ISO 22301 – Liiketoiminnan jatkuvuuden hallinnan standardi, yksinkertaistettu

Mikä on ISO 22301 ja miksi tarvitset sitä?

Maailmassa, jossa kyberhyökkäykset, tietomurrot ja luonnonkatastrofit voivat katkaista liiketoiminnan jatkuvuuden ja vahingoittaa mainetta nopeasti, organisaatioiden ja yritysten on otettava käyttöön, ylläpidettävä ja jatkettava liiketoiminnan jatkuvuuden hallintajärjestelmää (BCMS) ja parannettava sitä. Heidän jatkuvuudenhallinnan ISO 22301 -sertifikaatti varmistaa, että he tekevät niin.

ISO 22301 auttaa organisaatioita tunnistamaan ja priorisoimaan uhkia. Sen avulla he voivat toteuttaa liiketoiminnan jatkuvuuden hallintajärjestelmänsä tehokkaasti, jotta he ovat valmiita reagoimaan tapahtumiin ja toipumaan niistä mahdollisimman vähän häiritsemällä liiketoimintaa.

Tutkimukset ovat osoittaneet, että lähes joka viides organisaatio kohtaa merkittäviä liiketoiminnan häiriöitä vuosittain. Siksi vankka ja kestävä organisaatio voi muuttua ajan mukana, ymmärtää, missä sen haavoittuvuudet ovat ja jolla on suunnitelmat riskien vähentämiseksi sekä reagointi tarvittaessa. ISO 1 toiminnan jatkuvuuden hallinnan noudattaminen tai sertifiointi antaa organisaatiollesi mahdollisuuden saavuttaa kaikki edellä mainitut asiat yksinkertaisesti ja jäsennellysti.

Standardin uusin versio

31 julkaistiin ISO 2019 -standardin uusin versio – ISO 22301:22301. Tämä on ISO 2019:22301:n tarkistettu versio. Sen tavoitteena on tehdä standardista "virtaviivaisempi ja käytännöllisempi" ISO:n mukaan. Yhdistyneen kuningaskunnan akkreditointipalvelun (UKAS) mukaan yritykset voivat siirtyä ISO 2012:22301 -standardista ISO 2012:22301 -standardiin 2019 asti. Määräaikaa pidennettiin poikkeustapauksessa Covid-30-tilanteen vuoksi. Vuoden 2023 versio on yleisesti ottaen otettu hyvin vastaan, ja siirtymistä standardin vanhoista versioista uusiin ei pidetä liian raskaana lisäarvon lisäyksenä.

Löydät ISO 22301 toiminnan jatkuvuuden hallinnan standardin dokumentaation osoitteesta virallinen ISO-verkkosivusto.

ISO 22301:2019 tarjoaa yrityksille viimeisimmän tietoturva- ja joustavuussertifikaatin, jolla varmistetaan, että niiden liiketoiminnan jatkuvuuden hallintajärjestelmät vastaavat ISO:n asettamia kansainvälisiä standardeja.

Suhde ISO 22301:2012:een

ISO 22301:2012 ja ISO 22301:2019 välillä ei ole radikaalia eroa. Molemmat versiot edellyttävät ylimmän johdon osallistumista, ja päivitetty malli heijastelee sitä, mitä tarvitaan onnistuneen BCMS:n ylläpitämiseen.

Tämä kestävyys muuttuu paljon mukavammaksi teknologiaan perustuvilla liiketoiminnan jatkuvuuden hallintajärjestelmillä, kuten ISMS.online.

ISO 22301:2012 julkaistiin toukokuussa 2012 ja sitä muutettiin saman vuoden kesäkuussa. ISO 22301 toiminnan jatkuvuuden hallinnassa asetetut johtamisjärjestelmävaatimukset oli tarkoitettu ulottumaan kaikkiin organisaatioihin. Se, missä määrin kriteerit toteutuvat, riippuu toimintaympäristöstä ja organisaation laajuudesta, samoin kuin miten niiden valikoimaa kehitettäisiin muille johtamisjärjestelmästandardeille, kuten ISO 27001.

Vaikka useita liiketoiminnan jatkuvuuden hallinnan käsitteitä ja terminologiaa on tarkistettu kontekstin laajentamiseksi ja vakiintuneiden menettelyjen heijastamiseksi, lauseke 8; Toiminta on tärkein alue, jolla muutoksia on tapahtunut.

