ISO 22301 – Business Continuity Management Standard, forenklet

Hvad er ISO 22301, og hvorfor har du brug for det?

I en verden, hvor cyberangreb, databrud og naturkatastrofer kan afbryde forretningskontinuiteten og hurtigt skade omdømmet, er organisationer og virksomheder nødt til at implementere, vedligeholde og fortsætte med at forfine deres business continuity management system (BCMS). ISO 22301-certificering af deres kontinuitetsstyring sikrer, at de gør det.

ISO 22301 hjælper organisationer med at identificere og prioritere trusler. Det giver dem mulighed for at implementere deres forretningskontinuitetsstyringssystem effektivt, så de er klar til at reagere på og komme sig efter hændelser med mindst mulig afbrydelse af forretningen.

Undersøgelser har vist, at næsten 1 ud af 5 organisationer oplever betydelige forretningsforstyrrelser hvert år. Derfor er en robust og modstandsdygtig organisation en, der kan ændre sig med tiden, har en forståelse af, hvor dens sårbarheder er og har planer på plads for at mindske risikoen samt reagere, hvis den skal gøre det. Overholdelse eller certificering til ISO 22301 business continuity management giver din organisation mulighed for at opnå alt ovenstående på en ligetil og struktureret måde.

Den seneste version af standarden

Den 31. oktober 2019 blev den seneste version af ISO 22301-standarden offentliggjort – ISO 22301:2019. Dette er en revideret version af ISO 22301:2012. Det har til formål at gøre standarden "mere strømlinet og praktisk", ifølge ISO. Ifølge United Kingdom Accreditation Service (UKAS) vil virksomheder kunne gå over fra ISO 22301:2012 til ISO 22301:2019 frem til den 30. april 2023. Fristen blev som en undtagelse forlænget på grund af Covid-19 situationen. 2019-versionen er generelt blevet godt modtaget, og overgange fra gamle til nye versioner af standarden ses som en ikke alt for besværlig værdiskabende øvelse.

Du kan finde dokumentationen til ISO 22301-standarden for forretningskontinuitetsstyring på officielle ISO-websted.

ISO 22301:2019 giver virksomheder den mest opdaterede sikkerheds- og robusthedscertificering for at være sikker på, at deres forretningskontinuitetsstyringssystemer opfylder den internationale standard, som er fastsat af ISO.

Forholdet til ISO 22301:2012

Der er ikke en radikal forskel mellem ISO 22301:2012 og ISO 22301:2019. Begge versioner kræver involvering af den øverste ledelse, og den opdaterede model reflekterer over, hvad der kræves for at opretholde et vellykket BCMS.

Denne bæredygtighed bliver meget mere komfortabel med et teknologibaseret forretningskontinuitetsstyringssystem såsom ISMS.online.

ISO 22301:2012 blev offentliggjort i maj 2012 og ændret i juni samme år. Ledelsessystemets krav fastsat i ISO 22301 business continuity management havde betydet at omfatte alle organisationer. I hvilken grad kriterierne bliver implementeret afhænger af driftsmiljøet og omfanget af organisationen, i lighed med hvordan man ville udvikle deres sortiment til andre ledelsessystemstandarder som ISO 27001.

Mens adskillige koncepter og terminologi for forretningskontinuitetsstyring er blevet revideret for at udvide konteksten og afspejle etablerede procedurer, er paragraf 8; Drift, er det vigtigste område, hvor der er sket ændringer.

ISMS.online tilbyder ISO 22301 business continuity management rammer inden for sine pakkede tjenester. Det betyder, at organisationer, der ønsker at migrere deres eksisterende forretningskontinuitetsstyringssystemer, kan, såvel som dem, der går i gang med ISO 22301 for første gang.

Hvad er Business Continuity Management?

Hvis din virksomhed blev ramt af en katastrofe eller en krise, ville din virksomhed så kunne fortsætte? Når hændelser og naturkatastrofer rammer, er der kort tid til at forberede en reaktionsstruktur, især når nøglepersoner, processer, netværk, infrastruktur og andre væsentlige tjenester bliver forstyrret.

