ISO 22301 – The Business Continuity Management Standard, forenklet

Hva er ISO 22301, og hvorfor trenger du det?

I en verden der cyberangrep, datainnbrudd og naturkatastrofer kan avbryte forretningskontinuiteten og raskt skade omdømmet, må organisasjoner og virksomheter implementere, vedlikeholde og fortsette å foredle sitt forretningskontinuitetsstyringssystem (BCMS). ISO 22301-sertifisering av deres kontinuitetsstyring sikrer at de gjør det.

ISO 22301 hjelper organisasjoner med å identifisere og prioritere trusler. Det lar dem implementere sitt forretningskontinuitetsstyringssystem effektivt, slik at de er klare til å svare på og komme seg etter hendelser med minst mulig forstyrrelse for virksomheten.

Studier har vist at nesten 1 av 5 organisasjoner opplever betydelige forretningsforstyrrelser hvert år. Derfor er en robust og motstandsdyktig organisasjon en som kan endre seg med tiden, har en forståelse av hvor sårbarhetene er og har planer på plass for å redusere risiko og reagere hvis den trenger å gjøre det. Overholdelse eller sertifisering til ISO 22301 forretningskontinuitetsstyring gjør at organisasjonen din kan oppnå alt det ovennevnte på en enkel og strukturert måte.

Den siste versjonen av standarden

31. oktober 2019 ble den siste versjonen av ISO 22301-standarden publisert – ISO 22301:2019. Dette er en revidert versjon av ISO 22301:2012. Den har som mål å gjøre standarden "mer strømlinjeformet og praktisk", ifølge ISO. I følge United Kingdom Accreditation Service (UKAS) vil bedrifter kunne gå over fra ISO 22301:2012 til ISO 22301:2019 frem til 30. april 2023. Fristen ble, som et unntak, forlenget på grunn av Covid-19-situasjonen. 2019-versjonen har generelt blitt godt mottatt, og overganger fra gamle til nye versjoner av standarden blir sett på som en ikke altfor tyngende verdiøkende øvelse.

Du kan finne dokumentasjonen for ISO 22301-standarden for forretningskontinuitetsstyring på offisielle ISO-nettsted.

ISO 22301:2019 gir bedrifter den mest oppdaterte sikkerhets- og motstandsdyktighetssertifiseringen for å være sikker på at deres styringssystem for forretningskontinuitet oppfyller den internasjonale standarden fastsatt av ISO.

Forholdet til ISO 22301:2012

Det er ingen radikal forskjell mellom ISO 22301:2012 og ISO 22301:2019. Begge versjonene krever involvering av toppledelsen, og den oppdaterte modellen reflekterer over hva som kreves for å opprettholde et vellykket BCMS.

Den bærekraften blir mye mer komfortabel med et teknologibasert styringssystem for forretningskontinuitet som ISMS.online.

ISO 22301:2012 ble publisert i mai 2012 og endret i juni samme år. Styringssystemkravene fastsatt i ISO 22301 forretningskontinuitetsstyring hadde ment å gjelde for alle organisasjoner. I hvilken grad kriteriene blir implementert avhenger av driftsmiljøet og omfanget av organisasjonen, i likhet med hvordan man vil utvikle sitt utvalg for andre styringssystemstandarder som ISO 27001.

Mens flere konsepter og terminologi for forretningskontinuitetsstyring har blitt revidert for å utvide konteksten og gjenspeile etablerte prosedyrer, klausul 8; Drift, er hovedområdet hvor endringer har skjedd.

ISMS.online tilbyr ISO 22301 rammeverk for forretningskontinuitetsstyring innenfor sine pakkede tjenester. Det betyr at organisasjoner som ønsker å migrere sine eksisterende forretningskontinuitetsstyringssystemer kan, så vel som de som tar fatt på ISO 22301 for første gang.

Hva er Business Continuity Management?

Hvis bedriften din ble rammet av en katastrofe eller krise, ville bedriften din kunne fortsette? Når hendelser og naturkatastrofer inntreffer, er det lite tid til å forberede en responsstruktur, spesielt når nøkkelpersonene, prosessene, nettverkene, infrastrukturen og andre viktige tjenester blir forstyrret.