ISMS.online tarjoaa ISO 22301 -standardin mukaisia ​​liiketoiminnan jatkuvuuden hallintakehyksiä pakettipalveluissaan. Tämä tarkoittaa, että organisaatiot, jotka haluavat siirtää olemassa olevat liiketoiminnan jatkuvuuden hallintajärjestelmänsä, voivat samoin kuin ne, jotka ottavat käyttöön ISO 22301 -standardin ensimmäistä kertaa.

Mitä liiketoiminnan jatkuvuuden hallinta on?

Jos yritykseesi joutuisi katastrofi tai kriisi, voisiko yrityksesi jatkaa? Häiriöiden ja luonnonkatastrofien sattuessa reagointirakenteen valmisteluun jää vähän aikaa, varsinkin kun avainhenkilöt, prosessit, verkot, infrastruktuuri ja muut olennaiset palvelut häiriintyvät.

Katastrofilla ei ole rajoja. Se voi vaikuttaa liiketoiminnan jatkuvuuteen sisäisesti ja ulkoisesti, vaikuttaen myös asiakkaisiisi ja toimitusketjuun. Olitpa pieni tai suuri yritys, voit kohdata vaikutuksen. Toiminnan jatkuvuuden hallinnan ensisijaisena tarkoituksena on vähentää uhkien todennäköisyyttä ja varmistaa, että yhtiö reagoi merkittäviin häiriöihin, jotka voivat vaarantaa sen tulevaisuuden.

Toiminnan jatkuvuuden johtaminen on vastuullista ja tehokasta johtamista. Sen pitäisi tarjota perusta häiriönsietokyvyn kehittämiselle sekä kyvylle reagoida onnistuneesti ja turvata keskeisten sidosryhmiesi edut, maine ja yrityksesi arvoa luova toiminta.

Liiketoiminnan jatkuvuusstrategian ja dokumentoidun hallintajärjestelmän pitäisi varmistaa, että työntekijät ovat tietoisia roolistaan ​​ja vastuustaan. Odottamattomissa tapahtumissa on välttämätöntä pystyä sopeutumaan vakiintuneisiin prosesseihin ja hyväksyttyihin menettelyihin.

Liiketoiminnan jatkuvuuden hallinnan edut

Liiketoiminnan jatkuvuuden hallinta auttaa organisaatioita vähentämään häiriöiden ja seisokkien todennäköisyyttä ja vaikutuksia, suojaamaan omaisuutta, jos jokin menee pieleen, jatkamaan toimintaansa häiriön aikana ja toipumaan mahdollisimman nopeasti kaikista tapahtuneista tapahtumista. Liiketoiminnan jatkuvuussuunnitelmien laatiminen auttaa organisaatiotasi seuraavilla tavoilla:

Noudata lakisääteisiä vaatimuksia

ISO 22301 -standardia käytetään jatkuvuuden hallinnan lakisääteiseen ja viranomaissertifiointiin, jolla varmistetaan, että kaikki liiketoiminnan jatkuvuuden hallintajärjestelmän vaaditut osat täyttyvät.

Saavuta markkinointietu

Brändin maine on arvokas mille tahansa organisaatiolle, ja sitä tulee suojella hinnalla millä hyvänsä. Jatkuvuuden hallintajärjestelmällä on mahdollista rakentaa asiakkaiden luottamusta, mikä vähentää PR-katastrofin todennäköisyyttä, joka voi vahingoittaa suhteita sidosryhmiin, mukaan lukien asiakkaat, asiakkaat ja tavarantoimittajat.

Vähentää riippuvuutta yksilöistä

Suunnittelun, koulutuksen, tietoisuusohjelmien ja testauksen avulla jokaisen organisaation tulee ymmärtää, mitä heiltä odotetaan. Tämä luo luottamusta siihen, että liiketoiminnan jatkuvuussuunnitelmat toimivat häiriötilanteissa.

Estä suuria vahinkoja

On elintärkeää pitää yrityksesi kauppaa tapahtuman aikana ja sen jälkeen. Elpymällä liiketoiminta nopeasti keskeytyksen jälkeen on mahdollista vähentää vahinkotapahtumien kustannuksia, suojella organisaation mainetta ja jopa pelastaa ihmishenkiä vaarallisten tapahtumien, kuten tulipalon tai tulvien sattuessa.

Operatiivinen joustavuus

Onnettomuudet ja odottamattomat tapahtumat vaihtelevat laajuudeltaan, nopeudeltaan ja vaikutukseltaan, ja ne voivat koskea vain yhtä osastoa tai sijaintia. Mahdollisten pienempien ongelmien tunnistaminen ja suunnitteleminen, jotka voivat kärjistyä suuriksi toimintavaikeuksiksi koko organisaatiolle, pitää pyörät pyörimässä.

