ISO 22301 – The Business Continuity Management Standard, förenklad

Vad är ISO 22301 och varför behöver du det?

I en värld där cyberattacker, dataintrång och naturkatastrofer kan avbryta affärskontinuiteten och snabbt skada rykte, behöver organisationer och företag implementera, underhålla och fortsätta att förfina sitt affärskontinuitetshanteringssystem (BCMS). ISO 22301-certifiering av deras kontinuitetshantering säkerställer att de gör det.

ISO 22301 hjälper organisationer att identifiera och prioritera hot. Det gör det möjligt för dem att implementera sitt system för hantering av affärskontinuitet på ett effektivt sätt så att de är redo att svara på och återhämta sig från incidenter med minsta möjliga avbrott i verksamheten.

Studier har visat att nästan 1 av 5 organisationer upplever betydande affärsstörningar varje år. Därför är en robust och motståndskraftig organisation en organisation som kan förändras med tiden, har en förståelse för var dess sårbarheter finns och har planer på plats för att minska risker samt reagera om den behöver göra det. Efterlevnad eller certifiering av ISO 22301 Business Continuity Management gör att din organisation kan uppnå allt ovanstående på ett enkelt och strukturerat sätt.

Den senaste versionen av standarden

Den 31 oktober 2019 publicerades den senaste versionen av ISO 22301-standarden – ISO 22301:2019. Detta är en reviderad version av ISO 22301:2012. Det syftar till att göra standarden "mer strömlinjeformad och praktisk", enligt ISO. Enligt United Kingdom Accreditation Service (UKAS) kommer företag att kunna gå över från ISO 22301:2012 till ISO 22301:2019 fram till den 30 april 2023. Tidsfristen förlängdes, som ett undantag, på grund av Covid-19-situationen. 2019 års version har generellt tagits emot väl och övergångar från gamla till nya versioner av standarden ses som en inte alltför betungande värdeskapande övning.

Du kan hitta dokumentationen för ISO 22301-standarden för affärskontinuitetshantering på officiella ISO-webbplats.

ISO 22301:2019 förser företag med den senaste säkerhets- och resilienscertifieringen för att vara säker på att deras affärskontinuitetsledningssystem uppfyller den internationella standarden, fastställd av ISO.

Förhållandet med ISO 22301:2012

Det finns ingen radikal skillnad mellan ISO 22301:2012 och ISO 22301:2019. Båda versionerna kräver engagemang från ledningen, och den uppdaterade modellen reflekterar över vad som krävs för att upprätthålla ett framgångsrikt BCMS.

Att hållbarhet blir mycket bekvämare med ett teknikbaserat affärskontinuitetsledningssystem som ISMS.online.

ISO 22301:2012 publicerades i maj 2012 och ändrades i juni samma år. Ledningssystemets krav som fastställts i ISO 22301 affärskontinuitetshantering hade avsett att omfatta alla organisationer. I vilken grad kriterierna implementeras beror på verksamhetsmiljön och omfattningen av organisationen, liknande hur man skulle utveckla sitt utbud för andra ledningssystemstandarder som ISO 27001.

Medan flera begrepp och terminologi för affärskontinuitetshantering har reviderats för att utöka sammanhanget och återspegla etablerade procedurer, klausul 8; Drift, är det huvudsakliga området där förändringar har skett.

ISMS.online erbjuder ISO 22301 ramverk för affärskontinuitetshantering inom sina paketerade tjänster. Det betyder att organisationer som vill migrera sina befintliga ledningssystem för affärskontinuitet kan, liksom de som börjar med ISO 22301 för första gången.

Vad är Business Continuity Management?

Om ditt företag drabbades av en katastrof eller kris, skulle ditt företag kunna fortsätta? När incidenter och naturkatastrofer inträffar finns det kort tid att förbereda en responsstruktur, särskilt när nyckelpersoner, processer, nätverk, infrastruktur och andra viktiga tjänster störs.

