ISO 22301 – De standaard voor bedrijfscontinuïteitsbeheer, vereenvoudigd

Wat is ISO 22301 en waarom heb je het nodig?

In een wereld waar cyberaanvallen, datalekken en natuurrampen de bedrijfscontinuïteit kunnen onderbreken en snel de reputatie kunnen schaden, moeten organisaties en bedrijven hun Business Continuity Management System (BCMS) implementeren, onderhouden en blijven verfijnen. ISO 22301-certificering van hun continuïteitsmanagement garandeert dat ze dit doen.

ISO 22301 helpt organisaties bedreigingen te identificeren en te prioriteren. Het stelt hen in staat hun bedrijfscontinuïteitsbeheersysteem effectief te implementeren, zodat ze klaar zijn om te reageren op en te herstellen van incidenten met de minste verstoring van de bedrijfsvoering.

Uit onderzoek is gebleken dat bijna 1 op de 5 organisaties jaarlijks te maken krijgt met aanzienlijke bedrijfsonderbrekingen. Daarom is een robuuste en veerkrachtige organisatie een organisatie die met de tijd mee kan veranderen, die begrijpt waar de kwetsbaarheden liggen en plannen heeft om risico's te beperken en te reageren als dat nodig is. Naleving of certificering van ISO 22301 bedrijfscontinuïteitsmanagement stelt uw organisatie in staat om al het bovenstaande op een eenvoudige en gestructureerde manier te bereiken.

De nieuwste versie van de standaard

Op 31 oktober 2019 is de nieuwste versie van de ISO 22301-norm gepubliceerd: ISO 22301:2019. Dit is een herziene versie van ISO 22301:2012. Het doel is om de standaard “meer gestroomlijnd en praktischer te maken”, aldus de ISO. Volgens de United Kingdom Accreditation Service (UKAS) kunnen bedrijven tot en met 22301 april 2012 overstappen van ISO 22301:2019 naar ISO 30:2023. De deadline werd bij wijze van uitzondering verlengd vanwege de Covid-19-situatie. De versie van 2019 is over het algemeen goed ontvangen en de overgang van oude naar nieuwe versies van de standaard wordt gezien als een niet al te belastende exercitie die waarde toevoegt.

U kunt de ISO 22301-standaarddocumentatie voor bedrijfscontinuïteitsbeheer vinden op de website officiële ISO-website.

ISO 22301:2019 biedt bedrijven de meest actuele beveiligings- en veerkrachtcertificering om er zeker van te zijn dat hun bedrijfscontinuïteitsbeheersystemen voldoen aan de internationale norm, opgesteld door de ISO.

De relatie met ISO 22301:2012

Er is geen radicaal verschil tussen ISO 22301:2012 en ISO 22301:2019. Beide versies vereisen betrokkenheid van het senior management, en het bijgewerkte model weerspiegelt wat er nodig is om een ​​succesvol BCMS in stand te houden.

Die duurzaamheid wordt veel comfortabeler met op technologie gebaseerde managementsystemen voor bedrijfscontinuïteit, zoals ISMS.online.

ISO 22301:2012 werd in mei 2012 gepubliceerd en in juni van hetzelfde jaar gewijzigd. Het was de bedoeling dat de managementsysteemvereisten die in ISO 22301 voor bedrijfscontinuïteitsmanagement waren vastgelegd, zich zouden uitstrekken tot alle organisaties. De mate waarin de criteria worden geïmplementeerd, hangt af van de werkomgeving en de reikwijdte van de organisatie, vergelijkbaar met hoe men hun bereik zou ontwikkelen voor andere managementsysteemnormen zoals ISO 27001.

Hoewel verschillende concepten en terminologie van bedrijfscontinuïteitsmanagement zijn herzien om de context uit te breiden en gevestigde procedures te weerspiegelen, is artikel 8; Operatie is het belangrijkste gebied waarop veranderingen hebben plaatsgevonden.