Liiketoiminnan jatkuvuuden riski

Toiminnan jatkuvuuden hallinta hyvin dokumentoidun hallintajärjestelmän avulla auttaa tunnistamaan paremmin ja vähentämään häiritsevien tapausten todennäköisyyttä tai puuttumaan liiketoiminnan jatkuvuusriskeihin. Toiminnan jatkuvuuden hallinta johtaa vakaamman ympäristön kasvuun, vaikka yritykset, joilla ei ole menestyviä liiketoiminnan jatkuvuuden hallintajärjestelmiä, lisäävät mahdollisuuksia merkittävästi. Hyvin kehitetty, organisoitu ja harjoiteltu Business Continuity Plan (BCP) voi auttaa yritystä toipumaan tapahtumasta mahdollisimman nopeasti.

Kaikkien menettelyjesi on oltava ajan tasalla, tarkkoja ja tehokkaita. Menetelmiä ovat muun muassa yritysten riskiarvioinnit, tietoturvariskien arvioinnit ja terveys- ja turvallisuuspolitiikkasi sekä jatkuvuuden hallintasuunnitelmasi käsitteleminen.

Esimerkkejä liiketoiminnan jatkuvuuden riskeistä ovat:

• Kyberhyökkäykset ja tietomurrot
• Suunnittelemattomat IT- ja tietoliikennekatkot
• Sähkönjakelun keskeytys
• Epäsuotuisa sää ja muut ympäristösyyt
• Pandemiat ja epidemiat
• Terroriteetit
• Turvallisuustapahtumat
• Tulipalo
• Tulva
• Avainhenkilöiden menetys
• Fyysisen omaisuuden tuhoutuminen tai aineellinen menetys

Hätätilavalmius

Toiminnan jatkuvuuden hallinta kertoo, mitä toimia sinun tulee tehdä hätätilanteessa DRP (Daster Recovery Plan) -suunnitelman muodossa. Disaster Recovery Plan on dokumentoitu, organisoitu liiketoiminnan jatkuvuuden strategia, joka osoittaa, kuinka toimia häiritseviin tapauksiin.

Disaster Recovery Plan alkaa muodostua yksityiskohtaisemman liiketoimintavaikutusanalyysin jälkeen, joka auttaa osoittamaan, missä tapahtuman merkittävimmät vaikutukset ja seuraukset ovat. ISMS.online tarjoaa sinulle työkalut, joita tarvitset yrityksesi vaikutusanalyysien, katastrofien palautussuunnitelmien ja monien muiden hallintaan tietotekniikan avulla.

DRP:si tulee sisältää lyhytaikainen järjestely kriittisten liiketoimintajärjestelmien korjaamiseksi ja uudelleenrakentamiseksi sekä suunnitelma ongelmien ratkaisemiseksi, kuten perussyyn tunnistaminen ja pitkän aikavälin ehkäisymenetelmä. Saatavilla on monia vaihtoehtoja varmistaaksesi, että organisaatiolla on valmiusjärjestelmä, joka tarjoaa parhaan ratkaisun.

Esimerkiksi paikan päällä oleva palautusjärjestelmä varmistaisi, että tiedot voidaan hakea tehokkaammin tietojen varmuuskopioinnilla ja muilla tavoilla. Ennaltaehkäisytoimenpiteiden tulee myös suojata mahdolliselta palvelinvialta ja ottaa huomioon ulkopuolisten alihankkijoiden riski. Tämän jälkeen laadit valmiussuunnitelmia ja vaihtoehtoisia liiketoiminnan jatkuvuusstrategioita liiketoiminnan kannalta välttämättömien tarvikkeiden puuttumiseen kauan ennen kuin niistä tulee edes katastrofipalautusongelma.

Mikä on BCMS?

Liiketoiminnan jatkuvuuden hallintajärjestelmä on hyvin yksinkertaisesti sanottuna tunnettu tapa varmistaa, että organisaatio voi jatkaa liiketoimintaansa ja reagoida tehokkaasti häiritseviin tapahtumiin.

ISO 22301 tarjoaa jatkuvan ja vakiintuneen menetelmän liiketoimintavaikutusten analysointiin, jonka puitteet perustuvat tunnustettuihin hyviin käytäntöihin. Jokainen, joka ottaa käyttöön ja saavuttaa ISO 22301 -pohjaisen liiketoiminnan jatkuvuuden hallintajärjestelmän sertifikaatin, saa välitöntä tunnustusta ja ymmärrystä vaikutusvaltaisilta asiakkailta, mukaan lukien koulutetut asiantuntijat, tilintarkastajat ja muut kiinnostuneet tahot.

