Wat is ISO 22301 (2012)?
De ISO 22301 is een norm op het gebied van bedrijfscontinuïteit en bevat op high level niveau de eisen met betrekking tot het opstellen en implementeren van een Business Continuity Management Systeem (BCMS).
Bedrijfscontinuïteit maakt deel uit van algemeen risicobeheer in een onderneming, waarbij delen overlappen met informatiebeveiligingsbeheer en IT-management. Daarom wordt deze norm vaak tegelijk gehanteerd met de ISO:27001 (informatiebeveiliging). Hij hangt ook samen met de NEN-ISO 31000, deze geeft richtlijnen voor risicomanagement in brede zin.
Inleiding ISO 22301:2012
De volledige naam van deze standaard is ISO 22301:2012 Societal security – Business continuity management systems – Requirements. De standaard is ontwikkeld door toonaangevende experts op het gebied van bedrijfscontinuïteitsbeheer. Het draait in deze norm op het uitvoeren van een Bunisess Impact Analyse (BIA). Dit omvat;
- Het rangschikken van uw producten, diensten en bedrijfsactiviteiten op volgorde van belang voor uw bedrijfsvoering.
- Het uitvoeren van een risicoanalyse en risico-evaluatie;
- Het in kaart brengen van de risico’s op onderbreking van uw bedrijfsvoering en het nemen van (preventieve) maatregelen.
- Het bepalen van Bedrijfscontinuïteit strategieën;
- Het selecteren van een aanpak om verstoringen te kunnen voorkomen of verhelpen.
- Het opstellen van concrete crisismanagement- en bedrijfscontinuïteitsplannen. Deze bestaan tenminste uit:
- Incident management;
- Alarmering en communicatie;
- Business Continuity Plannen (BCP);
- Herstelplannen;
- Het testen en oefenen van deze plannen;
- Gedocumenteerde rapportages met de uitkomsten, aanbevelingen en acties.
Norm inhoud ISO 23301
De kern van business continuity management bestaat volgens ISO 22301 uit de volgende componenten:
Business impact analysis:
Identificatie van essentiële bedrijfsprocessen voor productie en dienstverlening, de onderlinge afhankelijkheid en benodigde (externe) hulpbronnen en beoordeling van de effecten als die pro cessen gedurende enige tijd niet (kunnen) functioneren. Risicobeoordeling: identificatie en beoordeling van alle risico’s die tot verstoring van bovengenoemde bedrijfsprocessen kunnen leiden en het plannen van maatregelen om optreden van risico’s te voorkomen.
Business continuity strategy:
Bepalen van een continuï- teitsstrategie op basis van de resultaten van voorgaande stap (waar liggen de pioriteiten en hoe pakken we die aan?), vaststellen van benodigde middelen en het plannen van preventieve en mitigerende acties.
Business continuity procedures:
Het vaststellen en invoeren van procedures voor het omgaan met ontwrichtende gebeurtenissen en continueren van de bedrijfsactiviteiten, de organisatorische aanpak ingeval een incident optreedt (response structure), alarmering en communicatie (in- en extern) en een bedijfscontinuïteitsplan.
Oefenen:
Alle procedures en plannen uit voorgaande stap moeten worden geoefend en op effectiviteit worden beoordeeld.
Recovery:
Procedures en plannen om vanuit de tijdelijk getroffen noodvoorzieningen weer terug te keren naar de normale bedrijfsvoering.
De hoofdstukindeling is hetzelfde als de andere ISO-normen en omvat:
- Inleiding
- Onderwerp en toepassingsgebied
- Normatieve verwijzingen
- Termen en definities
- Context van de organisatie
- Leiderschap
- Planning
- Ondersteuning
- Uitvoering
- Evaluatie van de prestaties
- Verbetering
Auditprotocol
Certificatie houdt in dat een externe, onafhankelijke partij *certificerende Instantie vaststelt of het kwaliteitsmanagementsysteem van de organisatie aan alle normeisen voldoet. Om dit vast te stellen voert een certificatie instelling (CI) een audit uit. Deze eerste (certificatie-audit) bestaat uit twee fasen.