ISMS.online biedt ISO 22301-frameworks voor bedrijfscontinuïteitsbeheer binnen zijn pakketdiensten. Dat betekent dat organisaties die hun bestaande managementsystemen voor bedrijfscontinuïteit willen migreren dat ook kunnen, net als organisaties die voor het eerst aan ISO 22301 beginnen.

Wat is bedrijfscontinuïteitsbeheer?

Als uw bedrijf getroffen zou worden door een catastrofe of crisis, zou uw bedrijf dan kunnen voortbestaan? Wanneer incidenten en natuurrampen toeslaan, is er weinig tijd om een ​​responsstructuur voor te bereiden, vooral wanneer de belangrijkste mensen, processen, netwerken, infrastructuur en andere essentiële diensten ontwricht raken.

Een ramp kent geen grenzen. Het kan van invloed zijn op uw bedrijfscontinuïteit, zowel intern als extern, en ook op uw klanten en de toeleveringsketen. Of u nu een klein of een groot bedrijf bent, u kunt met impact te maken krijgen. Het primaire doel van bedrijfscontinuïteitsbeheer is het verkleinen van de kans op bedreigingen en het garanderen dat het bedrijf reageert op significante verstoringen die de toekomst in gevaar kunnen brengen.

Bij bedrijfscontinuïteitsmanagement gaat het om verantwoordelijk en effectief leiderschap. Het moet een basis bieden voor het ontwikkelen van veerkracht bij incidenten en voor het vermogen om succesvol te reageren, waarbij de belangen van uw belangrijkste belanghebbenden, de reputatie en de waardecreërende activiteiten van uw bedrijf worden gewaarborgd.

Een strategie voor bedrijfscontinuïteit met een gedocumenteerd managementsysteem moet ervoor zorgen dat werknemers zich bewust zijn van hun rollen en verantwoordelijkheden. In geval van een onverwachte gebeurtenis is het van essentieel belang dat u zich kunt aanpassen aan vastgestelde processen en goedgekeurde procedures.

De voordelen van Business Continuity Management

Bedrijfscontinuïteitsbeheer helpt organisaties de waarschijnlijkheid en impact van verstoringen en downtime te verminderen, activa te beschermen als er iets misgaat, door te blijven werken tijdens de verstoring en zo snel mogelijk te herstellen van eventuele incidenten die zich voordoen. Het hebben van bedrijfscontinuïteitsplannen kan uw organisatie op de volgende manieren helpen:

Voldoen aan wettelijke vereisten

ISO 22301 wordt gebruikt voor de wettelijke en regelgevende certificering van continuïteitsmanagement, waardoor wordt gegarandeerd dat aan alle vereiste elementen van een bedrijfscontinuïteitsmanagementsysteem wordt voldaan.

Marketingvoordeel behalen

Merkreputatie is waardevol voor elke organisatie en moet koste wat het kost worden beschermd. Met een continuïteitsmanagementsysteem is het mogelijk om het vertrouwen van klanten op te bouwen, waardoor de kans kleiner wordt dat er een PR-ramp plaatsvindt die de relaties met belanghebbenden, waaronder klanten, opdrachtgevers en leveranciers, kan schaden.

Verminder de afhankelijkheid van individuen

Door middel van planning, training, bewustmakingsprogramma's en testen moet iedereen in een organisatie begrijpen wat er van hem/haar wordt verwacht. Dit schept vertrouwen dat de bedrijfscontinuïteitsplannen resultaten opleveren in geval van een verstoring.

Voorkom grootschalige schade

Het is van cruciaal belang dat uw bedrijf tijdens en na een incident actief blijft. Door de bedrijfsactiviteiten na onderbrekingen snel te herstellen, is het mogelijk de kosten van schadelijke incidenten te verlagen, de reputatie van de organisatie te beschermen en zelfs levens te redden als zich gevaarlijke gebeurtenissen voordoen, zoals brand of overstromingen.

Operationele veerkracht

Ongelukken en ongeplande gebeurtenissen variëren in omvang, snelheid en impact en treffen mogelijk slechts één afdeling of locatie. Het identificeren en plannen van mogelijke kleinschalige problemen die zouden kunnen escaleren tot grote operationele problemen voor de hele organisatie, zal de wielen draaiende houden.