En katastrof har inga gränser. Det kan påverka din affärskontinuitet internt och externt och även påverka dina kunder och leveranskedjan. Oavsett om du är ett litet eller stort företag kan du möta påverkan. Det primära syftet med affärskontinuitetshantering är att minska sannolikheten för hot och garantera att företaget reagerar på betydande störningar som kan äventyra dess framtid.

Business continuity management handlar om ansvarsfullt och effektivt ledarskap. Det bör ge en grund för att utveckla motståndskraft mot incidenter samt förmågan att reagera framgångsrikt, skydda dina nyckelintressenters intressen, rykte och värdeskapande verksamhet i ditt företag.

En affärskontinuitetsstrategi med ett dokumenterat ledningssystem bör säkerställa att arbetarna är medvetna om sina roller och ansvarsområden. Vid en oväntad händelse är det väsentligt att kunna anpassa sig till etablerade processer och godkända rutiner.

Fördelarna med Business Continuity Management

Affärskontinuitetshantering hjälper organisationer att minska sannolikheten och effekterna av avbrott och driftstopp, skydda tillgångar om något går fel, fortsätta att fungera genom störningen och återhämta sig så snabbt som möjligt från eventuella incidenter som inträffar. Att ha affärskontinuitetsplaner på plats kommer att hjälpa din organisation på följande sätt:

Följ lagliga krav

ISO 22301 används för juridisk och regulatorisk certifiering av kontinuitetshantering, vilket säkerställer att alla nödvändiga delar av ett affärskontinuitetsledningssystem uppfylls.

Uppnå marknadsföringsfördelar

Varumärkes rykte är värdefullt för alla organisationer och bör skyddas till varje pris. Med ett kontinuitetshanteringssystem är det möjligt att bygga upp kundernas förtroende och förtroende, vilket minskar sannolikheten för en PR-katastrof som kan skada relationerna med intressenter inklusive kunder, kunder och leverantörer.

Minska beroendet av individer

Genom planering, utbildning, medvetenhetsprogram och testning bör alla i en organisation förstå vad som förväntas av dem. Detta skapar förtroende för att affärskontinuitetsplanerna kommer att leverera i händelse av avbrott.

Förhindra storskaliga skador

Det är viktigt att hålla ditt företag i handel under och efter en incident. Genom att snabbt återställa verksamheten efter avbrott är det möjligt att minska kostnaderna för skadeincidenter, skydda organisationens rykte och till och med rädda liv om farliga händelser, som brand eller översvämning, inträffar.

Operativ motståndskraft

Missöden och oplanerade händelser varierar i omfattning, hastighet och påverkan, och drabbar möjligen bara en enskild avdelning eller plats. Att identifiera och planera för eventuella mindre skala frågor som kan eskalera till stora operativa svårigheter för hela organisationen kommer att hålla hjulen igång.

Affärskontinuitetsrisk

Affärskontinuitetshantering med hjälp av ett väldokumenterat ledningssystem hjälper dig att identifiera bättre och minska sannolikheten för störande incidenter eller ta itu med affärskontinuitetsrisker. Affärskontinuitetshantering leder till tillväxten av en mer stabil miljö, även om företag utan framgångsrika affärskontinuitetssystem kommer att öka chanserna avsevärt. En välutvecklad, organiserad och inövad Business Continuity Plan (BCP) kan hjälpa företaget att återhämta sig från en incident så snabbt som möjligt.

Alla dina procedurer måste vara uppdaterade, korrekta och effektiva. Metoder inkluderar men är inte begränsade till företagsriskbedömningar, riskgranskning av informationssäkerhet och att ta itu med dina hälso- och säkerhetspolicyer, såväl som din kontinuitetshanteringsplan.