En katastrofe har ingen grenser. Det kan påvirke virksomhetens kontinuitet internt og eksternt, og påvirke kundene og forsyningskjeden også. Enten du er en liten eller stor bedrift, kan du møte påvirkning. Hovedformålet med forretningskontinuitetsstyring er å redusere sannsynligheten for trusler og garantere at selskapet reagerer på betydelige forstyrrelser som kan sette dets fremtid i fare.

Business continuity management handler om ansvarlig og effektiv ledelse. Det skal gi et grunnlag for å utvikle motstandskraft mot hendelser, samt evnen til å reagere vellykket, ivareta interessene til dine nøkkelinteressenter, omdømme og verdiskapende virksomhet i din bedrift.

En forretningskontinuitetsstrategi med et dokumentert styringssystem skal sikre at medarbeidere er oppmerksomme på sine roller og ansvar. Ved en uventet hendelse er det vesentlig å kunne tilpasse seg etablerte prosesser og godkjente prosedyrer.

Fordelene med Business Continuity Management

Forretningskontinuitetsstyring hjelper organisasjoner med å redusere sannsynligheten for og virkningen av avbrudd og nedetid, beskytte eiendeler hvis noe går galt, fortsette å operere gjennom avbruddet og komme seg så raskt som mulig etter eventuelle hendelser som oppstår. Å ha forretningskontinuitetsplaner på plass vil hjelpe organisasjonen din på følgende måter:

Overhold lovkrav

ISO 22301 brukes til juridisk og forskriftsmessig sertifisering av kontinuitetsstyring, og sikrer at alle nødvendige elementer i et forretningskontinuitetsstyringssystem blir oppfylt.

Oppnå markedsføringsfordeler

Merkevareomdømme er verdifullt for enhver organisasjon og bør beskyttes for enhver pris. Med et kontinuitetsstyringssystem er det mulig å bygge kundenes tillit og tillit, og redusere sannsynligheten for en PR-katastrofe som kan skade forholdet til interessenter, inkludert kunder, klienter og leverandører.

Reduser avhengigheten av enkeltpersoner

Gjennom planlegging, opplæring, bevisstgjøringsprogrammer og testing bør alle i en organisasjon forstå hva som forventes av dem. Dette skaper tillit til at kontinuitetsplanene vil levere i tilfelle avbrudd.

Forhindre store skader

Det er viktig å holde virksomheten i gang under og etter en hendelse. Ved å gjenopprette forretningsdrift raskt etter avbrudd, er det mulig å redusere kostnadene for skadehendelser, beskytte organisasjonens omdømme og til og med redde liv hvis farlige hendelser, som brann eller flom, inntreffer.

Operasjonell motstandskraft

Ulykker og ikke-planlagte hendelser varierer i omfang, hastighet og virkning, og rammer muligens bare en enkelt avdeling eller sted. Å identifisere og planlegge for mulige problemstillinger i mindre skala som kan eskalere til store operasjonelle vanskeligheter for hele organisasjonen vil holde hjulene i gang.

Forretningskontinuitetsrisiko

Forretningskontinuitetsstyring ved hjelp av et godt dokumentert styringssystem hjelper deg med å identifisere bedre og redusere sannsynligheten for forstyrrende hendelser eller adressere forretningskontinuitetsrisikoer. Forretningskontinuitetsstyring fører til vekst av et mer stabilt miljø, selv om selskaper uten vellykkede styringssystemer for forretningskontinuitet vil øke sjansene betraktelig. En godt utviklet, organisert og innøvd Business Continuity Plan (BCP) kan hjelpe virksomheten å komme seg tilbake fra en hendelse så raskt som mulig.

Alle prosedyrene dine må være oppdaterte, nøyaktige og effektive. Metoder inkluderer, men er ikke begrenset til, bedriftsrisikovurderinger, informasjonssikkerhetsrisikovurderinger og adressering av helse- og sikkerhetspolicyer, samt kontinuitetsstyringsplanen.