En katastrofe har ingen grænser. Det kan påvirke din virksomheds kontinuitet internt og eksternt og også påvirke dine kunder og forsyningskæden. Uanset om du er en lille eller en stor virksomhed, kan du møde indflydelse. Det primære formål med forretningskontinuitetsstyring er at reducere sandsynligheden for trusler og garantere, at virksomheden reagerer på væsentlige forstyrrelser, der kan bringe dens fremtid i fare.

Business continuity management handler om ansvarlig og effektiv ledelse. Det skal danne grundlag for udvikling af modstandsdygtighed over for hændelser samt evnen til at reagere med succes, varetage dine nøgleinteressenters interesser, omdømme og værdiskabende drift i din virksomhed.

En forretningskontinuitetsstrategi med et dokumenteret ledelsessystem skal sikre, at medarbejderne er opmærksomme på deres roller og ansvar. I tilfælde af en uventet hændelse er det væsentligt at kunne tilpasse sig etablerede processer og godkendte procedurer.

Fordelene ved Business Continuity Management

Forretningskontinuitetsstyring hjælper organisationer med at reducere sandsynligheden for og virkningen af ​​afbrydelser og nedetid, beskytte aktiver, hvis noget går galt, fortsætte driften gennem afbrydelsen og komme sig så hurtigt som muligt efter eventuelle hændelser, der opstår. At have forretningskontinuitetsplaner på plads vil hjælpe din organisation på følgende måder:

Overhold lovkrav

ISO 22301 bruges til juridisk og regulatorisk certificering af kontinuitetsstyring, der sikrer, at alle de nødvendige elementer i et forretningskontinuitetsstyringssystem bliver opfyldt.

Opnå markedsføringsfordel

Brandomdømme er værdifuldt for enhver organisation og bør beskyttes for enhver pris. Med et kontinuitetsstyringssystem er det muligt at opbygge kundernes tillid og tillid, hvilket reducerer sandsynligheden for en PR-katastrofe, der kan skade forholdet til interessenter, herunder kunder, klienter og leverandører.

Reducer afhængigheden af ​​individer

Gennem planlægning, træning, bevidsthedsprogrammer og test skal alle i en organisation forstå, hvad der forventes af dem. Dette skaber tillid til, at forretningskontinuitetsplanerne vil levere i tilfælde af en afbrydelse.

Forebyg store skader

Det er vigtigt at holde din virksomhed i gang under og efter en hændelse. Ved at genoprette forretningsdriften hurtigt efter afbrydelser er det muligt at reducere omkostningerne ved skadelige hændelser, beskytte organisationens omdømme og endda redde liv, hvis farlige hændelser, såsom brand eller oversvømmelser, opstår.

Operationel robusthed

Uheld og uplanlagte hændelser varierer i omfang, hastighed og påvirkning, og rammer muligvis kun en enkelt afdeling eller lokation. At identificere og planlægge mulige mindre problemer, der kan eskalere til store operationelle vanskeligheder for hele organisationen, vil holde hjulene i gang.

Forretningskontinuitetsrisiko

Forretningskontinuitetsstyring ved hjælp af et veldokumenteret ledelsessystem hjælper dig med at identificere bedre og reducere sandsynligheden for forstyrrende hændelser eller adressere forretningskontinuitetsrisici. Forretningskontinuitetsstyring fører til væksten af ​​et mere stabilt miljø, selvom virksomheder uden succesfulde forretningskontinuitetsstyringssystemer vil øge chancerne betydeligt. En veludviklet, organiseret og indøvet Business Continuity Plan (BCP) kan hjælpe virksomheden med at komme tilbage fra en hændelse så hurtigt som muligt.

Alle dine procedurer skal være opdaterede, nøjagtige og effektive. Metoder omfatter, men er ikke begrænset til, virksomhedsrisikovurderinger, informationssikkerhedsrisikovurderinger og adressering af dine sundheds- og sikkerhedspolitikker samt din kontinuitetsstyringsplan.