Exempel på affärskontinuitetsrisker inkluderar:

• Cyberattacker och dataintrång
• Oplanerade IT- och telekomavbrott
• Avbrott i elförsörjningen
• Ogynnsamt väder och andra miljöorsaker
• Pandemier och epidemier
• Terrordåd
• Säkerhetsincidenter
• natur
• Flood
• Förlust av nyckelpersonal
• Förstörelse av fysisk egendom eller materiell förlust

Akutberedskap

Affärskontinuitetshantering beskriver de steg du behöver ta i en nödsituation i form av en Disaster Recovery Plan (DRP). En katastrofåterställningsplan är en dokumenterad, organiserad affärskontinuitetsstrategi som visar hur man reagerar på störande incidenter.

Disaster Recovery Plan börjar utformas efter en mer detaljerad affärskonsekvensanalys, som hjälper till att visa var den mest betydande påverkan och konsekvenserna är från en händelse. ISMS.online ger dig de verktyg du behöver för att hantera din affärskonsekvensanalys, katastrofåterställningsplaner och mycket mer med hjälp av informationsteknik.

Din DRP bör innehålla ett kortsiktigt arrangemang för att fixa och återuppbygga kritiska affärssystem, och en plan för att ta itu med problem som att identifiera rotorsaker och ett långsiktigt förebyggande tillvägagångssätt. Det finns många alternativ tillgängliga för att säkerställa att en organisation har en uppställning med ett beredskapssystem som ger den bästa lösningen.

Till exempel skulle återställningssystemet på plats säkerställa att data kan hämtas mer effektivt med säkerhetskopiering av data och andra medel. Dina förebyggande åtgärder bör också skydda från potentiella serverfel och ta hänsyn till risken för externa entreprenörer. Du skulle sedan bygga beredskapsplaner och alternativa affärskontinuitetsstrategier för frånvaron av förnödenheter som är avgörande för affärsverksamheten långt innan de ens blir en katastrofåterställningsfråga.

Vad är ett BCMS?

Ett system för ledning av affärskontinuitet, mycket enkelt uttryckt, är ett erkänt tillvägagångssätt för att säkerställa att en organisation kan fortsätta sin verksamhet och reagera effektivt på störande incidenter.

ISO 22301 tillhandahåller en konstant och etablerad metod för affärskonsekvensanalys med ett ramverk baserat på erkänd god praxis. Alla som implementerar och uppnår certifiering för ett ISO 22301-baserat affärskontinuitetsledningssystem kommer att få omedelbar erkännande och förståelse från inflytelserika kunder, inklusive utbildade experter, revisorer och andra intresserade parter.

När det är baserat på ISO 22301, betonar ISO själv vikten av ledningssystem för affärskontinuitet:

• Att visa organisationen förstår behoven och nödvändigheten för en uttalad affärskontinuitetspolicy och mål
• Implementering och utförande av processer, incidentresponsmekanismer och andra ingripanden för att säkerställa att organisationen överlever en störning
• Övervakning och kontinuerlig förbättring av ledningssystemet för affärskontinuitet

Demonstrera god praxis för affärskontinuitetshantering

Att följa ISO 22301 som grund för ditt BCMS kommer att ge bevis på att företaget har vidtagit nödvändiga åtgärder för att uppfylla regulatoriska krav utöver erkänd god praxis.

En bästa praxis i affärskontinuitet inkluderar livscykeln för affärskontinuitetshantering eftersom du kan göra det möjligt att maximera effektiviteten och kvaliteten på dina affärskontinuitetssystem. ISO 22301 tillhandahåller ett ramverk för internationell bästa praxis för det välförstådda konceptet Plan/Do/Check/Act. Detta koncept gäller organisationer som implementerar, underhåller och förbättrar sina ledningssystem för affärskontinuitet, som strävar efter att säkerställa efterlevnad av den angivna policyn för affärskontinuitet.

Med ett affärskontinuitetsledningssystem baserat på kraven i ISO 22301 kan både interna och externa intressenter göras medvetna om att organisationen arbetar med god praxis inom affärskontinuitetshantering.