ISO 22301:een perustuen ISO itse korostaa liiketoiminnan jatkuvuuden hallintajärjestelmien tärkeyttä:

• Sen osoittaminen, että organisaatio ymmärtää toiminnan jatkuvuuspolitiikan ja tavoitteiden tarpeet ja tarpeellisuuden
• Prosessien, tapausten reagointimekanismien ja muiden interventioiden käyttöönotto ja toteutus, jotta organisaatio selviää häiriöstä
• Liiketoiminnan jatkuvuuden hallintajärjestelmän seuranta ja jatkuva parantaminen

Toiminnan jatkuvuuden hallinnan hyvien käytäntöjen näyttäminen

ISO 22301 -standardin noudattaminen BCMS:n perustana todistaa, että yritys on ryhtynyt tarvittaviin toimenpiteisiin täyttääkseen viranomaisvaatimukset tunnustettujen hyvien käytäntöjen lisäksi.

Liiketoiminnan jatkuvuuden paras käytäntö sisältää liiketoiminnan jatkuvuuden hallinnan elinkaaren, koska voit maksimoida toiminnan jatkuvuuden hallintajärjestelmien tehokkuuden ja laadun. ISO 22301 tarjoaa puitteet kansainvälisille parhaille käytännöille hyvin ymmärretyssä Plan/Do/Check/Act-konseptissa. Tämä konsepti koskee organisaatioita, jotka toteuttavat, ylläpitävät ja parantavat liiketoiminnan jatkuvuuden hallintajärjestelmiään, joilla pyritään varmistamaan toiminnan jatkuvuuspolitiikan noudattaminen.

ISO 22301 -standardin vaatimuksiin perustuvalla toiminnan jatkuvuuden hallintajärjestelmällä voidaan saada sekä sisäiset että ulkoiset kiinnostuneet tietoisiksi siitä, että organisaatio toimii toiminnan jatkuvuuden hallinnan hyvien käytäntöjen mukaisesti.

Katastrofipalautus ja BCMS

Tehokkaiden toiminnan jatkuvuussuunnitelmien kehittämisessä organisaatiolla on hyvät edellytykset toteuttaa käytäntöjä, jotka vähentävät tapahtumien ja organisaation vahinkojen todennäköisyyttä. Ei vain tämä, vaan tehokkaat liiketoiminnan jatkuvuussuunnitelmat auttavat sinua ymmärtämään organisaatiosi paremmin ja hallitsemaan sitä tehokkaammin.

ISO-ohjeet auttavat organisaatioita tunnistamaan ja hallitsemaan vaatimustenmukaisuutta käyttämällä tyypillisesti useita menettelyjä, käytäntöjä, prosessikaavioita tai vastaavia. Nämä ohjeet auttavat heitä suunnittelemaan liiketoimintansa häiriöitä ja toipumaan niistä. On kuitenkin parempi välttää niitä kokonaan, vaikka se ei aina ole mahdollista tai mahdollista taloudellisesti tai teknisesti. Tärkeää on myös selkeyttää tärkeysjärjestykset, jos sattuu tapahtuma, esimerkiksi: mikä on toipumisajan tavoite? Mikä on korkein kestävä seisokkiaika? Voit käyttää vastauksia näihin kysymyksiin katastrofipalautussuunnitelman laatimiseen. Toipumisnopeus on otettava huomioon. ISO 22301 -standardin mukainen toiminnan jatkuvuuden hallintajärjestelmä sisältää katastrofien palautumisen ja tehokkaat liiketoiminnan jatkuvuussuunnitelmat, jotka auttavat yritystäsi palauttamaan kriittiset toiminnot mahdollisimman nopeasti.

BCMS ja kyberkestävyys

Liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) käyttöönotto on välttämätöntä kyberresilienssin kehittämiseksi nykypäivän kyberturvallisuusympäristössä. Osa ISO 27001 -tietoturvastandardista sisältää lausekkeen liiketoiminnan jatkuvuudesta – ISO 22301 ylittää tämän ISO 27001 -vaatimuksen.