Eksempler på risiko for forretningskontinuitet inkluderer:

• Cyberangrep og datainnbrudd
• Uplanlagte IT- og telekombrudd
• Avbrudd i forsyningsnettet
• Ugunstig vær og andre miljøårsaker
• Pandemier og epidemier
• Terrorhandlinger
• Sikkerhetshendelser
• Brann
• Flood
• Tap av nøkkelpersonell
• Ødeleggelse av fysisk eiendom eller materiell tap

Beredskap

Forretningskontinuitetsstyring beskriver trinnene du må ta i en nødsituasjon i form av en Disaster Recovery Plan (DRP). En katastrofegjenopprettingsplan er en dokumentert, organisert forretningskontinuitetsstrategi som viser hvordan man reagerer på forstyrrende hendelser.

Disaster Recovery Plan begynner å lages etter en mer detaljert forretningskonsekvensanalyse, som hjelper til med å vise hvor den mest betydelige påvirkningen og konsekvensene er fra en hendelse. ISMS.online gir deg verktøyene du trenger for å administrere virksomhetens konsekvensanalyse, katastrofegjenopprettingsplaner og mye mer ved hjelp av informasjonsteknologi.

Din DRP bør inkludere en kortsiktig ordning for å fikse og gjenoppbygge kritiske forretningssystemer, og en plan for å løse problemer som identifisering av rotårsaker og en langsiktig forebyggende tilnærming. Det er mange alternativer tilgjengelig for å sikre at en organisasjon har et oppsett med et beredskapssystem som gir den beste løsningen.

For eksempel vil gjenopprettingssystemet på stedet sikre at data kan hentes mer effektivt med sikkerhetskopiering av data og andre midler. Dine forebyggingstiltak bør også beskytte mot potensiell serverfeil og vurdere risikoen for eksterne kontraktører. Du vil da bygge beredskapsplaner og alternative forretningskontinuitetsstrategier for fravær av forsyninger som er avgjørende for forretningsdrift lenge før de i det hele tatt blir et problem med gjenoppretting etter katastrofe.

Hva er en BCMS?

Et styringssystem for forretningskontinuitet, veldig enkelt sagt, er en anerkjent tilnærming for å sikre at en organisasjon kan fortsette forretningsdriften og reagere effektivt på forstyrrende hendelser.

ISO 22301 gir en konstant og etablert metode for forretningskonsekvensanalyse med et rammeverk basert på anerkjent god praksis. Alle som implementerer og oppnår sertifisering for et ISO 22301-basert styringssystem for forretningskontinuitet vil finne umiddelbar anerkjennelse og forståelse fra innflytelsesrike kunder, inkludert utdannede eksperter, revisorer og andre interesserte parter.

Når ISO er basert på ISO 22301, understreker ISO selv viktigheten av styringssystemer for forretningskontinuitet:

• Å vise organisasjonen forstår behovene og nødvendigheten av en uttalt forretningskontinuitetspolicy og mål
• Implementering og utførelse av prosesser, hendelsesresponsmekanismer og andre intervensjoner for å sikre at organisasjonen overlever en forstyrrelse
• Overvåking og kontinuerlig forbedring av styringssystemet for forretningskontinuitet

Demonstrere god praksis for styring av forretningskontinuitet

Å følge ISO 22301 som grunnlag for ditt BCMS vil gi bevis på at selskapet har tatt nødvendige skritt for å oppfylle regulatoriske krav i tillegg til anerkjent god praksis.

En beste praksis innen forretningskontinuitet inkluderer livssyklusen til styring av forretningskontinuitet, da du kan gjøre det mulig å maksimere effektiviteten og kvaliteten til dine styringssystemer for forretningskontinuitet. ISO 22301 gir et rammeverk for internasjonal beste praksis på det velforståtte konseptet Plan/Do/Check/Act. Dette konseptet gjelder for organisasjoner som implementerer, vedlikeholder og forbedrer sine styringssystemer for forretningskontinuitet, som søker å sikre samsvar med den uttalte policyen for forretningskontinuitet.

Med et styringssystem for forretningskontinuitet basert på kravene i ISO 22301, kan både interne og eksterne interessenter gjøres oppmerksomme på at organisasjonen opererer med god praksis innen styring av forretningskontinuitet.

