ISO 22301 BCM software
Certificering van de bedrijfscontinuïteit van jouw organisatie
Business Continuity Management (BCM)
ISO 22301 is de norm voor ‘Business Continuity Management’ (BCM); het management van jouw bedrijfscontinuïteit. Wanneer jouw organisatie kiest voor deze norm, doorloop je alle stappen van het geïntegreerde managementsysteem, waarbij je naar de afhankelijkheden gaat kijken. Vervolgens bepaal je hoe en of deze afhankelijkheden tot eventuele calamiteiten kunnen leiden en wat te doen als zich dit voordoet.
De PCT bevat de ISO 22301 (BCM) module, waarin je dit voor jouw organisatie inzichtelijk kunt maken. Certificering voor ISO 22301 wordt steeds relevanter, omdat je kijkt naar wat er mis zou kunnen geen. Zeker van toepassing in een tijd waarin ransomware steeds gevaarlijker wordt en helaas een epidemie ook niet meer uit onze maatschappij is weg te denken.
Waarom kies je als organisatie voor ISO 22301 certificering?
Je kiest als organisatie voor ISO 22301 certificering, omdat het van belang is jouw dienstverlening of productie (continu) voort te kunnen zetten, zodat je continuïteit kunt garanderen aan de stakeholders van jouw organisatie. Je gaat tevens na welke wet- en regelgeving en contracten je dient na te leven.
BCM certificering zorgt ervoor dat je plannen opstelt voor crisissituaties en bij calamiteiten, zodat je als organisatie voorbereid bent op een crisis of calamiteit. Een crisis kan onder andere gerelateerd zijn aan personen, locatie of techniek.
Als je alle punten voor het primaire proces van jouw organisatie in kaart hebt gebracht en waar de afhankelijkheden liggen, weet je in welke volgorde, welke acties moeten worden ondernomen om jouw productie- en of bedrijfsprocessen zo snel mogelijk weer te kunnen voortzetten en eventueel te voorkomen in de toekomst. Het geeft je inzicht waar je binnen jouw bedrijfsprocessen op moet letten, dus waar risico’s liggen.
Voor welke bedrijven en organisaties is ISO 22301 certificering?
BCM-certificering is voor organisaties die:
- Veel afhankelijkheden hebben in hun eigen bedrijfsprocessen en/of ten aanzien van hun klanten. Denk hierbij aan alarmcentrales, IT- bedrijven, productie-, transport en maakbedrijven, opslag- en overslagbedrijven.
- De continuïteit van hun dienstverlening serieus nemen en graag een stap extra willen zetten en aan klanten laten zien dat zij over BCM hebben nagedacht.
Voordelen BCM ISO 22301 certificering
Interne processen worden aangescherpt.
Je maakt je organisatie toekomstbestendig.
Geeft besef dat kleine dingen best een grote impact kunnen hebben.
Je gaat risico gebaseerd werken.
Geeft inzicht in de zwakke punten van je organisatie, niet alleen tijdens een crisis, ook in de normale situatie.
Je bereidt je organisatie voor op crisissituaties.
Geeft meer structuur in de bedrijfsvoering (net als bij informatiebeveiliging).
Het kost minder tijd als je al ISO 27001 gecertificeerd bent, dan staat het framework al.
Het is interessant om na te denken over scenario’s; mensen mogen wat ‘rampenfilms’ te voor schijn toveren.
Onderdelen Business Continuity Management
De norm vereist dat je de escalatievoorwaarden bepaalt, wanneer je een crisisreactie opstart en BCM plan in werking stelt.
Bijvoorbeeld, wanneer:
- Er te weinig medewerkers om transporten uit te kunnen voeren.
- ICT systemen uitvallen en niet tijdig kunnen worden hersteld.
‘Een ramp gebeurt altijd op een vrijdagavond als iedereen op vakantie is.’
De volgende zaken maken deel uit van business continuity management:
- Afhankelijkheidsanalyse
In de afhankelijkheidsanalyse doorloop je de stappen in jouw bedrijfs- of productieproces en bepaalt welke afhankelijkheden hier zijn. Waarbij je ook nadenkt over de duur om processen weer te herstellen, dit betekent dat je een aantal stappen vooruit moet denken. - Business Impact Analyse (BIA): BIA is een overzicht en analyse van de bedrijfskritische processen. Je bepaalt wat de impact is van een calamiteit en waar de kwetsbaarheden zich bevinden in jouw organisatie. Je kunt het omschrijven wat gebeurt als … uitvalt, wat zijn dan de gevolgen hiervan voor de verschillende aspecten op gebied van financiën, imago, productie, wet- en regelgeving en milieu.