Kyberhyökkäykset ovat rutiininomaisesti nousseet otsikoihin viimeisen vuosikymmenen aikana. Esimerkiksi pahamaineinen maailmanlaajuinen WannaCry-lunnasohjelmahyökkäys toukokuussa 2017 jätti jälkeensä tuhon, kun organisaatioilta evättiin pääsy omiin tietoihinsa ja ne pakotettiin keskeyttämään liiketoimintansa, kunnes suuret lunnaat oli maksettu.

Tällaiset tapaukset osoittavat, kuinka tärkeää on varmistaa, että yrityksesi pystyy reagoimaan häiriöihin ja toipumaan niistä ottamalla käyttöön tehokkaan liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS).

ISO 22301:n edut

ISO 22301 -standardilla on monia etuja, mukaan lukien organisaation palauttaminen "tavalliseen liiketoimintaan" mahdollisimman vähän kriisien aiheuttamia häiriöitä.

Operatiivinen joustavuus

Mahdollisuus jatkaa liiketoimintaa pienestä tai suuresta tapahtumasta huolimatta on yhä tärkeämpää kaikkien toimialojen yrityksille. Liiketoiminnan jatkuvuuden hallintajärjestelmän (BCMS) avulla yritys voi suunnitella näitä tapauksia. Tämä johtaa parempaan kilpailukykyyn ja lyhentää liiketoiminnan seisokkeja, jos odottamatonta tapahtuu.

Hätätilavalmius

ISO 22301 antaa yrityksille ja organisaatioille mahdollisuuden reagoida asianmukaisesti häiriötilanteisiin ja välttää hukkaa ja tarpeettomia menetyksiä. Arvioimalla ennakoivasti häiriön vaikutuksia liiketoiminnan jatkuvuuden hallinta tunnistaa ne tuotteet ja palvelut, jotka ovat olennaisia ​​organisaation selviytymiselle. Se pyrkii määrittämään, mitä ratkaisuja ja varasuunnitelmaa tarvitaan, jos vaaratilanne sattuisi.

Hallinnointi

ISO 22301 -standardin noudattaminen auttaa täyttämään hallinnon vaatimukset. Pohjimmiltaan standardi voi tarjota todisteita siitä, että organisaatio on ryhtynyt tarvittaviin toimiin noudattaakseen viranomaisvaatimuksia, jotka edellyttävät tehokasta liiketoiminnan jatkuvuuden hallintaohjelmaa.

Kriisinhallinta

Kriisinhallinta (CM) tarkoittaa organisaation kriisin reagoinnin yleistä koordinointia tehokkaalla ja oikea-aikaisella tavalla. Kriisinhallinnasta vastaavien tavoitteena on välttää tai ainakin minimoida vahingot organisaation kannattavuudelle, maineelle tai toimintakyvylle. ISO 22301 -standardin täyttäminen vahvistaa, että asianmukaiset toimenpiteet ovat käytössä tämän toteuttamiseksi.

katastrofipalautuksen

Katastrofipalautustoiminnot keskittyvät organisaation palauttamiseen "tavalliseen liiketoimintaan" traumaattisen tapahtuman jälkeen ja sen saattamiseksi täydelliseen toipumiseen. On tärkeää ymmärtää, että tämä eroaa toiminnan jatkuvuuden hallinnasta, jonka tarkoituksena on varmistaa, että yritys voi edelleen vähentää luonnonkatastrofien todennäköisyyttä ja toimia kriisin aikana.

Maineen suojaaminen kriisissä

ISO 22301 -sertifikaatti osoittaa sidosryhmille, että toiminnan jatkuvuuskykysi on sopiva organisaatiosi mittakaavaan ja laajuuteen. Kuten ISO 27001, se lisää luottamusta, varsinkin kun sen on sertifioinut riippumaton sertifiointielin. Se auttaa ymmärtämään liiketoiminnan tarpeita tunnistamalla mahdolliset epäonnistumiset ja riskit. Yritykset voivat sitten osoittaa sidosryhmille, kuluttajille, myyjille ja sääntelyviranomaisille, että niillä on käytössä vankka liiketoiminnan jatkuvuuden hallintajärjestelmä ja prosessit.ISO 22301 lisää myös sidosryhmien luottamusta organisaation kykyyn reagoida häiritseviin tapauksiin ja tapahtumiin sekä ylläpitää kriittistä toimintaa. liiketoimintaprosesseja, jos katastrofi tapahtuu.