Disaster recovery og BCMS

Ved å utvikle effektive forretningskontinuitetsplaner vil en organisasjon være godt rustet til å implementere praksis som reduserer sannsynligheten for hendelser og skader på organisasjonen. Ikke bare dette, men effektive forretningskontinuitetsplaner hjelper deg bedre å forstå organisasjonen din og drive den mer effektivt.

ISO-veiledning hjelper organisasjoner med å identifisere og administrere samsvar, vanligvis ved hjelp av en rekke prosedyrer, retningslinjer, prosessdiagrammer eller lignende. Denne veiledningen hjelper dem å planlegge for og komme seg tilbake fra forstyrrelser i deres forretningsaktiviteter. Imidlertid er det fortsatt bedre å unngå dem helt, selv om det ikke alltid er mulig eller gjennomførbart økonomisk eller teknisk. Det er også viktig å avklare prioriteringer dersom en hendelse inntreffer, for eksempel: hva er målet med restitusjonstid? Hva er den høyeste utholdelige nedetiden? Du kan bruke svaret på disse spørsmålene til å forberede katastrofegjenopprettingsplanen. Utvinningshastighet må være en vurdering. Et ISO 22301-justert styringssystem for forretningskontinuitet vil inkludere katastrofegjenoppretting og effektive forretningskontinuitetsplaner for å hjelpe bedriften din med å gjenopprette kritiske operasjoner så raskt som mulig.

BCMS og cyberresiliens

Implementering av et forretningskontinuitetsstyringssystem (BCMS) er avgjørende for å utvikle cyberresiliens i dagens cybersikkerhetsmiljø. En del av ISO 27001 Information Security Standard inneholder en klausul om forretningskontinuitet – ISO 22301 tilfredsstiller mer enn dette ISO 27001-kravet.

Cyberangrep har rutinemessig rammet overskriftene det siste tiåret. For eksempel etterlot det beryktede globale WannaCry-ransomware-angrepet i mai 2017 et spor av ødeleggelse da organisasjoner ble nektet tilgang til sine egne data og tvunget til å stoppe forretningsdriften inntil store løsepenger ble betalt.

Slike hendelser viser viktigheten av å sikre at virksomheten din kan reagere på og komme seg etter forstyrrelser, ved å implementere et effektivt styringssystem for forretningskontinuitet (BCMS).

Fordelene med ISO 22301

Det er mange fordeler med ISO 22301, inkludert å returnere organisasjonen til «business as usual» med minimal forstyrrelse fra enhver krise.

Operasjonell motstandskraft

Å ha muligheten til å fortsette virksomheten uavhengig av en mindre eller større hendelse som finner sted, blir stadig viktigere for virksomheter i alle sektorer. Et Business Continuity Management System (BCMS) lar et selskap planlegge for disse hendelsene. Dette fører til større konkurranseevne og reduserer mengden driftsstans en virksomhet vil ha, dersom det uventede skulle inntreffe.

Beredskap

ISO 22301 gir virksomheter og organisasjoner muligheten til å reagere hensiktsmessig i tilfelle forstyrrende hendelser og unngå sløsing eller unødvendig tap. Gjennom proaktiv vurdering av effekten av forstyrrelsen, anerkjenner styringen av forretningskontinuitet produktene og tjenestene som er avgjørende for organisasjonens overlevelse. Den søker å finne ut hvilke løsninger og beredskapsplanlegging som vil være nødvendig hvis en hendelse skulle inntreffe.

Eierstyring og selskapsledelse

Overholdelse av ISO 22301 hjelper deg med å oppfylle kravene til eierstyring og selskapsledelse. I hovedsak kan standarden gi bevis på at organisasjonen har tatt de nødvendige skritt for å overholde regulatoriske krav som krever et effektivt program for styring av forretningskontinuitet.

Krisehåndtering

Krisehåndtering (CM) refererer til den overordnede koordineringen av en organisasjons respons på en krise, på en effektiv og rettidig måte. For de som er ansvarlige for å håndtere krisehåndtering, er målet å unngå eller i det minste minimere skade på organisasjonens lønnsomhet, omdømme eller evne til å operere. Å oppfylle ISO 22301-standarden bekrefter at de nødvendige tiltakene er på plass for at dette skal skje.

katastrofe~~POS=TRUNC gjenoppretting~~POS=HEADCOMP

Katastrofegjenopprettingsaktiviteter konsentrerer seg om å returnere organisasjonen til "business as usual" etter en traumatisk hendelse og sette den på sporet mot fullstendig bedring. Det er viktig å erkjenne at dette er forskjellig fra forretningskontinuitetsstyring, som handler om å sikre at bedriften kan fortsette å redusere sannsynligheten for naturkatastrofer og fungere under en krise.