Bedrijfscontinuïteitsrisico

Bedrijfscontinuïteitsbeheer met behulp van een goed gedocumenteerd managementsysteem helpt u om disruptieve incidenten beter te identificeren en de kans hierop te verkleinen of om bedrijfscontinuïteitsrisico’s aan te pakken. Bedrijfscontinuïteitsmanagement leidt tot de groei van een stabielere omgeving, hoewel bedrijven zonder succesvolle bedrijfscontinuïteitsmanagementsystemen hun kansen aanzienlijk zullen vergroten. Een goed ontwikkeld, georganiseerd en geoefend Business Continuity Plan (BCP) kan het bedrijf helpen zo snel mogelijk te herstellen van een incident.

Al uw procedures moeten actueel, accuraat en efficiënt zijn. Methoden omvatten, maar zijn niet beperkt tot, bedrijfsrisicobeoordelingen, informatiebeveiligingsrisicobeoordelingen en het aanpakken van uw gezondheids- en veiligheidsbeleid, evenals uw continuïteitsbeheerplan.

Voorbeelden van bedrijfscontinuïteitsrisico’s zijn onder meer:

• Cyberaanvallen en datalekken
• Ongeplande IT- en telecomstoringen
• Onderbreking van de nutsvoorziening
• Ongunstige weersomstandigheden en andere omgevingsoorzaken
• Pandemieën en epidemieën
• Terroristische daden
• Beveiligingsincidenten
• Brand
• Straler
• Verlies van sleutelpersoneel
• Vernietiging van fysieke eigendommen of materieel verlies

Voorbereid zijn op noodsituaties

Business Continuity Management beschrijft de stappen die u moet nemen in een noodsituatie in de vorm van een Disaster Recovery Plan (DRP). Een Disaster Recovery Plan is een gedocumenteerde, georganiseerde strategie voor bedrijfscontinuïteit die laat zien hoe te reageren op ontwrichtende incidenten.

Het Disaster Recovery Plan begint zijn opstelling na een meer gedetailleerde analyse van de bedrijfsimpact, die helpt aan te tonen waar de belangrijkste impact en gevolgen van een gebeurtenis liggen. ISMS.online biedt u de tools die u nodig hebt om uw bedrijfsimpactanalyse, noodherstelplannen en nog veel meer te beheren met behulp van informatietechnologie.

Uw DRP moet een kortetermijnregeling omvatten om kritieke bedrijfssystemen te repareren en opnieuw op te bouwen, en een plan om problemen aan te pakken, zoals het identificeren van de hoofdoorzaken en een preventieaanpak op de lange termijn. Er zijn veel opties beschikbaar om ervoor te zorgen dat een organisatie beschikt over een noodsysteem dat de beste oplossing biedt.

Het on-site herstelsysteem zou er bijvoorbeeld voor zorgen dat gegevens efficiënter kunnen worden teruggehaald met databack-ups en andere middelen. Uw preventiemaatregelen moeten ook bescherming bieden tegen mogelijke serverstoringen en rekening houden met het risico van externe contractanten. Vervolgens zou u noodplannen en alternatieve bedrijfscontinuïteitsstrategieën opstellen voor het ontbreken van voorraden die van vitaal belang zijn voor de bedrijfsvoering, lang voordat ze zelfs maar een probleem voor noodherstel worden.

Wat is een BCMS?

Een managementsysteem voor bedrijfscontinuïteit is, heel eenvoudig gezegd, een erkende aanpak om ervoor te zorgen dat een organisatie haar bedrijfsactiviteiten kan voortzetten en effectief kan reageren op ontwrichtende incidenten.

ISO 22301 biedt een constante en beproefde methode voor bedrijfsimpactanalyse met een raamwerk dat is gebaseerd op erkende goede praktijken. Iedereen die een op ISO 22301 gebaseerd managementsysteem voor bedrijfscontinuïteit implementeert en certificering behaalt, zal onmiddellijke erkenning en begrip vinden van invloedrijke klanten, waaronder goed opgeleide experts, auditors en andere geïnteresseerde partijen.

