Basiskennis ISO 22301

Wat is ISO 22301?

De volledige naam van deze standaard is ISO 22301:2012 Societal security – Business continuity management systems – Requirements. De standaard is ontwikkeld door toonaangevende experts op het gebied van bedrijfscontinuïteitsbeheer.

Een belangrijk kenmerk dat deze standaard doet verschillen van andere raamwerken/standaarden rond bedrijfscontinuïteit is de mogelijkheid tot erkenning door een certificerende instantie, zodat organisaties aan klanten, partners, eigenaars en andere stakeholders kunnen bewijzen dat ze aan de standaard voldoen.

Verhouding met BS 25999-2

ISO 22301 heeft BS 25999-2 vervangen – de standaarden lijken behoorlijk op elkaar, maar ISO 22301 kan als een update voor BS 25999-2 worden gezien. Zie voor de verschilllen tussen de twee standaarden de infographic ISO 22301 vs. BS 25999-2.

Wat zijn de voordelen van bedrijfscontinuïteit?

Als het goed geïmplementeerd is zal bedrijfscontinuïteitsbeheer de kans op een verstorend incident verkleinen en ervoor zorgen dat, als er toch een storing optreedt, de organisatie op gepaste wijze kan reageren, zodat de mogelijke schade door een storing drastisch wordt verkleind.

Wie kan deze standaard implementeren?

Elke organisatie – klein of groot, met of zonder winstoogmerk, privaat of publiek. De standaard is op zo’n manier ontwikkeld dat hij toepasbaar is op alle soorten en maten organisaties.

Hoe past bedrijfscontinuïteit in algemeen management?

Bedrijfscontinuïteit maakt deel uit van algemeen risicobeheer in een onderneming, waarbij delen overlappen met informatiebeveiligingsbeheer en IT-management.

Let op: Risicobeheer maakt deel uit van het algehele bedrijfsmanagement.

Basale begrippen die in een standaard worden gebruikt

  • Business Continuity Management System (BCMS, Systeem voor bedrijfscontinuïteitsbeheer) – deel van een algemeen managementsysteem dat ervoor zorgt dat bedrijfscontinuïteit gepland, geïmplementeerd, onderhouden en constant verbeterd wordt
  • Maximum Acceptable Outage (MAO, Maximaal Aanvaardbare Storingstijd) – de maximale tijd dat een activiteit verstoord kan zijn zonder dat er onacceptabele schade wordt geleden (ook wel Maximum Tolerable Period of Disruption of MTPD)
  • Recovery Time Objective (RTO, Beoogde Hersteltijd) – het vooraf bepaalde tijdstip waarop een activiteit moet hervatten, of waarop bronnen hersteld moeten zijn
  • Recovery Point Objective (RPO, Beoogd Herstelpunt) – het maximale dataverlies, oftewel de minimumhoeveelheid data die hersteld moet worden
  • Minimum Business Continuity Objective (MBCO, Minimumdoel Bedrijfscontinuïteit) – het minimum aantal diensten of producten dat een organisatie moet produceren bij herstel

Inhoud van ISO 22301

De standaard bevat deze secties:

Introductie

0.1 Algemeen

0.2 Het Plan-Do-Check-Act (PDCA) model

0.3 Onderdelen van PDCA in deze Internationale Standaard

1 Reikwijdte

2 Normatieve verwijzingen

3 Termen en definities

4 Context van de organisatie

4.1 Begrip van de organisatie en zijn context

4.2 De behoeftes en verwachtingen van belanghebbenden begrijpen

4.3 De reikwijdte van het beheersysteem bepalen

4.4 Systeem voor bedrijfscontinuïteitsbeheer

5 Leiderschap

5.1 Algemeen

5.2 Toewijding beheer

5.3 Beleid

5.4 Organisationele rollen, verantwoordelijkheden en hiërarchie

6 Planning

6.1 Maatregelen gericht op risico’s en kansen

6.2 Bedrijfscontinuïteitsdoelen en plannen om ze te bereiken

7 Ondersteuning

7.1 Bronnen

7.2 Competentie

7.3 Bewustzijn

7.4 Communicatie

7.5 Gedocumenteerde informatie

8 Operatie

8.1 Operationele planning en controle

8.2 Business impact analyse en risicobeoordeling

8.3 Bedrijfscontinuïteitsstrategie

8.4 Stel procedures voor bedrijfscontinuïteit vast en implementeer ze

8.5 Oefenen en testen

9 Evaluatie prestaties

9.1 Monitoren, meten, analyse en evaluatie

9.2 Interne audit

9.3 Directiebeoordeling

10 Verbetering

10.1 Afwijkingen en corrigerende maatregelen

10.2 Continue verbetering

Bibliografie

Verplichte documentatie

Als een organisatie deze standaard wil implementeren, is de volgende documentatie verplicht:

  • Lijst van relevante juridische, regulatoire en andere vereisten
  • Reikwijdte van het BCMS
  • Bedrijfscontinuïteitsbeleid
  • Doelen bedrijfscontinuïteit
  • Bewijs van competentie personeel
  • Logboeken van communicatie met belanghebbenden
  • Business impact analyse
  • Risicobeoordeling, inclusief risicobereidheid
  • Structuur storingsopvang
  • Plannen bedrijfscontinuïteit
  • Herstelprocedures
  • Resultaten van preventieve maatregelen
  • Resultaten van monitoren en meten
  • Resultaten van interne audit
  • Resultaten van directiebeoordeling
  • Resultaten van corrigerende maatregelen

Klik hier voor de uitgebreide uitleg van elke verplichte document te bekijken.

Verwante standaarden

Andere nuttige standaarden bij de implementatie van bedrijfscontinuïteit zijn:

  • ISO/IEC 27031 – Guidelines for information and communication technology readiness for business continuity
  • PAS 200 – Crisis management – Guidance and good practice
  • PD 25666 – Guidance on exercising and testing for continuity and contingency programmes
  • PD 25111 – Guidance on human aspects of business continuity
  • ISO/IEC 24762 – Guidelines for information and communications technology disaster recovery services
  • ISO/PAS 22399 – Guideline for incident preparedness and operational continuity management
  • ISO/IEC 27001 – Information security management systems – Requirements

Om meer te weten te komen over ISO 22301 implementatie, bezoek onze ISO 22301 Gratis download pagina. U zult veel nuttige bronnen vinden.

dejan-circle-new

Dejan Kosutic
Lead ISO 27001/ISO 22301 Expert

Vragen over één of meerdere stappen?

Spreek gratis met onze consultant

PLAN EEN GRATIS ADVIESGESPREK IN

Gratis Return on Security Investment Calculator

Liep u ooit tegen een situatie aan dat uw beveiligingsmaatregen te duur waren? Of waar u het lastig vond om uw directie uit te leggen wat de consequenties konden zijn als er een incident optrad? Vooropgesteld dat het investeren in beveiliging zwaar is, maar onze Return on Security Investment (ROSI) calculator kan u helpen. Het is volledig gratis.

ZIE HOE HET WERKT

ONZE KLANTEN

ONZE PARTNERS

  • Advisera is een voorbeeld gecertificeerde wereldwijd TPECS-aanbieder voor de IS, QM, EM, TL en AU bevoegdheidseenheden.
  • ITIL® is een geregistreerd merk van AXELOS Limited. Gebruik onder de licentie van AXELOS Limited. Alle rechten voorbehouden.
  • DNV GL Business Assurantie is een van de leidende leveranciers van geaccrediteerde management certificeringssystemen.