Je geeft prioritering aan jouw bedrijfsprocessen in de BIA, door te bepalen welk proces het belangrijkste is en als eerste weer actief moet zijn. Daarnaast leg je vast hoe het duurt de processen weer op gang te krijgen, zodat je hier je calamiteitenplan op in kunt richten. - Disaster Recovery Plan (DRP): een herstelplan wanneer in geval van calamiteit (IT) systemen niet beschikbaar zijn. In het DRP staat beschreven welke stappen je als organisatie moet nemen, om de getroffen systemen weer snel beschikbaar te krijgen. Je beschrijft hoe deze calamiteit zo snel mogelijk kan worden opgelost en teruggedrongen tot een aanvaardbaar niveau om te zorgen dat de bedrijfscontinuïteit kan worden gehandhaafd. De communicatiestrategie vormt een belangrijk onderdeel van dit plan.
- Business Continuity Plan (BCP): een plan dat procedures en processen beschrijft om de voortgang van de bedrijfsprocessen van jouw organisatie te kunnen handhaven in het geval van een crisis of calamiteit. Je kijkt naar de kritische bedrijfsprocessen en hoe je als organisatie kunt herstellen wanneer zich een calamiteit voordoet. Welke proces bedrijfskritisch is hangt af van het type organisatie.
De DRP’s maken onderdeel uit van het BCP van een organisatie. - Communicatiestrategie: communicatie in een crisissituatie is van groot belang en iets dat vaak over het hoofd wordt gezien of niet goed uitgewerkt. Duidelijke en heldere communicatie is essentieel, zodat de betrokkenen weten wat er van hen wordt verwacht en hoe zij dienen te handelen.
Kritische bedrijfsmiddelen
Je framework van je managementsysteem richt je in aan de hand van vijf stappen, in de tweede stap ‘Mensen en middelen’ bepaal je wat en wie je nodig hebt om je bedrijfsvoering uit te oefenen. BCM richt zich op de kritische bedrijfsmiddelen en mensen, oftewel wie en wat is er essentieel om je primaire bedrijfsproces te kunnen uitvoeren.
Tip: Medewerkers hebben vaak veel kennis en kunnen daardoor kritisch zijn in het proces. Daarom is van belang vervanger(s) te bepalen wanneer deze persoon uitvalt en zorg te dragen voor de borging van de kennis van desbetreffende persoon.
ISO 22301 audit
De audit voor ISO 22301 zal verlopen als andere audits, bijvoorbeeld die voor informatiebeveiliging, hier zullen de vragen betrekking hebben op de documentatie die je als organisatie hebt opgesteld voor jouw business continuïteit.
Verdiepingsslag op ISO 27001
De ISO 27001 norm voor informatiebeveiliging, bevat een control die aangeeft dat je als organisatie moet bepalen welke maatregelen je neemt ten aanzien de continuïteit van je dienstverlening. ISO 27001 stelt meer algemeen, dat je als organisatie moet nadenken over de bedrijfscontinuïteit.
ISO 22301 certificering gaat veel dieper in op de bedrijfscontinuïteit dan bij informatiebeveiliging en richt zich op alle systemen, mensen en middelen die nodig zijn om je primaire proces op orde te houden. Deze informatie gebruik je om je managementsysteem informatie verder uit te breiden en in te richten.
Tips voor ISO 22301 BCM certificering
Kies je voor ISO 22301 certificering? Dan helpt het als je als organisatie alvast goed nadenkt over de volgende punten. Op deze manier kun je goed voorbereid aan de certificering beginnen. Hier wat stellingen en vragen om jouw organisatie voor te bereiden op de ISO 22301 certificering.
Denk goed na over je primaire dienstverlening.
Bepaal wat je afhankelijkheden zijn.
Geeft besef dat kleine dingen best een grote impact kunnen hebben.
Je gaat risico gebaseerd werken.
Geeft inzicht in de zwakke punten van je organisatie, niet alleen tijdens een crisis, ook in de normale situatie.
Je bereidt je organisatie voor op crisissituaties.
Geeft meer structuur in de bedrijfsvoering (net als bij informatiebeveiliging).
Het kost minder tijd als je al ISO 27001 gecertificeerd bent, dan staat het framework al.
Het is interessant om na te denken over scenario’s; mensen mogen wat ‘rampenfilms’ te voor schijn toveren.
Software geschikt voor alle typen normen en schema’s
De PCT is geschikt voor alle gangbare normen, certificatieschema’s en beoordelingsrichtlijnen. Lees meer over ISO certificeringen.