Gebaseerd op ISO 22301 benadrukt ISO zelf het belang van managementsystemen voor bedrijfscontinuïteit:

• Laten zien dat de organisatie de behoeften en noodzaak van een duidelijk bedrijfscontinuïteitsbeleid en -doelstellingen begrijpt
• Implementatie en uitvoering van processen, incidentresponsmechanismen en andere interventies om ervoor te zorgen dat de organisatie een verstoring overleeft
• Monitoring en continue verbetering van het bedrijfscontinuïteitsmanagementsysteem

Demonstreren van goede praktijken voor bedrijfscontinuïteitsbeheer

Het volgen van ISO 22301 als basis voor uw BCMS levert het bewijs dat het bedrijf de nodige stappen heeft ondernomen om aan de wettelijke vereisten te voldoen, naast de erkende goede praktijken.

Een best practice op het gebied van bedrijfscontinuïteit omvat de levenscyclus van bedrijfscontinuïteitsbeheer, aangezien u het mogelijk kunt maken de efficiëntie en kwaliteit van uw bedrijfscontinuïteitsbeheersystemen te maximaliseren. ISO 22301 biedt een raamwerk voor internationale best practices op het gebied van het goed begrepen concept Plan/Do/Check/Act. Dit concept is van toepassing op organisaties die hun bedrijfscontinuïteitsmanagementsystemen implementeren, onderhouden en verbeteren, die tot doel hebben de naleving van het gestelde beleid inzake bedrijfscontinuïteit te garanderen.

Met een bedrijfscontinuïteitsmanagementsysteem gebaseerd op de eisen van ISO 22301 kunnen zowel interne als externe geïnteresseerden ervan bewust worden gemaakt dat de organisatie werkt met goede praktijken op het gebied van bedrijfscontinuïteitsmanagement.

Noodherstel en BCMS

Bij het ontwikkelen van effectieve bedrijfscontinuïteitsplannen verkeert een organisatie in een goede positie om praktijken te implementeren die de kans op incidenten en schade aan de organisatie verkleinen. Niet alleen dit, maar effectieve bedrijfscontinuïteitsplannen helpen u uw organisatie beter te begrijpen en effectiever te runnen.

ISO-richtlijnen helpen organisaties bij het identificeren en beheren van compliance, meestal met behulp van een reeks procedures, beleid, procesdiagrammen en dergelijke. Deze begeleiding helpt hen bij het plannen en herstellen van verstoringen in hun bedrijfsactiviteiten. Het is echter nog steeds beter om ze volledig te vermijden, hoewel dat financieel of technisch niet altijd mogelijk of haalbaar is. Ook is het essentieel om de prioriteiten duidelijk te maken als er zich een incident voordoet, bijvoorbeeld: wat is het doel van de hersteltijd? Wat is de hoogst haalbare downtime? U kunt het antwoord op deze vragen gebruiken bij het opstellen van uw noodherstelplan. De snelheid van het herstel moet een overweging zijn. Een op ISO 22301 afgestemd managementsysteem voor bedrijfscontinuïteit omvat rampenherstel en effectieve bedrijfscontinuïteitsplannen om uw bedrijf te helpen uw kritieke activiteiten zo snel mogelijk te herstellen.

BCMS en cyberveerkracht

Het implementeren van een Business Continuity Management System (BCMS) is van cruciaal belang voor het ontwikkelen van cyberveerkracht in de huidige cyberveiligheidsomgeving. Een deel van de ISO 27001 Information Security Standard bevat een clausule over bedrijfscontinuïteit – ISO 22301 voldoet ruimschoots aan deze ISO 27001-vereiste.

Cyberaanvallen hebben de afgelopen tien jaar routinematig het nieuws gehaald. De beruchte wereldwijde WannaCry-ransomware-aanval in mei 2017 liet bijvoorbeeld een spoor van verwoesting achter, omdat organisaties de toegang tot hun eigen gegevens werd ontzegd en gedwongen werd hun bedrijfsactiviteiten stop te zetten totdat grote losgelden waren betaald.