Valmistautuminen teknologian epäonnistumiseen

Teknologiahäiriöt voivat vahingoittaa suuresti organisaation kannattavuutta ja mainetta aina tietoliikennehäiriöistä tallennettujen tietojen käyttöoikeuden menettämiseen. ISO 22301 varmistaa, että kaikki mittaukset ovat käytössä tällaisten häiriöiden lieventämiseksi ja varmistavat, että kaikki osastot ovat valmiita pahimpaan mahdolliseen skenaarioon.

Pienennä liiketoiminnan keskeytysvakuutuskuluja

Kun käytössä on ISO 22301 -standardin mukainen BCMS-järjestelmä, organisaatiolla on merkityksellisempiä näkemyksiä mahdollisen katastrofin vaikutuksista. Näin yritys pystyy paremmin arvioimaan tarvitsemansa vakuutussuojan tyypin ja arvon, mikä saattaa vähentää kustannuksia pitkällä aikavälillä.

Suunnittele kriittisten resurssien äkillinen menetys

Tästä seuraa, että jos häiriön vaikutukset tunnistetaan ennakoivasti, organisaatiolla on vahva asema liiketoiminnan jatkuvuuden ylläpitämisessä. Toiminnan jatkuvuuden hallintajärjestelmät auttavat määrittämään, mitä toimia tarvitaan, jos häiriö ilmenee, ja ISO 22301 tarjoaa lisäksi mahdollisuuden reagoida asianmukaisesti häiriötilanteissa.

Kun olet suorittanut käyttöönoton, on välttämätöntä suorittaa toiminnan jatkuvuuden hallintajärjestelmän säännölliset auditoinnit. Sisäiset auditoinnit ovat pakollisia myös BCMS:n riippumattoman sertifioinnin saavuttamiseksi. Suorituskykyarvioinnit täydentävät myös sisäisiä tarkastuksia varmistaakseen, että hallintajärjestelmäsi toimivat aina odotetulla tavalla.

ISO-tarkastaja odottaa myös näkevänsä kirjaa parannuksista, joita organisaatiosi on tehnyt ajan mittaan. Menetelmän olemassaolo poikkeamien korjaamiseksi, korjaavat toimet ja muut parannukset on ratkaiseva vaatimus.

ISO 22301:n käytön aloittaminen

Kannustamme organisaatioita ostamaan kansainvälisen ISO-standardin ja sulattamaan sen ymmärtääkseen ISO-hallintajärjestelmän standardien vaatimukset täysin. Suosittelemme aloittamaan alusta (4.1 organisaation ja sen kontekstin ymmärtäminen) ja välttämään hyppäämästä tapaussuunnitelmien laatimiseen, ennen kuin olet miettinyt laajuutta, riskejä ja vaikutuksia.

ISMS.online on myös esikonfiguroitu erilaisilla työkaluilla, jotka auttavat seuraamaan prosessia helpommin ja auttavat sinua keskittymään liiketoimintaan. Se liittyy myös laajempiin työkaluihin ja ominaisuuksiin, jotka on asetettu ISO 27001:lle, mikä tarkoittaa, että voit myös saavuttaa monia ISO 22301 -hallintajärjestelmien vaatimuksia. Pystyt hoitamaan tehtäviä, kuten auditointeja, suoritusarviointeja, johdon kokouksia, henkilöstön koulutusta jne. kaikki samaan aikaan.

Vähennät kustannuksia, yksinkertaistat henkilöstön oppimista ja teet myös laajemman liikkeenjohdon järjestelmän hallinnasta paljon mukavampaa. Ulkopuoliset tarkastajat pitävät sitä myös paljon tehokkaampana ja luottavaisina, kun he näkevät ISO-standardien yhdenmukaiset toimintatavat.

Tässä on yhteenveto ISO 22301 -standardissa esitetystä viitekehyksestä:

Tausta

ISO 22301 -kehys on tarkoitettu kaikentyyppisille ja -kokoisille organisaatioille, jotka toteuttavat, ylläpitävät ja parantavat BCMS:ää. Se tulisi hyväksyä strategiseksi aikomukseksi kaikissa yrityksissä, jotka haluavat noudattaa ilmoitettua liiketoiminnan jatkuvuuspolitiikkaa ja ovat sitoutuneet parantamaan kestävyyttä soveltamalla tehokkaasti liiketoiminnan jatkuvuuden hallintajärjestelmiä.

Suunnittelu

Periaatteessa toiminnan jatkuvuuden hallintajärjestelmien suunnittelu alkaa liiketoiminnan jatkuvuuden hallintaan liittyvien riskien ja mahdollisuuksien arvioimisella ja selvittämisellä. Organisaation tulee myös asettaa toiminnan jatkuvuuden tavoitteet asiaankuuluville toiminnoille ja tasoille. Näitä tavoitteita on seurattava, niistä on tiedotettava selkeästi ja päivitettävä tarvittaessa.