De eerste fase dient;
- om de documentatie te beoordelen
- de locatie en de locatiespecifieke omstandigheden te evalueren en om gesprekken met medewerkers te hebben om te bepalen of de organisatie voorbereid is voor fase twee
- om te beoordelen in hoeverre de organisatie voldoet aan de eisen van de norm en de eisen van de norm begrijpt, in het bijzonder ten aanzien van de identificatie van de belangrijkste prestaties en aspecten, processen en de werking van het managementsysteem
- noodzakelijke informatie te verzamelen ten aanzien van de scope van het managementsysteem, de processen en locaties en relevante statutaire en wettelijke aspecten
- om te zien welke middelen beschikbaar zijn voor de tweede fase en om overeenstemming te bereiken met de organisatie over de uitwerking van de tweede fase audit
- om een goed begrip te krijgen van het managementsysteem van de organisatie, de activiteiten en significante aspecten die hierbij van belang zijn
Het doel van de fase twee audit is om de implementatie en de effectiviteit van het managementsysteem te beoordelen. De fase twee audit vindt plaats op de locatie(s) van de organisatie. De fase twee audit omvat in ieder geval het volgende:
- informatie en bewijs met betrekking tot conformiteit voor alle eisen van de norm
- prestatiebeoordeling, meting, rapportage en beoordelingen die gedaan zijn om vast te stellen in hoeverre doelen en doelstellingen bereikt zijn
- het managementsysteem van de organisatie en de manier waarop de organisatie voldoet aan wettelijke eisen
- de beheersing van de processen van de organisatie
- interne audits en management review (directiebeoordeling)
- betrokkenheid van de directie bij het kwaliteitsbeleid
- de verbinding en samenhang tussen de normeisen, het beleid van de organisatie, doelen en doelstellingen, wettelijke eisen, verantwoordelijkheden, bekwaamheid van medewerkers, de uitvoering, procedures, informatie over prestaties en bevindingen vanuit interne audits.
Vervolgens worden organisaties in de 2 jaren er na (half)jaarlijks getoetst om te beoordelen of deze bij voortduring voldoen aan de eisen van de norm. Een hercertificering bestaat weer uit 2 fasen en gebeurt in het derde jaar de eerste certificering. Deze cyclus blijft in stand.
Afwijkingen
Indien er bij een audit een non-conformity worden opgemerkt worden deze geregistreerd in de auditrapportage. De benaming kan per certificerende instantie verschillen maar komt op het volgende neer:
Major non-conformity (Categorie 1 afwijking):
- Het ontbreken van een doeltreffende implementatie m.b.t. een of meerdere systeemeisen van de norm, of een situatie waarbij niet of niet voldoende is geborgd dat het product of de dienstverlening zal voldoen aan eisen;
- Meerdere categorie 2 non-conformities m.b.t. een norm-eis waarvan is vastgesteld dat een doeltreffende implementatie binnen het managementsysteem ontbreekt
- Een categorie 2 non-conformity waarbij de vereiste corrigerende maatregelen niet hebben geleid tot een doeltreffende implementatie zal worden opgewaardeerd tot een bevinding categorie 1
De correctie, de oorzaakanalyse en een actieplan met corrigerende maatregelen, samen met voldoende bewijs van de uitvoering daarvan, moeten worden ingediend binnen 90 dagen na de laatste audit dag. Beoordeling van afwijkingen vindt plaats middels bureau-onderzoek. Echter, afhankelijk van de ernst van de bevindingen, kan de auditor een vervolgbezoek uitvoeren om te bevestigen dat de maatregelen zijn genomen, hun doeltreffendheid te evalueren en te bepalen of voordracht voor certificatie of voortzetting van het certificaat kan plaatsvinden.
Minor non-conformity (Categorie 2 afwijking):
Een gebrek in discipline of beheersing bij de implementatie van systeem- of procedurele eisen, dat geen invloed heeft op het functioneren van het systeem en/of op het voldoen aan de eisen betreffende het product / de dienstverlening.
Hierbij dient de correctie, de oorzaakanalyse en het actieplan met corrigerende maatregelen te worden goedgekeurd door de lead auditor en de verificatie van de uitvoering en beoordeling van de doeltreffendheid van de corrigerende maatregelen dienen bij het eerstvolgende bezoek plaats te vinden.3.
Observatie
Een observatie is in zichzelf niet een tekortkoming, maar kan wel duiden op een mogelijk toekomstige tekortkoming indien de situatie te weinig aandacht krijgt; een observatie kan ook betrekking hebben op een situatie waarbij geen passend bewijsmateriaal wordt gevonden om de vaststelling van een tekortkoming te ondersteunen
Aanbevelingen ter verbetering
Aanbevelingen ter verbetering hebben betrekking op gebieden en/of processen waar mogelijk wordt voldaan aan - minimum - normeisen, maar waar verbetering mogelijk is.