Dergelijke incidenten tonen aan hoe belangrijk het is om ervoor te zorgen dat uw bedrijf kan reageren op en herstellen van verstoringen, door een effectief Business Continuity Management System (BCMS) te implementeren.

De voordelen van ISO 22301

Er zijn veel voordelen van ISO 22301, waaronder het terugbrengen van de organisatie naar ‘business as usual’ met minimale verstoring door welke crisis dan ook.

Operationele veerkracht

Het vermogen om de bedrijfsactiviteiten voort te zetten, ongeacht kleine of grote incidenten, wordt steeds belangrijker voor bedrijven in alle sectoren. Met een Business Continuity Management System (BCMS) kan een bedrijf op deze incidenten plannen. Dit leidt tot een groter concurrentievermogen en vermindert de hoeveelheid operationele downtime die een bedrijf zal hebben, mocht het onverwachte zich voordoen.

Voorbereid zijn op noodsituaties

ISO 22301 geeft bedrijven en organisaties de mogelijkheid om adequaat te reageren bij ontwrichtende incidenten en verspilling of onnodig verlies te voorkomen. Door het effect van de verstoring proactief te beoordelen, herkent het bedrijfscontinuïteitsmanagement de producten en diensten die essentieel zijn voor het voortbestaan ​​van de organisatie. Het probeert te bepalen welke oplossingen en noodplannen nodig zijn als er zich een incident zou voordoen.

Corporate governance

Naleving van ISO 22301 helpt bij het voldoen aan de eisen van corporate governance. In wezen kan de standaard het bewijs leveren dat de organisatie de noodzakelijke stappen heeft ondernomen om te voldoen aan wettelijke vereisten die een effectief bedrijfscontinuïteitsbeheerprogramma vereisen.

Crisisbeheersing

Crisismanagement (CM) verwijst naar de algehele coördinatie van de reactie van een organisatie op een crisis, op een effectieve en tijdige manier. Voor degenen die verantwoordelijk zijn voor het omgaan met crisisbeheersing is het doel het voorkomen of op zijn minst minimaliseren van schade aan de winstgevendheid, de reputatie of het vermogen van de organisatie om te opereren. Het voldoen aan de ISO 22301-norm bevestigt dat de juiste maatregelen hiervoor zijn getroffen.

ramp herstel

Distributieactiviteiten bij rampen zijn erop gericht de organisatie na een traumatische gebeurtenis terug te laten keren naar ‘business as usual’ en de organisatie op weg te helpen naar volledig herstel. Het is belangrijk om te onderkennen dat dit iets anders is dan bedrijfscontinuïteitsmanagement, waarbij het erom gaat ervoor te zorgen dat de onderneming de kans op natuurrampen kan blijven verkleinen en kan blijven functioneren tijdens een crisis.

Bescherming van reputatie tijdens een crisis

ISO 22301-certificering laat belanghebbenden zien dat uw bedrijfscontinuïteitsvermogen geschikt is voor de schaal en reikwijdte van uw organisatie. Net als ISO 27001 wekt het meer vertrouwen, vooral als het wordt gecertificeerd door een onafhankelijke certificeringsinstantie. Het helpt u inzicht te krijgen in de bedrijfsbehoeften door potentiële fouten en risico's te identificeren. Bedrijven kunnen vervolgens aan belanghebbenden, consumenten, leveranciers en toezichthouders demonstreren dat ze over een robuust managementsysteem en -processen voor bedrijfscontinuïteit beschikken. ISO 22301 zal ook het vertrouwen van belanghebbenden vergroten in het vermogen van de organisatie om te reageren op ontwrichtende incidenten en gebeurtenissen, en om kritieke processen in stand te houden. bedrijfsprocessen mocht zich een catastrofe voordoen.

Voorbereiding op technologische mislukkingen

Van telecommunicatiestoringen tot verlies van toegang tot opgeslagen gegevens: technologische storingen kunnen enorme schade toebrengen aan de winstgevendheid en reputatie van een organisatie. ISO 22301 zorgt ervoor dat alle maatregelen zijn getroffen om dergelijke verstoringen te beperken en ervoor te zorgen dat alle afdelingen voorbereid zijn op het worstcasescenario.