Katastrofåterställning och BCMS

Genom att utveckla effektiva affärskontinuitetsplaner kommer en organisation att ha goda förutsättningar att implementera metoder som minskar sannolikheten för incidenter och skador på organisationen. Inte bara detta, utan effektiva affärskontinuitetsplaner hjälper dig att bättre förstå din organisation och driva den mer effektivt.

ISO-vägledning hjälper organisationer att identifiera och hantera efterlevnad, vanligtvis med hjälp av en serie procedurer, policyer, processdiagram eller liknande. Denna vägledning hjälper dem att planera för och återhämta sig från störningar i deras affärsaktiviteter. Men det är fortfarande bättre att undvika dem helt, även om det inte alltid är möjligt eller genomförbart ekonomiskt eller tekniskt. Det är också viktigt att klargöra prioriteringar om en incident inträffar, till exempel: vad är målet med återhämtningstiden? Vilken är den högsta hållbara stilleståndstiden? Du kan använda svaret på dessa frågor för att förbereda din katastrofåterställningsplan. Återhämtningshastighet måste vara ett övervägande. Ett ISO 22301-anpassat ledningssystem för affärskontinuitet kommer att innefatta katastrofåterställning och effektiva affärskontinuitetsplaner för att hjälpa ditt företag att återställa din kritiska verksamhet så snabbt som möjligt.

BCMS och cyberresiliens

Implementering av ett affärskontinuitetshanteringssystem (BCMS) är absolut nödvändigt för att utveckla cyberresiliens i dagens cybersäkerhetsmiljö. En del av ISO 27001 Information Security Standard innehåller en klausul om kontinuitet i verksamheten – ISO 22301 uppfyller mer än detta ISO 27001-kravet.

Cyberattacker har rutinmässigt hamnat i rubrikerna under det senaste decenniet. Till exempel lämnade den ökända globala WannaCry ransomware-attacken i maj 2017 ett spår av förödelse då organisationer nekades tillgång till sin egen data och tvingades stoppa affärsverksamheten tills stora lösensummor betalades ut.

Sådana incidenter visar vikten av att säkerställa att ditt företag kan reagera på och återhämta sig från störningar, genom att implementera ett effektivt system för affärskontinuitetshantering (BCMS).

Fördelarna med ISO 22301

Det finns många fördelar med ISO 22301, inklusive att återställa organisationen till "business as usual" med minimala störningar från alla kriser.

Operativ motståndskraft

Att ha möjligheten att fortsätta sin verksamhet oavsett om en mindre eller större incident inträffar blir allt viktigare för företag inom alla sektorer. Ett Business Continuity Management System (BCMS) tillåter ett företag att planera för dessa incidenter. Detta leder till större konkurrenskraft och minskar mängden driftstopp som ett företag kommer att ha om det oväntade skulle inträffa.

Akutberedskap

ISO 22301 ger företag och organisationer möjlighet att reagera på lämpligt sätt i händelse av störande incidenter och undvika slöseri eller onödig förlust. Genom att proaktivt utvärdera effekten av störningen, erkänner affärskontinuitetsledningen de produkter och tjänster som är väsentliga för organisationens överlevnad. Den försöker fastställa vilka lösningar och beredskapsplanering som kommer att krävas om en incident skulle inträffa.

Bolagsstyrning

Överensstämmelse med ISO 22301 hjälper till att uppfylla kraven för bolagsstyrning. Standarden kan i huvudsak ge bevis på att organisationen har vidtagit de nödvändiga åtgärderna för att följa regulatoriska krav som kräver ett effektivt program för hantering av affärskontinuitet.

Krishantering

Krishantering (CM) avser den övergripande samordningen av en organisations svar på en kris, på ett effektivt sätt i rätt tid. För dem som ansvarar för att hantera krishantering är målet att undvika eller åtminstone minimera skador på organisationens lönsamhet, rykte eller förmåga att verka. Att uppfylla ISO 22301-standarden bekräftar att lämpliga åtgärder är på plats för att detta ska hända.