Beskyttelse av omdømme i en krise

ISO 22301-sertifisering viser interessenter at din forretningskontinuitetsevne er passende for organisasjonens skala og omfang. I likhet med ISO 27001 skaper den mer tillit, spesielt når den er sertifisert av et uavhengig sertifiseringsorgan. Det hjelper din forståelse av forretningsbehov ved å identifisere potensielle feil og risikoer. Bedrifter kan deretter demonstrere overfor interessenter, forbrukere, leverandører og regulatorer at de har et robust styringssystem og prosesser for forretningskontinuitet på plass. ISO 22301 vil også øke interessentenes tillit til organisasjonens evne til å reagere på forstyrrende hendelser og hendelser, og opprettholde kritiske forretningsprosesser dersom en katastrofe skulle inntreffe.

Forberedelse for teknologisvikt

Fra sammenbrudd i telekommunikasjon til tap av tilgang til lagrede data, teknologifeil kan være enormt skadelig for en organisasjons lønnsomhet og omdømme. ISO 22301 sikrer at alle målinger er på plass for å redusere slike forstyrrelser og sikre at alle avdelinger er forberedt på det verste tilfellet.

Reduser driftsavbruddsforsikringskostnader

Med et BCMS på plass som er i samsvar med ISO 22301, har en organisasjon mer meningsfull innsikt i konsekvensene av en potensiell katastrofe. Dette gjør det mulig for virksomheten å bedre vurdere typen og verdien av forsikringsdekningen den krever, og potensielt redusere kostnadene på lang sikt.

Planlegg for plutselig tap av kritiske ressurser

Det følger at hvis det er proaktiv identifisering av virkningen av forstyrrelser, vil en organisasjon være en sterk posisjon for å opprettholde forretningskontinuitet. Forretningskontinuitetsstyringssystemer hjelper til med å fastslå hvilke reaksjoner som vil være nødvendige hvis en forstyrrelse oppstår, og ISO 22301 gir videre muligheten til å reagere på en adekvat måte i tilfelle slike forstyrrelser.

Når du har fullført implementeringen, er det viktig å gjennomføre regelmessige revisjoner av styringssystemet for forretningskontinuitet. Internrevisjon er obligatorisk for å oppnå uavhengig sertifisering av BCMS også. Resultatgjennomganger utfyller også interne revisjoner for å sikre at styringssystemene dine fungerer som forventet til enhver tid.

ISO-revisoren forventer også å se en oversikt over forbedringer organisasjonen din har gjort over tid. Å ha en metode for å håndtere avvik, korrigerende handlinger og andre forbedringer er et avgjørende krav.

Komme i gang med ISO 22301

Vi oppfordrer organisasjoner til å kjøpe den internasjonale ISO-standarden og fordøye den for å forstå kravene til ISO-styringssystemstandardene fullt ut. Vi anbefaler å starte fra begynnelsen (4.1 forstå organisasjonen og dens kontekst) og unngå å hoppe inn i å utvikle hendelsesresponsplaner før du har vurdert omfanget, risikoene og konsekvensene.

ISMS.online er også forhåndskonfigurert med en rekke verktøy som hjelper deg å følge prosessen enklere og betyr at du beholder fokus på virksomheten. Den kartlegger også de mer omfattende verktøyene og funksjonene som er satt for ISO 27001, noe som betyr at du også kan oppnå mange av ISO 22301-styringssystemkravene. Du vil kunne håndtere oppgaver som revisjoner, resultatgjennomganger, ledermøter, personalutdanning osv. på samme tid.

Du vil redusere kostnadene, forenkle læring for ansatte og gjøre administrasjonen av det bredere forretningsstyringssystemet mye mer komfortabel også. Eksterne revisorer opplever også at det er mye mer effektivt og har stor tillit når de ser konsekvent driftspraksis på tvers av ISO-standardene.

