما استفاده کرده باشد، این می‌تواند به عنوان یک نقطه قوت در نظر گرفته شود.

ارائه خدمات ارزیابی همسویی (در صورت ارائه چنین خدمتی توسط CB و با شفافیت کامل):

BRS.ir ممکن است (بسته به دامنه اعتباربخشی و سیاست‌های خود) خدمات ارزیابی همسویی با راهنمایی‌های ایزو 22320 را ارائه دهد. در این صورت، باید به وضوح مشخص شود که این یک ارزیابی بر اساس راهنماها است و منجر به صدور گواهینامه رسمی استاندارد نمی‌شود، بلکه یک "بیانیه" یا "گواهی همسویی" خواهد بود. این باید با رعایت کامل اصول بی‌طرفی انجام شود.

چالش‌های پیاده‌سازی مدیریت حوادث مؤثر

حفظ آمادگی در طول زمان: مدیریت حوادث نیازمند تلاش و سرمایه‌گذاری مداوم است، حتی زمانی که حادثه‌ای رخ نمی‌دهد.

پیچیدگی هماهنگی بین سازمانی: به ویژه در حوادث بزرگ که نیازمند همکاری چندین نهاد است.

محدودیت منابع: کمبود بودجه، تجهیزات یا کارکنان آموزش‌دیده.

تغییرات در ریسک‌ها و تهدیدات: نیاز به به‌روزرسانی مداوم برنامه‌ها و ارزیابی‌های ریسک.

مقاومت در برابر تغییر: ایجاد فرهنگ آمادگی و پاسخ در یک سازمان ممکن است با چالش‌هایی روبرو شود.

آینده ایزو 22320 و مدیریت حوادث

با افزایش فراوانی و شدت حوادث مختلف در سراسر جهان، اهمیت مدیریت حوادث و استانداردهایی مانند ایزو 22320 رو به افزایش است. انتظار می‌رود که:

سازمان‌ها بیشتر به سمت اتخاذ رویکردهای استاندارد شده برای مدیریت حوادث حرکت کنند.

فناوری‌های جدید (مانند هوش مصنوعی، اینترنت اشیاء، پهپادها) نقش بیشتری در جمع‌آوری اطلاعات، ارتباطات و پاسخ به حوادث ایفا کنند.

تاکید بیشتری بر همکاری و هماهنگی بین‌المللی در مدیریت حوادث فرامرزی شود.

ادغام مدیریت حوادث با سایر جنبه‌های تاب‌آوری سازمانی (مانند تداوم کسب‌وکار، مدیریت بحران، امنیت سایبری) تقویت شود.

نتیجه‌گیری

استاندارد ایزو 22320:2018 (امنیت و تاب‌آوری – مدیریت شرایط اضطراری – راهنما برای مدیریت حوادث) یک منبع ارزشمند برای سازمان‌هایی است که به دنبال تقویت قابلیت‌های خود در آمادگی و پاسخ به انواع حوادث هستند. با ارائه راهنمایی‌هایی در مورد فرماندهی و کنترل، اطلاعات عملیاتی، و همکاری، این استاندارد به ایجاد یک رویکرد سیستماتیک و مؤثر برای مدیریت حوادث کمک می‌کند. اگرچه ایزو 22320 به طور مستقیم منجر به صدور گواهینامه سیستم مدیریت نمی‌شود، اما اصول آن می‌تواند پایه و اساس یک سیستم مدیریت حوادث قوی را تشکیل داده و به طور قابل توجهی به تاب‌آوری و ایمنی سازمان‌ها و جوامع کمک کند.

BRS.ir به عنوان یک نهاد صدور گواهینامه، اهمیت آمادگی و پاسخ مؤثر به حوادث را درک کرده و آماده ارائه اطلاعات و خدمات ممیزی برای استانداردهای مرتبط مانند ISO 22301 است تا به سازمان‌ها در دستیابی به سطح بالاتری از تاب‌آوری کمک کند.