Eksempler på forretningskontinuitetsrisici omfatter:

• Cyberangreb og databrud
• Uplanlagte it- og teleudfald
• Afbrydelse af forsyningsforsyning
• Ugunstigt vejr og andre miljømæssige årsager
• Pandemier og epidemier
• Terrorhandlinger
• Sikkerhedshændelser
• Brand
• Flood
• Tab af nøglepersoner
• Ødelæggelse af fysisk ejendom eller materielt tab

Beredskabsberedskab

Forretningskontinuitetsstyring beskriver de trin, du skal tage i en nødsituation i form af en Disaster Recovery Plan (DRP). En Disaster Recovery Plan er en dokumenteret, organiseret forretningskontinuitetsstrategi, der viser, hvordan man reagerer på forstyrrende hændelser.

Disaster Recovery Planen begynder sin dannelse efter en mere detaljeret forretningskonsekvensanalyse, som hjælper med at demonstrere, hvor den væsentligste påvirkning og konsekvenser er fra en begivenhed. ISMS.online giver dig de værktøjer, du har brug for til at administrere din virksomheds konsekvensanalyse, katastrofegenopretningsplaner og meget mere ved hjælp af informationsteknologi.

Din DRP bør omfatte en kortsigtet ordning for at reparere og genopbygge kritiske forretningssystemer og en plan for at løse problemer såsom identifikation af årsager og en langsigtet forebyggelsestilgang. Der er mange muligheder for at sikre, at en organisation har et setup med et beredskabssystem, der giver den bedste løsning.

For eksempel vil on-site-gendannelsessystemet sikre, at data kan hentes mere effektivt med sikkerhedskopiering af data og andre midler. Dine forebyggende foranstaltninger bør også beskytte mod potentiel serverfejl og tage højde for risikoen for eksterne kontrahenter. Du ville derefter bygge beredskabsplaner og alternative forretningskontinuitetsstrategier for fravær af forsyninger, der er afgørende for forretningsdriften, længe før de overhovedet bliver et problem med katastrofeoprettelse.

Hvad er et BCMS?

Et forretningskontinuitetsstyringssystem, meget enkelt sagt, er en anerkendt tilgang til at sikre, at en organisation kan fortsætte forretningsdriften og reagere effektivt på forstyrrende hændelser.

ISO 22301 giver en konstant og etableret metode til forretningskonsekvensanalyse med en ramme baseret på anerkendt god praksis. Enhver, der implementerer og opnår certificering for et ISO 22301-baseret business continuity management system vil finde øjeblikkelig anerkendelse og forståelse fra indflydelsesrige kunder, herunder uddannede eksperter, revisorer og andre interesserede parter.

Når ISO 22301 er baseret på ISO XNUMX, understreger ISO selv vigtigheden af ​​forretningskontinuitetsstyringssystemer:

• At vise organisationen forstår behovene og nødvendigheden af ​​en erklæret forretningskontinuitetspolitik og -mål
• Implementering og eksekvering af processer, hændelsesresponsmekanismer og andre interventioner for at sikre, at organisationen overlever en disruption
• Overvågning og løbende forbedring af forretningskontinuitetsstyringssystemet

Demonstrer god praksis for forretningskontinuitetsstyring

At følge ISO 22301 som grundlag for dit BCMS vil give bevis for, at virksomheden har taget de nødvendige skridt for at opfylde regulatoriske krav ud over den anerkendte god praksis.

En bedste praksis inden for forretningskontinuitet inkorporerer livscyklussen af ​​forretningskontinuitetsstyring, da du kan gøre det muligt at maksimere effektiviteten og kvaliteten af ​​dine forretningskontinuitetsstyringssystemer. ISO 22301 giver en ramme vedrørende international bedste praksis på det velforståede koncept Plan/Do/Check/Act. Dette koncept gælder for organisationer, der implementerer, vedligeholder og forbedrer deres forretningskontinuitetsstyringssystemer, som søger at sikre overholdelse af den erklærede politik om forretningskontinuitet.

Med et business continuity management system baseret på kravene i ISO 22301 kan både interne og eksterne interessenter gøres opmærksomme på, at organisationen opererer med god praksis inden for business continuity management.