Katastrofåterställning

Återställningsaktiviteter är inriktade på att återställa organisationen till "business as usual" efter en traumatisk händelse och sätta den på rätt spår mot fullständig återhämtning. Det är viktigt att inse att detta skiljer sig från business continuity management, som handlar om att säkerställa att företaget kan fortsätta att minska sannolikheten för naturkatastrofer och fungera under en kris.

Skydd av rykte i en kris

ISO 22301-certifiering visar intressenter att din affärskontinuitetskapacitet är lämplig för din organisations skala och omfattning. Precis som ISO 27001 skapar den mer förtroende, särskilt när den är certifierad av ett oberoende certifieringsorgan. Det underlättar din förståelse av affärsbehov genom att identifiera potentiella misslyckanden och risker. Företag kan sedan visa för intressenter, konsumenter, leverantörer och tillsynsmyndigheter att de har ett robust system för hantering av affärskontinuitet och processer på plats. ISO 22301 kommer också att öka intressenternas förtroende för organisationens förmåga att reagera på störande incidenter och händelser och att upprätthålla kritiska affärsprocesser om en katastrof inträffar.

Förberedelse för tekniska misslyckanden

Från telekommunikationsavbrott till förlust av åtkomst till lagrad data, teknikfel kan vara enormt skadligt för en organisations lönsamhet och rykte. ISO 22301 säkerställer att alla mätningar är på plats för att mildra sådana störningar och att alla avdelningar är förberedda för det värsta scenariot.

Minska kostnaderna för avbrottsförsäkring

Med ett BCMS på plats som överensstämmer med ISO 22301 har en organisation mer meningsfulla insikter om konsekvenserna av en potentiell katastrof. Detta gör det möjligt för verksamheten att bättre utvärdera typen och värdet av det försäkringsskydd det kräver, vilket kan minska kostnaderna på lång sikt.

Planera för plötslig förlust av viktiga resurser

Det följer att om det finns en proaktiv identifiering av effekterna av störningar, kommer en organisation att ha en stark position för att upprätthålla kontinuitet i verksamheten. System för ledning av affärskontinuitet hjälper till att fastställa vilka svar som kommer att behövas om ett avbrott inträffar och ISO 22301 ger dessutom möjlighet att reagera på ett adekvat sätt i händelse av ett sådant avbrott.

När du har slutfört din implementering är det viktigt att genomföra regelbundna revisioner av ledningssystemet för affärskontinuitet. Internrevisioner är obligatoriska för att uppnå oberoende certifiering av BCMS också. Prestationsgranskningar kompletterar även interna revisioner för att säkerställa att dina ledningssystem fungerar som förväntat hela tiden.

ISO-revisorn förväntar sig också att se ett register över förbättringar som din organisation har gjort över tiden. Att ha en metod för att åtgärda avvikelser, korrigerande åtgärder och andra förbättringar är ett avgörande krav.

Komma igång med ISO 22301

Vi uppmuntrar organisationer att köpa den internationella ISO-standarden och smälta den för att förstå kraven på ISO-ledningssystemstandarderna fullt ut. Vi rekommenderar att börja från början (4.1 förstå organisationen och dess sammanhang) och undvika att hoppa in i att utveckla incidentresponsplaner tills du har övervägt omfattningen, riskerna och konsekvenserna.

ISMS.online är också förkonfigurerad med en rad verktyg som hjälper dig att följa processen enklare och innebär att du behåller fokus på verksamheten. Den mappar också in i de mer omfattande verktygen och funktionerna för ISO 27001, vilket innebär att du också kan uppnå många av ISO 22301-ledningssystemkraven. Du kommer att kunna hantera uppgifter som revisioner, utvecklingssamtal, ledningsmöten, personalutbildning etc. på samma gång.

Du kommer att minska kostnaderna, förenkla inlärningen för personalen och göra administrationen av det bredare affärsledningssystemet mycket bekvämare också. Externa revisorer tycker också att det är mycket mer effektivt och har stort förtroende när de ser konsekventa operativa rutiner för ISO-standarderna.