Verlaag de kosten voor bedrijfsonderbrekingsverzekeringen

Met een BCMS dat voldoet aan ISO 22301 heeft een organisatie betekenisvollere inzichten in de gevolgen van een potentiële ramp. Hierdoor kan het bedrijf het type en de waarde van de verzekeringsdekking die het nodig heeft beter beoordelen, waardoor de kosten op de lange termijn mogelijk worden verlaagd.

Plan voor het plotselinge verlies van kritieke hulpbronnen

Hieruit volgt dat als er proactief de impact van verstoring wordt geïdentificeerd, een organisatie een sterke positie zal hebben om de bedrijfscontinuïteit te handhaven. Managementsystemen voor bedrijfscontinuïteit helpen bij het vaststellen welke reacties nodig zijn als zich een verstoring voordoet, en ISO 22301 biedt verder de mogelijkheid om adequaat te reageren in het geval van een dergelijke verstoring.

Zodra u uw implementatie heeft voltooid, is het van essentieel belang om regelmatig audits uit te voeren op het bedrijfscontinuïteitsbeheersysteem. Ook voor het verkrijgen van onafhankelijke certificering van het BCMS zijn interne audits verplicht. Prestatiebeoordelingen vormen ook een aanvulling op interne audits om ervoor te zorgen dat uw managementsystemen te allen tijde naar verwachting werken.

De ISO-auditor verwacht ook een overzicht van de verbeteringen die uw organisatie in de loop van de tijd heeft aangebracht. Het hebben van een methode voor het aanpakken van non-conformiteiten, corrigerende maatregelen en andere verbeteringen is een cruciale vereiste.

Aan de slag met ISO 22301

We moedigen organisaties aan om de internationale ISO-norm te kopen en die te verwerken, zodat ze de vereisten van de ISO-managementsysteemnormen volledig begrijpen. We raden u aan om bij het begin te beginnen (4.1 de organisatie en haar context begrijpen) en te voorkomen dat u begint met het ontwikkelen van incidentresponsplannen voordat u de reikwijdte, risico's en gevolgen hebt overwogen.

ISMS.online is ook vooraf geconfigureerd met een reeks tools die u helpen het proces eenvoudiger te volgen en ervoor te zorgen dat u de focus op het bedrijf behoudt. Het sluit ook aan bij de uitgebreidere tools en functies die voor ISO 27001 zijn ingesteld, wat betekent dat u ook aan veel van de ISO 22301-managementsysteemvereisten kunt voldoen. U kunt taken zoals audits, prestatiebeoordelingen, managementvergaderingen, opleiding van personeel enz. allemaal tegelijkertijd beheren.

U verlaagt de kosten, vereenvoudigt het leren voor het personeel en maakt de administratie van het bredere bedrijfsmanagementsysteem ook veel comfortabeler. Externe auditors vinden dat ook veel effectiever en hebben veel vertrouwen als ze consistente werkwijzen binnen de ISO-normen zien.

Hier vatten we het raamwerk samen dat is vastgelegd in ISO 22301:

Context

Het ISO 22301-framework is bedoeld voor organisaties van alle soorten en maten die een BCMS implementeren, onderhouden en verbeteren. Het moet als een strategische intentie worden aangenomen door elk bedrijf dat zich wil conformeren aan het vastgestelde bedrijfscontinuïteitsbeleid en zich inzet voor het vergroten van de veerkracht door de effectieve toepassing van de bedrijfscontinuïteitsbeheersystemen.

Planning

In principe begint de planning van bedrijfscontinuïteitsbeheersystemen met het beoordelen en bepalen van de risico's en kansen met betrekking tot bedrijfscontinuïteitsbeheer. De organisatie moet ook bedrijfscontinuïteitsdoelstellingen vaststellen voor de relevante functies en niveaus. Deze doelstellingen moeten worden gemonitord, duidelijk gecommuniceerd en indien nodig bijgewerkt.