Disaster recovery og BCMS

Ved at udvikle effektive forretningskontinuitetsplaner vil en organisation være godt rustet til at implementere praksis, der reducerer sandsynligheden for hændelser og skader på organisationen. Ikke kun dette, men effektive forretningskontinuitetsplaner hjælper dig med bedre at forstå din organisation og drive den mere effektivt.

ISO-vejledning hjælper organisationer med at identificere og styre compliance, typisk ved hjælp af en række procedurer, politikker, procesdiagrammer eller lignende. Denne vejledning hjælper dem med at planlægge og komme tilbage fra forstyrrelser i deres forretningsaktiviteter. Det er dog stadig bedre at undgå dem helt, selvom det ikke altid er muligt eller gennemførligt økonomisk eller teknisk. Det er også væsentligt at afklare prioriteringer, hvis der opstår en hændelse, for eksempel: hvad er målet med restitutionstiden? Hvad er den højeste udholdelige nedetid? Du kan bruge svaret på disse spørgsmål til at forberede din katastrofeberedskabsplan. Gendannelseshastighed skal være en overvejelse. Et ISO 22301-tilpasset forretningskontinuitetsstyringssystem vil omfatte katastrofegendannelse og effektive forretningskontinuitetsplaner for at hjælpe din virksomhed med at genoprette dine kritiske operationer så hurtigt som muligt.

BCMS og cyberresiliens

Implementering af et business continuity management system (BCMS) er bydende nødvendigt for at udvikle cyberresiliens i nutidens cybersikkerhedsmiljø. En del af ISO 27001 informationssikkerhedsstandarden indeholder en klausul om forretningskontinuitet – ISO 22301 opfylder mere end dette ISO 27001-krav.

Cyberangreb har rutinemæssigt ramt overskrifterne i det sidste årti. For eksempel efterlod det berygtede globale WannaCry ransomware-angreb i maj 2017 et spor af ødelæggelse, da organisationer blev nægtet adgang til deres egne data og tvunget til at stoppe forretningsdriften, indtil store løsesummer blev betalt.

Sådanne hændelser viser vigtigheden af ​​at sikre, at din virksomhed kan reagere på og komme sig over forstyrrelser ved at implementere et effektivt system til styring af forretningskontinuitet (BCMS).

Fordelene ved ISO 22301

Der er mange fordele ved ISO 22301, herunder at bringe organisationen tilbage til 'business as usual' med minimal forstyrrelse fra enhver krise.

Operationel robusthed

At have evnen til at fortsætte forretningsdriften, uanset om der finder sted en mindre eller større hændelse, bliver stadig vigtigere for virksomheder i alle sektorer. Et Business Continuity Management System (BCMS) giver en virksomhed mulighed for at planlægge disse hændelser. Dette fører til større konkurrenceevne og reducerer mængden af ​​driftsstop, som en virksomhed vil have, hvis det uventede skulle indtræffe.

Beredskabsberedskab

ISO 22301 giver virksomheder og organisationer mulighed for at reagere hensigtsmæssigt i tilfælde af forstyrrende hændelser og undgå spild eller unødvendigt tab. Gennem proaktiv vurdering af effekten af ​​forstyrrelsen, anerkender business continuity management de produkter og tjenester, der er afgørende for organisationens overlevelse. Det søger at bestemme, hvilke løsninger og beredskabsplanlægning, der kræves, hvis en hændelse skulle opstå.

Corporate governance

Overholdelse af ISO 22301 hjælper med at opfylde kravene til virksomhedsledelse. Grundlæggende kan standarden give bevis for, at organisationen har taget de nødvendige skridt til at overholde lovkrav, der kræver et effektivt program til styring af forretningskontinuitet.

Krisestyring

Crisis Management (CM) refererer til den overordnede koordinering af en organisations reaktion på en krise på en effektiv og rettidig måde. For dem, der er ansvarlige for at håndtere krisehåndtering, er målet at undgå eller i det mindste minimere skader på organisationens rentabilitet, omdømme eller evne til at operere. Opfyldelse af ISO 22301-standarden bekræfter, at de passende foranstaltninger er på plads for at dette kan ske.

opsving Disaster

Disaster recovery-aktiviteter koncentrerer sig om at bringe organisationen tilbage til "business as usual" efter en traumatisk begivenhed og sætte den på sporet mod fuldstændig genopretning. Det er vigtigt at erkende, at dette er forskelligt fra business continuity management, som handler om at sikre, at virksomheden kan fortsætte med at reducere sandsynligheden for naturkatastrofer og fungere under en krise.