Johto

Jokaisella toimialalla on elintärkeää, että johtoryhmä voi osoittaa johtajuutta ja sitoutumista BCMS:ään. Tämä voidaan saavuttaa "varmistamalla, että liiketoiminnan jatkuvuuspolitiikka ja liiketoiminnan jatkuvuustavoitteet on asetettu ja ne ovat yhteensopivia organisaation strategisen suunnan kanssa", ISO sanoo. Johdon tulee käyttää viestintäkanavia osoittaakseen ihmisilleen ja kumppaneilleen tehokkaan liiketoiminnan jatkuvuuden ja liiketoiminnan jatkuvuuden hallintajärjestelmien vaatimusten noudattamisen tärkeyden. Johtamisstrategian tulee myös edistää jatkuvaa parantamista ja liiketoiminnan jatkuvuuden kulttuurin kehittämistä.

Toiminta

Liiketoiminnan jatkuvuuden strategia perustuu siihen, että toimintaprosessit ovat käytössä kaikissa liiketoiminnan toiminnoissa tapahtumien varautumiseen ja häiriöihin reagoimiseen. Tämä tarkoittaa kriteerien asettamista prosesseille ja prosessien ohjauksen toteuttamista sovittujen kriteerien mukaisesti. Katastrofipalautus on riippuvainen jatkuvuussuunnitelmista media- ja viestintästrategian olemassaolosta työpaikan riskien tiukkaan hallintaan häiriötapausten jälkimainingeissa. Ratkaiseva askel on dokumentoitujen tietojen säilyttäminen sen todistamiseksi, että prosessit ja BC-testaus on suoritettu suunnitellusti ja parannettu tarvittaessa.

Suorituskyvyn arviointi

Suorituskyvyn arviointi tarkoittaa, että tapahtuvista tapauksista voidaan oppia paljon. Seuraamalla onnistumisia ja rajoituksia tieto kasvaa. Asianomaisilla osapuolilla on velvollisuus pitää kirjaa ja käyttää tarkastusten tuloksia auttamaan heitä tekemään oikeita päätöksiä siitä, miten liiketoimintahäiriöitä voidaan hallita eteenpäin. Laatimalla auditointiohjelman organisaatio voi varmistaa, että tarvittavat korjaavat toimenpiteet tehdään. Tavoitteena on poistaa havaitut poikkeamat ja niiden syyt.

parannus

Jatkuva parantaminen on keskeistä ISO 22301 -standardin dokumentoidussa hallintajärjestelmästandardissa. Kaikki BCMS:n hallintatapaan tehtävät tarkistukset ja parannukset parantavat liiketoiminnan jatkuvuuden hallintasuunnitelmaa ajan myötä.

ISO 22301 -käytännöt ja -menettelyt

ISO 22301 -standardin toiminnan jatkuvuuden hallinnan vaatimustenmukaisuusprojektin politiikkoja ja menettelyjä on hallittava huolellisesti.

Organisaation on osoitettava noudattavansa ISO-liiketoiminnan jatkuvuusstandardia toimittamalla asianmukaiset asiakirjat. Tämä sisältää laajuuden, yksityiskohtaisen toiminnan jatkuvuuspolitiikan, muodollisen riskinarviointimenettelyn ja liiketoiminnan jatkuvuussuunnitelmat, jotka osoittavat, kuinka organisaatio reagoi häiriöihin ja toipuu niistä.

Termit ja määritelmät

Standardi puhuu yksityiskohtaisesti turvallisuudesta ja kestävyydestä. Se käyttää laajaa valikoimaa joko erikoisteknisiä termejä tai yleisiä termejä, joilla on erityinen merkitys turvallisuuden ja kestävyyden kontekstissa.

Niiden ymmärtämisen helpottamiseksi se sisältää 31 tärkeimmän määritelmän. Se myös viittaa "ISO 22301 Security and Resilience – Vocabulary" -standardiin, jossa luetellaan ja määritellään lähes 300 turvallisuus- ja joustavuustermiä.

Jotkin liittyvät ohjeasiakirjat lisäävät ISO 22301 -standardin vaatimuksia. Jotkut niistä on lueteltu ISO 27001 -standardin sisällä, erottuvia ohjeita ovat:

ISO 22313 – Ohjeet ISO 22301:n käyttöön
ISO 22317 – Liiketoimintavaikutusten analysointiohjeet (BIA)
Jos sinun on ymmärrettävä termi, jota ei ole lueteltu tässä, sinun tulee tarkistaa ISO 22301 -standardista, mitä se tarkoittaa.