Her oppsummerer vi rammeverket som er fastsatt i ISO 22301:

Kontekst

ISO 22301-rammeverket er for alle typer og størrelser av organisasjoner som implementerer, vedlikeholder og forbedrer et BCMS. Det bør tas i bruk som en strategisk hensikt av enhver virksomhet som ønsker å være i samsvar med uttalt forretningskontinuitetspolicy og er forpliktet til å øke motstandskraften gjennom effektiv anvendelse av styringssystemene for forretningskontinuitet.

Planlegging

I bunn og grunn begynner planlegging av styringssystemer for forretningskontinuitet med å vurdere og bestemme risikoene og mulighetene knyttet til styring av forretningskontinuitet. Organisasjonen skal også etablere forretningskontinuitetsmål for de aktuelle funksjonene og nivåene. Disse målene må overvåkes, kommuniseres tydelig og oppdateres etter behov.

Ledelse

I alle bransjer er det viktig at ledergruppen kan vise lederskap og forpliktelse til BCMS. Dette kan oppnås ved å "sikre at forretningskontinuitetspolitikken og forretningskontinuitetsmålene er etablert og er kompatible med den strategiske retningen til organisasjonen", sier ISO. Ledelse bør bruke kommunikasjonskanaler for å vise sine medarbeidere og partnere viktigheten av effektiv forretningskontinuitet og å overholde kravene til styringssystemer for forretningskontinuitet. Lederstrategien skal også fremme kontinuerlig forbedring og utvikling av en kultur for forretningskontinuitet.

Operasjon

Forretningskontinuitetsstrategi er avhengig av at operasjonelle prosesser er på plass for hendelsesberedskap og hendelsesrespons på tvers av alle funksjoner i virksomheten. Det betyr å etablere kriterier for prosessene og implementere kontroll av prosessene i tråd med avtalte kriterier. Fra å ha på plass en medie- og kommunikasjonsstrategi til tett styring av risiko på stedet i kjølvannet av forstyrrende hendelser, er katastrofegjenoppretting avhengig av kontinuitetsplaner. Et avgjørende skritt er å oppbevare dokumentert informasjon for å bevise at prosesser og BC-testing har blitt utført som planlagt og forbedret der det er nødvendig.

Evaluering av opptreden

Ytelsesvurdering betyr at man kan lære mye av hendelser som finner sted. Ved å overvåke suksesser og begrensninger bygges kunnskap opp. Interesserte parter har et ansvar for å føre journal og bruke resultatene av revisjoner for å hjelpe dem med å ta de riktige beslutningene om hvordan de skal håndtere forretningsavbrudd fremover. Ved å etablere et revisjonsprogram kan organisasjonen sikre at nødvendige korrigerende tiltak blir iverksatt. Målet er å eliminere oppdagede avvik og deres årsaker.

Forbedring

Kontinuerlig forbedring er sentralt i den dokumenterte styringssystemstandarden fastsatt av ISO 22301. Eventuelle revisjoner og forbedringer av måten BCMS administreres på vil forbedre styringsplanen for forretningskontinuitet over tid.

ISO 22301 retningslinjer og prosedyrer

Retningslinjer og prosedyrer for et ISO 22301-prosjekt for overholdelse av forretningskontinuitetsstyring må administreres nøye.

En organisasjon må demonstrere samsvar med ISO-standarden for forretningskontinuitet ved å fremskaffe passende dokumentasjon. Dette inkluderer et omfang, en detaljert forretningskontinuitetspolicy, en formell risikovurderingsprosedyre og forretningskontinuitetsplaner som viser hvordan organisasjonen vil reagere på og komme seg etter avbrudd.

begreper og definisjoner

Standarden snakker i detalj om sikkerhet og motstandskraft. Den bruker et bredt spekter av enten spesialiserte tekniske termer, eller vanlige termer som har en spesifikk betydning i en sikkerhets- og motstandsdyktighetskontekst.

For å hjelpe deg å forstå dem inneholder den definisjoner av de 31 viktigste. Den peker deg også mot "ISO 22301 Security and Resilience – Vocabulary", som viser og definerer nesten 300 sikkerhets- og resiliensbegreper.