Beskyttelse af omdømme i en krise

ISO 22301-certificering viser interessenter, at din forretningskontinuitetskapacitet passer til din organisations skala og omfang. Ligesom ISO 27001 skaber det mere tillid, især når det er certificeret af et uafhængigt certificeringsorgan. Det hjælper din forståelse af forretningsbehov ved at identificere potentielle fejl og risici. Virksomheder kan derefter demonstrere over for interessenter, forbrugere, leverandører og regulatorer, at de har et robust forretningskontinuitetsstyringssystem og processer på plads. ISO 22301 vil også øge interessenternes tillid til organisationens evne til at reagere på forstyrrende hændelser og hændelser og til at opretholde kritiske forretningsprocesser, hvis en katastrofe skulle indtræffe.

Forberedelse til teknologifejl

Fra telekommunikationsnedbrud til tab af adgang til lagrede data kan teknologisvigt være enormt skadeligt for en organisations rentabilitet og omdømme. ISO 22301 sikrer, at alle målinger er på plads for at afbøde sådanne forstyrrelser og sikre, at alle afdelinger er forberedt på det værst tænkelige scenarie.

Reducer omkostningerne ved forretningsafbrydelsesforsikring

Med et BCMS på plads, der er i overensstemmelse med ISO 22301, har en organisation mere meningsfuld indsigt i konsekvenserne af en potentiel katastrofe. Dette sætter virksomheden i stand til bedre at vurdere typen og værdien af ​​den forsikringsdækning, den kræver, hvilket potentielt kan reducere omkostningerne på lang sigt.

Planlæg for pludseligt tab af kritiske ressourcer

Det følger heraf, at hvis der er proaktiv identifikation af virkningen af ​​disruption, vil en organisation være en stærk position til at opretholde forretningskontinuitet. Forretningskontinuitetsstyringssystemer hjælper med at fastslå, hvilke svar der er nødvendige, hvis der opstår en afbrydelse, og ISO 22301 giver yderligere mulighed for at reagere tilstrækkeligt i tilfælde af en sådan afbrydelse.

Når du har afsluttet din implementering, er det vigtigt at foretage regelmæssige revisioner af forretningskontinuitetsstyringssystemet. Interne audits er også obligatoriske for at opnå uafhængig certificering af BCMS. Præstationsvurderinger supplerer også interne revisioner for at sikre, at dine ledelsessystemer fungerer som forventet til enhver tid.

ISO-revisoren ville også forvente at se en registrering af forbedringer, din organisation har foretaget over tid. At have en metode til at håndtere afvigelser, korrigerende handlinger og andre forbedringer er et afgørende krav.

Kom godt i gang med ISO 22301

Vi opfordrer organisationer til at købe den internationale ISO-standard og fordøje den for fuldt ud at forstå kravene til ISO-styringssystemstandarderne. Vi anbefaler at starte fra begyndelsen (4.1 forstå organisationen og dens kontekst) og undgå at springe ud i at udvikle hændelsesresponsplaner, indtil du har overvejet omfanget, risici og påvirkninger.

ISMS.online er også prækonfigureret med en række værktøjer, der hjælper med at følge processen nemmere og betyder, at du bevarer fokus på forretningen. Det er også kortlagt i de mere omfattende værktøjer og funktioner, der er sat til ISO 27001, hvilket betyder, at du også kan opfylde mange af ISO 22301-styringssystemkravene. Du vil være i stand til at varetage opgaver som revisioner, resultatgennemgange, ledermøder, personaleuddannelse osv. på samme tid.

Du vil reducere omkostningerne, forenkle læring for personalet og gøre administrationen af ​​det bredere virksomhedsledelsessystem meget mere behagelig også. Eksterne revisorer finder også, at det er meget mere effektivt og tager stor tillid, når de ser ensartet driftspraksis på tværs af ISO-standarderne.