Här sammanfattar vi ramverket som anges i ISO 22301:

Sammanhang

ISO 22301-ramverket är för alla typer och storlekar av organisationer som implementerar, underhåller och förbättrar ett BCMS. Det bör antas som en strategisk avsikt av alla företag som vill överensstämma med den uttalade affärskontinuitetspolicyn och som har åtagit sig att förbättra motståndskraften genom effektiv tillämpning av affärskontinuitetshanteringssystem.

Planering

I grund och botten börjar planering av affärskontinuitetsledningssystem med att bedöma och fastställa risker och möjligheter när det gäller hantering av affärskontinuitet. Organisationen måste också fastställa affärskontinuitetsmål för relevanta funktioner och nivåer. Dessa mål måste övervakas, tydligt kommuniceras och uppdateras vid behov.

Ledarskap

I varje bransch är det viktigt att ledningsgruppen kan visa ledarskap och engagemang för BCMS. Detta kan uppnås genom att "säkerställa att affärskontinuitetspolicyn och affärskontinuitetsmålen är fastställda och är förenliga med organisationens strategiska inriktning", säger ISO. Ledarskap bör använda kommunikationskanaler för att visa sina medarbetare och partners vikten av effektiv affärskontinuitet och att anpassa sig till kraven på ledningssystem för affärskontinuitet. Ledarskapsstrategin ska också främja ständiga förbättringar och utveckling av en kultur av affärskontinuitet.

Drift

Affärskontinuitetsstrategi bygger på att operativa processer finns på plats för incidentberedskap och incidentrespons i alla funktioner i verksamheten. Det innebär att fastställa kriterier för processerna och implementera styrning av processerna i linje med överenskomna kriterier. Från att ha på plats en medie- och kommunikationsstrategi till att noggrant hantera platsrisk i efterdyningarna av störande incidenter, är katastrofåterställning beroende av kontinuitetsplaner. Ett avgörande steg är att behålla dokumenterad information i syfte att bevisa att processer och BC-tester har genomförts som planerat och förbättrats vid behov.

Utvärdering av prestanda

Prestationsbedömning innebär att mycket kan läras av händelser som inträffar. Genom att övervaka framgångar och begränsningar byggs kunskap upp. Intresserade parter har ett ansvar att föra register och använda resultaten av revisioner för att hjälpa dem att fatta rätt beslut om hur de ska hantera affärsstörningar i fortsättningen. Genom att upprätta ett revisionsprogram kan organisationen säkerställa att nödvändiga korrigerande åtgärder vidtas. Syftet är att eliminera upptäckta avvikelser och deras orsaker.

Förbättring

Kontinuerliga förbättringar är centrala för den dokumenterade ledningssystemstandarden enligt ISO 22301. Eventuella revideringar och förbättringar av hur BCMS hanteras kommer att förbättra förvaltningsplanen för affärskontinuitet över tiden.

ISO 22301 policyer och rutiner

Policyer och procedurer för ett efterlevnadsprojekt för ledning av affärskontinuitet enligt ISO 22301 måste hanteras noggrant.

En organisation måste visa överensstämmelse med ISO:s affärskontinuitetsstandard genom att tillhandahålla lämplig dokumentation. Detta inkluderar ett omfattning, en detaljerad affärskontinuitetspolicy, en formell riskbedömningsprocedur och affärskontinuitetsplaner som visar hur organisationen kommer att reagera på och återhämta sig från störningar.

Termer och definitioner

Standarden talar i detalj om säkerhet och motståndskraft. Den använder ett brett utbud av antingen specialiserade tekniska termer eller vanliga termer som har en specifik betydelse i ett säkerhets- och motståndskraftssammanhang.

För att hjälpa dig förstå dem innehåller den definitioner av de 31 viktigaste. Den pekar också mot "ISO 22301 Säkerhet och motståndskraft – ordförråd", som listar och definierar nästan 300 säkerhets- och motståndskraftstermer.

