ISO 22301:2019 is de internationale norm voor Business Continuity Management Systems (BCMS). De standaard biedt een kader waarmee organisaties hun veerkracht vergroten en zich voorbereiden op verstoringen, van IT-storingen en cyberaanvallen tot natuurrampen en pandemieën.
De norm is relevant voor elke organisatie die afhankelijk is van de continuiteit van haar processen, maar is in de praktijk vooral populair bij financiële instellingen, IT-dienstverleners, zorginstellingen en organisaties in kritieke infrastructuur. Regelgeving als DORA en NIS2 verwijst direct naar business continuity eisen die nauw aansluiten bij ISO 22301.
De kern van ISO 22301
ISO 22301 volgt dezelfde High Level Structure als ISO 27001 en ISO 9001, wat integratie met bestaande managementsystemen vergemakkelijkt. De norm draait om het opzetten, implementeren, onderhouden en continu verbeteren van een BCMS.
Het startpunt is de business impact analyse (BIA). Hierbij bepaalt de organisatie welke activiteiten en processen kritiek zijn, wat de maximaal toelaatbare uitvalduur is per proces, welke middelen nodig zijn voor herstel, en wat de onderlinge afhankelijkheden zijn tussen processen, systemen en leveranciers.
Op basis van de BIA stelt de organisatie business continuity plannen op. Deze plannen beschrijven concrete stappen voor het voortzetten of herstellen van kritieke activiteiten bij een verstoring. De plannen moeten rollen en verantwoordelijkheden bevatten, communicatieprocedures, herstelprocedures en escalatiepaden.
Testen en oefenen
Een essentieel onderdeel van ISO 22301 is het testen van de business continuity plannen. De norm vereist dat organisaties regelmatig oefeningen uitvoeren om de effectiviteit van hun plannen te valideren. Dit kan variëren van een tabletop-oefening waarbij het crisisteam een scenario bespreekt, tot een volledige simulatie waarbij systemen daadwerkelijk worden hersteld.
Wij zien in de praktijk dat het testen van plannen het onderdeel is waar organisaties het meest van leren. Papieren plannen blijken vaak onvolledig of onrealistisch wanneer ze daadwerkelijk worden uitgevoerd. Regelmatig testen is daarom niet alleen een eis van de norm, maar ook een van de meest waardevolle activiteiten.
Relatie met ISO 27001 en DORA
ISO 22301 en ISO 27001 vullen elkaar aan. ISO 27001 richt zich op de bescherming van informatie en bevat controls voor beschikbaarheid en continuïteit. ISO 22301 gaat dieper in op het continuiteitsmanagement zelf. Veel organisaties kiezen voor een geintegreerde aanpak waarbij het ISMS en het BCMS samen worden ingericht.
DORA vereist dat financiële instellingen hun digitale operationele weerbaarheid aantonen. ISO 22301 certificering biedt een gestructureerde manier om aan deze eis te voldoen, met name voor de pijlers ICT-risicobeheer en digital operational resilience testing.
De certificeringsaudit voor ISO 22301 wordt uitgevoerd door een geaccrediteerde certificeringsinstelling. Secure Audit ondersteunt organisaties bij de voorbereiding: van BIA en planontwikkeling tot interne audits en testoefeningen. Neem contact op voor een vrijblijvend gesprek.
Lees ook
Business continuity management (BCM) is cruciaal voor organisaties die afhankelijk zijn van IT. Lees hoe een IT-audit je BCM-aanpak beoordeelt.
Van gap-analyse tot certificeringsaudit: een praktische gids voor ISO 27001 implementatie en certificering.
DORA stelt strenge eisen aan digitale weerbaarheid in de financiële sector. Bereid je voor met deze praktische gids.
Over de auteur
Partner | IT-auditor