Det er noen tilknyttede veiledningsdokumenter som legger til flere detaljer til kravene i ISO 22301. Noen av disse er oppført i ISO 27001, fremstående veiledninger er:

ISO 22313 – Veiledning om bruk av ISO 22301
ISO 22317 – Retningslinjer for Business Impact Analysis (BIA)
Hvis du trenger å forstå et begrep som ikke er oppført her, bør du sjekke inn ISO 22301 for å se hva det betyr.

Du kan også finne begreper og definisjoner på nettet.

ISO og IEC vedlikeholder terminologiske databaser for bruk i standardisering på følgende adresser:

• ISO Online nettlesingsplattform
• IEC Elektropedi

Det er veldig viktig å forstå disse begrepene. For de som ikke allerede er eksperter på dette feltet, kan de være litt vanskelige å sette seg inn i.

Hvis du velger å jobbe med oss, vil vi sørge for at du forstår dem. Vi forklarer dem i vårt eget støttemateriell, og hvis du trenger mer målrettet hjelp kan vi enten svare på spørsmålene dine selv eller finne den rette uavhengige partneren til å jobbe med deg.

Revisjon og etterlevelse

En revisjon er en bevisinnsamlingsprosess med det formål å evaluere hvor godt nøkkelkriterier blir oppfylt. Revisjoner skal være objektive, upartiske og uavhengige, og revisjonsprosessen skal være både systematisk og dokumentert.

Internrevisjon er en obligatorisk del av et sertifisert BCMS. I tillegg vil det valgte sertifiseringsorganet foreta periodiske "eksterne" revisjoner for først å sertifisere BCMS og deretter sikre at det fortsatt er i samsvar med standarden. Det er også mulig å gjennomføre kombinerte revisjoner. Dette er når to eller flere dokumenterte styringssystemer av ulike fagområder revideres samtidig.
En ISO-revisor vil forvente å se en oversikt over forbedringer organisasjonen din har gjort over tid. Å ha en metode for å håndtere avvik, korrigerende handlinger og andre forbedringer er avgjørende krav.

Viktigheten av å teste BC-arrangementene

Det er ulike måter å teste de dokumenterte ordningene og planene i BCMS. Eksempler inkluderer bordøvelser, full- eller delskalaøvelser og også utnyttelse av læring fra virkelige hendelser. ISO 22301 pålegger at disse prosessene skal skje regelmessig i forhold til organisasjonens aktiviteter og risikoprofil.

Samsvar

Etter å ha oppnådd sertifisering, må du sette på plass en vedlikeholdsplan for å sikre fortsatt samsvar med ISO 22301-standarden. Hos ISMS.online har vi spesiell ekspertise på dette.

Vi forstår også at kontinuerlig forbedring er en viktig del av å opprettholde en ISO 22301-sertifisering. Klausul 10 fokuserer på dette, og dekker alle handlinger som utføres i en organisasjon for å:

Lever forretningskontinuitetsmål mer effektivt
Øk påliteligheten til sikkerhetsprosedyrer og kontroller
Skap økte sikkerhetsfordeler for organisasjonen og dens interessenter

ISO 22301-krav

ISO 22301:2019 implementerer rammeverket, grunnleggende tekst og definisjoner i vedlegg L, tidligere vedlegg SL. Vedlegg L etablerer et rammeverk på høyt nivå for ISO-styringssystemstandarder. Vedlegget ble utarbeidet for å inkludere en lignende kjernetekst og felles terminologi og begreper.

Bortsett fra punkt 8, tar vedlegg L-kravene for seg mange av de samme områdene som kjernekravene i ISO 27001, dekket i avsnitt 4.1 til og med 10.2.

• ISO 22301: Business Continuity Standard
• Punkt 1 – Omfang
• Punkt 2 – Normative referanser
• Punkt 3 – Vilkår og definisjoner
• Klausul 4 – Organisasjonens kontekst
• Punkt 6 – Planlegging
• Klausul 7 – Støtte
• Punkt 8 – Drift
• Klausul 9 – Ytelsesevaluering
• Punkt 10 – Forbedring