Det finns några tillhörande riktlinjedokument som lägger till mer detaljer till kraven i ISO 22301. Några av dessa är listade i ISO 27001, utmärkande guider är:

ISO 22313 – Vägledning om användning av ISO 22301
ISO 22317 – Riktlinjer för Business Impact Analysis (BIA)
Om du behöver förstå en term som inte är listad här, bör du kolla i ISO 22301 för att se vad det betyder.

Du kan också hitta termer och definitioner online.

ISO och IEC upprätthåller terminologiska databaser för användning vid standardisering på följande adresser:

• ISO Online surfplattform
• IEC Elektropedi

Att förstå dessa termer är mycket viktigt. För den som inte redan är expert på detta område kan de vara lite svåra att komma till rätta med.

Om du väljer att arbeta med oss ​​ser vi till att du förstår dem. Vi förklarar dem i vårt eget stödmaterial, och om du behöver mer riktad hjälp kan vi antingen svara på dina frågor själva eller hitta rätt oberoende partner att arbeta med dig.

Revision & efterlevnad

En revision är en bevisinsamlingsprocess med syftet att utvärdera hur väl nyckelkriterier uppfylls. Revisioner måste vara objektiva, opartiska och oberoende, och revisionsprocessen måste vara både systematisk och dokumenterad.

Internrevisioner är en obligatorisk del av ett certifierat BCMS. Dessutom kommer det valda certifieringsorganet att genomföra periodiska "externa" revisioner för att först certifiera BCMS och sedan säkerställa att den förblir kompatibel med standarden. Det är också möjligt att genomföra kombinerade revisioner. Detta är när två eller flera dokumenterade ledningssystem av olika discipliner granskas samtidigt samtidigt.
En ISO-revisor förväntar sig att se ett register över förbättringar som din organisation har gjort över tiden. Att ha en metod för att åtgärda avvikelser, korrigerande åtgärder och andra förbättringar är avgörande krav.

Vikten av att testa BC-arrangemangen

Det finns olika sätt att testa de dokumenterade arrangemangen och planerna som finns i BCMS. Exempel inkluderar bordsövningar, hel- eller delskaliga övningar och även utnyttjande av lärande från verkliga händelser. ISO 22301 kräver att dessa processer sker regelbundet i enlighet med din organisations aktiviteter och riskprofil.

Compliance

Efter att ha uppnått certifiering måste du införa en underhållsplan för att säkerställa fortsatt överensstämmelse med ISO 22301-standarden. På ISMS.online har vi särskild expertis inom detta.

Vi förstår också att ständiga förbättringar är en viktig del av att upprätthålla en ISO 22301-certifiering. Klausul 10 fokuserar på detta, och omfattar alla åtgärder som vidtas inom en organisation för att:

Leverera affärskontinuitetsmål mer effektivt
Öka tillförlitligheten av säkerhetsprocedurer och kontroller
Skapa ökade säkerhetsfördelar för organisationen och dess intressenter

ISO 22301-krav

ISO 22301:2019 implementerar ramverket, grundläggande text och definitioner i bilaga L, tidigare bilaga SL. Bilaga L fastställer ett ramverk på hög nivå för ISO-standarder för ledningssystem. Bilagan utarbetades för att införliva en liknande kärntext och gemensamma terminologi och begrepp.

Förutom klausul 8 tar bilaga L-kraven upp många av samma områden som kärnkraven i ISO 27001, som täcks av avsnitt 4.1 till 10.2.

• ISO 22301: Business Continuity Standard
• Punkt 1 – Räckvidd
• Klausul 2 – Normativa referenser
• Punkt 3 – Termer och definitioner
• Klausul 4 – Organisationens sammanhang
• Punkt 6 – Planering
• Punkt 7 – Support
• Punkt 8 – Verksamhet
• Punkt 9 – Utvärdering av prestanda
• Punkt 10 – Förbättring