Leadership

In elke branche is het van cruciaal belang dat het managementteam leiderschap en betrokkenheid bij het BCMS kan tonen. Dit kan worden bereikt door 'ervoor te zorgen dat het bedrijfscontinuïteitsbeleid en de bedrijfscontinuïteitsdoelstellingen zijn vastgesteld en verenigbaar zijn met de strategische richting van de organisatie', zegt ISO. Leiders moeten communicatiekanalen gebruiken om hun mensen en partners het belang van effectieve bedrijfscontinuïteit en het voldoen aan de vereisten van bedrijfscontinuïteitsbeheersystemen te laten zien. De leiderschapsstrategie moet ook voortdurende verbetering en ontwikkeling van een cultuur van bedrijfscontinuïteit bevorderen.

Werking

De strategie voor bedrijfscontinuïteit is afhankelijk van de aanwezigheid van operationele processen voor incidentparaatheid en incidentrespons in alle functies van het bedrijf. Dat betekent het vaststellen van criteria voor de processen en het implementeren van beheersing van de processen in lijn met afgesproken criteria. Van het hebben van een media- en communicatiestrategie tot het strak beheren van locatierisico's in de nasleep van ontwrichtende incidenten: rampenherstel is afhankelijk van continuïteitsplannen. Een cruciale stap is het bijhouden van gedocumenteerde informatie om te bewijzen dat processen en BC-testen zijn uitgevoerd zoals gepland en waar nodig verbeterd.

Prestatie-evaluatie

Door middel van prestatiebeoordeling kan veel worden geleerd van incidenten die plaatsvinden. Door successen en beperkingen te monitoren, wordt kennis opgebouwd. Geïnteresseerde partijen hebben de verantwoordelijkheid om gegevens bij te houden en de resultaten van audits te gebruiken om hen te helpen de juiste beslissingen te nemen over hoe ze toekomstige verstoringen van de bedrijfsvoering kunnen beheersen. Door een auditprogramma op te zetten, kan de organisatie ervoor zorgen dat eventuele noodzakelijke corrigerende maatregelen worden genomen. Het doel is om gedetecteerde non-conformiteiten en hun oorzaken te elimineren.

Verbetering

Voortdurende verbetering staat centraal in de gedocumenteerde managementsysteemnorm zoals uiteengezet in ISO 22301. Eventuele herzieningen en verbeteringen aan de manier waarop het BCMS wordt beheerd, zullen het bedrijfscontinuïteitsmanagementplan in de loop van de tijd verbeteren.

ISO 22301-beleid en -procedures

Beleid en procedures voor een ISO 22301-project voor bedrijfscontinuïteitsmanagement moeten zorgvuldig worden beheerd.

Een organisatie moet aantonen dat zij voldoet aan de ISO-norm voor bedrijfscontinuïteit door het verstrekken van passende documentatie. Dit omvat een reikwijdte, een gedetailleerd bedrijfscontinuïteitsbeleid, een formele risicobeoordelingsprocedure en bedrijfscontinuïteitsplannen die laten zien hoe de organisatie zal reageren op en herstellen van verstoringen.

termen en definities

De standaard gaat uitgebreid in op veiligheid en veerkracht. Er wordt gebruik gemaakt van een breed scala aan gespecialiseerde technische termen, of algemene termen die een specifieke betekenis hebben in de context van veiligheid en veerkracht.

Om u te helpen ze te begrijpen, bevat het definities van de 31 belangrijkste. Het verwijst u ook naar “ISO 22301 Security and Resilience – Vocabulary”, waarin bijna 300 termen op het gebied van veiligheid en veerkracht worden opgesomd en gedefinieerd.

Er zijn enkele bijbehorende richtlijndocumenten die meer details toevoegen aan de vereisten in ISO 22301. Sommige hiervan worden vermeld in ISO 27001, opvallende handleidingen zijn:

ISO 22313 – Richtlijnen voor het gebruik van ISO 22301
ISO 22317 – Richtlijnen voor Business Impact Analyse (BIA)
Als u een term wilt begrijpen die hier niet wordt vermeld, moet u ISO 22301 raadplegen om te zien wat deze betekent.