Her opsummerer vi de rammer, der er fastsat i ISO 22301:

Kontekst

ISO 22301-rammen er for alle typer og størrelser af organisationer, der implementerer, vedligeholder og forbedrer et BCMS. Det bør vedtages som en strategisk hensigt af enhver virksomhed, der ønsker at overholde den erklærede forretningskontinuitetspolitik og er forpligtet til at øge modstandskraften gennem effektiv anvendelse af forretningskontinuitetsstyringssystemerne.

Planlægning

Grundlæggende begynder planlægning af forretningskontinuitetsstyringssystemer med at vurdere og bestemme risici og muligheder i forbindelse med forretningskontinuitetsstyring. Organisationen skal også opstille forretningskontinuitetsmål for de relevante funktioner og niveauer. Disse mål skal overvåges, kommunikeres klart og opdateres efter behov.

Leadership" (virkelig menneskelig ledelse)

I enhver branche er det afgørende, at ledelsesteamet kan udvise lederskab og engagement i BCMS. Dette kan opnås ved at "sikre, at forretningskontinuitetspolitikken og forretningskontinuitetsmålene er etableret og er forenelige med organisationens strategiske retning", siger ISO. Ledelse bør bruge kommunikationskanaler til at vise sine medarbejdere og partnere vigtigheden af ​​effektiv forretningskontinuitet og af at overholde kravene til forretningskontinuitetsstyringssystemer. Ledelsesstrategien skal også fremme kontinuerlig forbedring og udvikling af en kultur for forretningskontinuitet.

Produktion

Forretningskontinuitetsstrategi er afhængig af, at operationelle processer er på plads for hændelsesberedskab og hændelsesrespons på tværs af alle funktioner i virksomheden. Det betyder at opstille kriterier for processerne og implementere kontrol af processerne i overensstemmelse med aftalte kriterier. Fra at have på plads en medie- og kommunikationsstrategi til en stram styring af webstedsrisikoen i kølvandet på forstyrrende hændelser, er disaster recovery afhængig af kontinuitetsplaner. Et afgørende skridt er at opbevare dokumenterede oplysninger med det formål at bevise, at processer og BC-test er blevet udført som planlagt og forbedret, hvor det er nødvendigt.

Præstations evaluering

Præstationsvurdering betyder, at der kan læres meget af hændelser, der finder sted. Ved at overvåge succeser og begrænsninger opbygges viden. Interesserede parter har et ansvar for at føre optegnelser og bruge resultaterne af revisioner til at hjælpe dem med at træffe de rigtige beslutninger om, hvordan de skal håndtere forretningsforstyrrelser fremover. Ved at etablere et revisionsprogram kan organisationen sikre, at de nødvendige korrigerende handlinger bliver truffet. Målet er at eliminere opdagede afvigelser og deres årsager.

Forbedring

Kontinuerlig forbedring er central for den dokumenterede ledelsessystemstandard, der er fastsat af ISO 22301. Eventuelle revisioner og forbedringer af den måde, hvorpå BCMS styres, vil forbedre planen for forretningskontinuitetsstyring over tid.

ISO 22301 politikker og procedurer

Politikker og procedurer for et ISO 22301-projekt om overholdelse af forretningskontinuitetsstyring skal styres omhyggeligt.

En organisation skal demonstrere overholdelse af ISO's forretningskontinuitetsstandard ved at levere passende dokumentation. Dette inkluderer et omfang, en detaljeret forretningskontinuitetspolitik, en formel risikovurderingsprocedure og forretningskontinuitetsplaner, der viser, hvordan organisationen vil reagere på og komme sig efter afbrydelser.

Betingelser og definitioner

Standarden taler i detaljer om sikkerhed og robusthed. Den bruger en bred vifte af enten specialiserede tekniske termer eller almindelige termer, der har en specifik betydning i en sikkerheds- og robusthedskontekst.

For at hjælpe dig med at forstå dem indeholder den definitioner af de 31 vigtigste. Den peger dig også mod "ISO 22301 Security and Resilience – Vocabulary", som oplister og definerer næsten 300 sikkerheds- og modstandsdygtighedsudtryk.