Löydät termejä ja määritelmiä myös verkosta.

ISO ja IEC ylläpitävät terminologisia tietokantoja standardointia varten seuraavissa osoitteissa:

• ISO Online-selausalusta
• IEC Electropedia

Näiden termien ymmärtäminen on erittäin tärkeää. Niille, jotka eivät vielä ole tämän alan asiantuntijoita, niihin voi olla vaikea päästä käsiksi.

Jos päätät työskennellä kanssamme, varmistamme, että ymmärrät ne. Selitämme ne omissa tukimateriaaleissamme, ja jos tarvitset kohdennetumpaa apua, voimme joko vastata kysymyksiisi itse tai löytää oikean riippumattoman kumppanin työskentelemään kanssasi.

Tarkastus ja vaatimustenmukaisuus

Auditointi on todisteiden keräämisprosessi, jonka tarkoituksena on arvioida, kuinka hyvin keskeiset kriteerit täyttyvät. Tarkastusten on oltava objektiivisia, puolueettomia ja riippumattomia, ja auditointiprosessin on oltava sekä systemaattinen että dokumentoitu.

Sisäiset tarkastukset ovat pakollinen osa sertifioitua BCMS:ää. Lisäksi valittu sertifiointielin suorittaa määräajoin "ulkoisia" auditointeja sertifioidakseen ensin BCMS:n ja varmistaakseen sen jälkeen, että se on edelleen standardin mukainen. On myös mahdollista suorittaa yhdistettyjä auditointeja. Tällöin kahta tai useampaa dokumentoitua hallintajärjestelmää eri tieteenaloista auditoidaan yhdessä samanaikaisesti.
ISO-auditoija odottaa näkevänsä kirjaa parannuksista, joita organisaatiosi on tehnyt ajan mittaan. Menetelmän olemassaolo poikkeamien korjaamiseksi, korjaavat toimet ja muut parannukset ovat ratkaisevia vaatimuksia.

BC-järjestelyjen testaamisen tärkeys

BCMS:n sisältämiä dokumentoituja järjestelyjä ja suunnitelmia voidaan testata useilla eri tavoilla. Esimerkkejä ovat pöytäharjoitukset, täysi- tai osittaiset harjoitukset sekä myös tositapahtumien oppimisen valjastaminen. ISO 22301 velvoittaa nämä prosessit tapahtumaan säännöllisesti organisaatiosi toimintojen ja riskiprofiilin mukaisesti.

Noudattaminen

Sertifioinnin jälkeen sinun on laadittava huoltosuunnitelma varmistaaksesi jatkuvan ISO 22301 -standardin noudattamisen. Meillä ISMS.onlinella on tästä erityisosaamista.

Ymmärrämme myös, että jatkuva parantaminen on tärkeä osa ISO 22301 -sertifikaatin ylläpitämistä. Lauseke 10 keskittyy tähän ja kattaa kaikki organisaatiossa tehdyt toimet:

Toteuta liiketoiminnan jatkuvuuden tavoitteita tehokkaammin
Lisää turvamenettelyjen ja valvonnan luotettavuutta
Luo parempia turvallisuusetuja organisaatiolle ja sen sidosryhmille

ISO 22301 -vaatimukset

ISO 22301:2019 toteuttaa liitteen L, entisen liitteen SL, puitteet, perustekstit ja määritelmät. Liite L luo korkean tason puitteet ISO-hallintajärjestelmästandardeille. Liite laadittiin sisällyttämään samanlainen ydinteksti sekä yhteinen terminologia ja käsitteet.

Lukuun ottamatta kohtaa 8, liitteen L vaatimukset koskevat monia samoja alueita kuin ISO 27001 -standardin perusvaatimukset, joita käsitellään kohdissa 4.1–10.2.

• ISO 22301: Liiketoiminnan jatkuvuusstandardi
• Lauseke 1 – Soveltamisala
• Kohta 2 – Normatiiviset viittaukset
• Lauseke 3 – Termit ja määritelmät
• Lauseke 4 – Organisaation tausta
• Lauseke 6 – Suunnittelu
• Lauseke 7 – Tuki
• Lauseke 8 – Toiminta
• Lauseke 9 – Suorituskyvyn arviointi
• Lauseke 10 – Parantaminen