U kunt termen en definities ook online vinden.

ISO en IEC onderhouden terminologische databases voor gebruik bij standaardisatie op de volgende adressen:

• ISO Online browserplatform
• IEC Elektropedie

Het begrijpen van deze termen is erg belangrijk. Voor degenen die nog geen expert zijn op dit gebied, kan het een beetje moeilijk zijn om er grip op te krijgen.

Als u ervoor kiest om met ons samen te werken, zorgen wij ervoor dat u ze begrijpt. We leggen ze uit in ons eigen ondersteuningsmateriaal, en als u meer gerichte hulp nodig heeft, kunnen we uw vragen zelf beantwoorden of de juiste onafhankelijke partner vinden om met u samen te werken.

Controle en naleving

Een audit is een proces voor het verzamelen van bewijsmateriaal met als doel te evalueren in hoeverre aan de belangrijkste criteria wordt voldaan. Audits moeten objectief, onpartijdig en onafhankelijk zijn, en het auditproces moet zowel systematisch als gedocumenteerd zijn.

Interne audits zijn een verplicht onderdeel van een gecertificeerd BCMS. Daarnaast zal de gekozen certificatie-instelling periodiek 'externe' audits uitvoeren om eerst het BCMS te certificeren en er vervolgens voor te zorgen dat het aan de norm blijft voldoen. Het is ook mogelijk om gecombineerde audits uit te voeren. Hierbij worden twee of meer gedocumenteerde managementsystemen van verschillende disciplines tegelijkertijd geaudit.
Een ISO-auditor verwacht een overzicht van de verbeteringen die uw organisatie in de loop van de tijd heeft aangebracht. Het hebben van een methode voor het aanpakken van non-conformiteiten, corrigerende maatregelen en andere verbeteringen zijn cruciale vereisten.

Het belang van het testen van de BC-regelingen

Er zijn verschillende manieren om de gedocumenteerde afspraken en plannen in het BCMS te testen. Voorbeelden zijn onder meer tafeloefeningen, oefeningen op volledige of gedeeltelijke schaal en ook het benutten van het leren van echte gebeurtenissen. ISO 22301 schrijft voor dat deze processen regelmatig moeten plaatsvinden, afhankelijk van de activiteiten en het risicoprofiel van uw organisatie.

Conformiteit

Nadat u de certificering heeft behaald, moet u een onderhoudsplan opstellen om voortdurende naleving van de ISO 22301-norm te garanderen. Bij ISMS.online hebben we hier bijzondere expertise in.

We begrijpen ook dat voortdurende verbetering een belangrijk onderdeel is van het behouden van een ISO 22301-certificering. Artikel 10 richt zich hierop en omvat alle acties die binnen een organisatie worden ondernomen om:

Realiseer doelstellingen voor bedrijfscontinuïteit effectiever
Vergroot de betrouwbaarheid van beveiligingsprocedures en -controles
Creëer meer beveiligingsvoordelen voor de organisatie en haar belanghebbenden

ISO 22301-vereisten

ISO 22301:2019 implementeert het raamwerk, de fundamentele tekst en de definities van bijlage L, voorheen bijlage SL. Bijlage L stelt een raamwerk op hoog niveau vast voor ISO-managementsysteemnormen. De bijlage is opgesteld met het oog op het opnemen van een vergelijkbare kerntekst en gemeenschappelijke terminologie en concepten.

Met uitzondering van artikel 8 behandelen de eisen van bijlage L veel van dezelfde gebieden als de kerneisen van ISO 27001, die worden behandeld in paragraaf 4.1 tot en met 10.2.

• ISO 22301: De norm voor bedrijfscontinuïteit
• Artikel 1 – Toepassingsgebied
• Artikel 2 – Normatieve verwijzingen
• Artikel 3 – Termen en definities
• Artikel 4 – Context van de Organisatie
• Artikel 6 – Planning
• Artikel 7 – Ondersteuning
• Artikel 8 – Operaties
• Artikel 9 – Prestatiebeoordeling
• Artikel 10 – Verbetering