Der er nogle tilknyttede vejledningsdokumenter, der tilføjer flere detaljer til kravene i ISO 22301. Nogle af disse er opført i ISO 27001, iøjnefaldende vejledninger er:

ISO 22313 – Vejledning i brugen af ​​ISO 22301
ISO 22317 – Retningslinjer for Business Impact Analysis (BIA)
Hvis du har brug for at forstå et udtryk, der ikke er angivet her, bør du tjekke ISO 22301 for at se, hvad det betyder.

Du kan også finde termer og definitioner online.

ISO og IEC opretholder terminologiske databaser til brug i standardisering på følgende adresser:

• ISO Online browsing platform
• IEC Elektropædi

Det er meget vigtigt at forstå disse udtryk. For dem, der ikke allerede er eksperter på dette område, kan de være lidt svære at få styr på.

Hvis du vælger at arbejde med os, sørger vi for, at du forstår dem. Vi forklarer dem i vores egne supportmaterialer, og hvis du har brug for mere målrettet hjælp, kan vi enten selv besvare dine spørgsmål eller finde den rigtige uafhængige partner til at arbejde sammen med dig.

Revision & Compliance

En revision er en bevisindsamlingsproces med det formål at evaluere, hvor godt nøglekriterier er opfyldt. Revision skal være objektiv, upartisk og uafhængig, og revisionsprocessen skal være både systematisk og dokumenteret.

Interne audits er en obligatorisk del af et certificeret BCMS. Derudover vil det valgte certificeringsorgan foretage periodiske 'eksterne' audits for først at certificere BCMS'et og derefter sikre, at det forbliver i overensstemmelse med standarden. Det er også muligt at udføre kombinerede revisioner. Det er, når to eller flere dokumenterede ledelsessystemer af forskellige discipliner revideres sammen på samme tid.
En ISO-revisor vil forvente at se en registrering af forbedringer, din organisation har foretaget over tid. At have en metode til at håndtere afvigelser, korrigerende handlinger og andre forbedringer er afgørende krav.

Vigtigheden af ​​at teste BC-arrangementerne

Der er forskellige måder at teste de dokumenterede arrangementer og planer indeholdt i BCMS. Eksempler inkluderer bordpladeøvelser, fuld- eller delskalaøvelser og også udnyttelse af læring fra virkelige begivenheder. ISO 22301 kræver, at disse processer sker regelmæssigt, alt efter din organisations aktiviteter og risikoprofil.

Overholdelse

Når du har opnået certificering, skal du lave en vedligeholdelsesplan for at sikre fortsat overholdelse af ISO 22301-standarden. Hos ISMS.online har vi særlig ekspertise i dette.

Vi forstår også, at løbende forbedringer er en vigtig del af opretholdelsen af ​​en ISO 22301-certificering. Paragraf 10 fokuserer på dette og dækker alle handlinger, der udføres i en organisation for at:

Lever forretningskontinuitetsmål mere effektivt
Øg pålideligheden af ​​sikkerhedsprocedurer og kontroller
Skab øgede sikkerhedsfordele for organisationen og dens interessenter

ISO 22301 krav

ISO 22301:2019 implementerer rammen, den grundlæggende tekst og definitionerne i bilag L, tidligere bilag SL. Bilag L etablerer en ramme på højt niveau for ISO-ledelsessystemstandarder. Bilaget blev udarbejdet for at inkorporere en lignende kernetekst og fælles terminologi og begreber.

Bortset fra paragraf 8 omhandler kravene i bilag L mange af de samme områder som kernekravene i ISO 27001, som er dækket af afsnit 4.1 til 10.2.

• ISO 22301: Business Continuity Standard
• Punkt 1 – Anvendelsesområde
• Punkt 2 – Normative referencer
• Punkt 3 – Begreber og definitioner
• Punkt 4 – Organisationens kontekst
• Punkt 6 – Planlægning
• Punkt 7 – Support
• Punkt 8 – Drift
• Punkt 9 – Præstationsevaluering
• Punkt 10 – Forbedring