ISO/IEC 22301 – audyt certyfikacyjny systemu zarządzania ciągłością działania

Audyt certyfikacyjny jest niezależnym potwierdzeniem zgodności systemu zarządzania ciągłością działania z rozpoznawaną na całym świecie normą ISO/IEC 22301.

Zarządzanie ciągłością działania

Zdecydowana większość podmiotów w Polsce w ogóle nie uwzględnia zagrożeń wynikających z cyberataków, kradzieży danych, awarii sprzętu informatycznego, przerw w łańcuchach dostaw czy czynników środowiskowych. Każde z nich może poważnie zakłócić lub wręcz przerwać działanie organizacji. Taka beztroska to ryzyko olbrzymich strat np. w postaci kar umownych czy kar nakładanych przez organy nadzorcze.

W związku z tym, że organizacje nie działają na rynku same, a wchodzą w kooperacje z kontrahentami i dostawcami, przerwanie działania jednego podmiotu może spowodować wstrzymanie działania pozostałych. Brak strategii zarządzania ciągłością działania organizacji sprawia, że w momencie wystąpienia kryzysu jest ona bezradna i nie jest w stanie konstruktywnie zarządzać zdarzeniem, ani nawet komunikować się z otoczeniem. Z kolei brak szczegółowego planu ciągłości działania wynikającego z analizy wpływu zagrożeń na ciągłość działania organizacji powoduje, że podmiot nie będzie w stanie przywrócić niezbędnych procesów w czasie, który pozwoli ograniczyć koszty wystąpienia zagrożenia.

System zarządzania ciągłością działania – co podlega weryfikacji?

Do standardowych elementów podlegających weryfikacji w ramach systemu zarządzania ciągłością działania należą:

  • zaangażowanie najwyższego kierownictwa organizacji w cele związane z ciągłością działania,
  • zgodność dokumentacji z normą ISO/IEC 22301,
  • ocena skuteczności BIA przeprowadzanej przez organizację,
  • ocena skuteczności strategii ciągłości działania wobec procesów wynikających z analizy ryzyka,
  • ocena efektywności systemu zarządzania ciągłością działania przez pryzmat celów jakie organizacja założyła,
  • zależności pomiędzy zastosowanymi procedurami, poziomem ich wdrożenia i celami systemu zarządzania ciągłością działania,
  • ocena poziomu testowania systemu zarządzania ciągłością działania przez pryzmat celów jakie organizacja założyła.

ZAPYTAJ O SZCZEGÓŁY OFERTY

Uzyskaj pomoc w certyfikacji systemu zarządzania ciągłością działania – skorzystaj ze wsparcia naszych ekspertów, specjalizujących się w wymogach normy ISO 22301

+48 22 549 04 00

Korzyści z wdrożenia systemu zarządzania ciągłością działania ISO 22301

  1. Odporność na zagrożenia – potwierdzenie wysokiego poziomu odporności organizacji (zgodnie z najlepszymi standardami) na zagrożenia związane z przerwaniem lub zakłóceniem ciągłości działania procesów.
  2. Wizerunek organizacji – potwierdzenie wobec wszelkich zewnętrznych interesariuszy (np. klientów, kontrahentów, dostawców etc.) wysokiego poziomu gotowości na krytyczne zagrożenia i ciągłego doskonalenia (testowania) tego obszaru w organizacji.
  3. Zgodność z prawem – potwierdzenie zgodności działań organizacji z przepisami powszechnie obowiązującego prawa, jako jeden z podstawowych warunków certyfikacji.
  4. Optymalizacja kosztów zarządzania zagrożeniami ciągłości działania poprzez zdefiniowane okresy czasowe (RTO – Recovery Time Objective) oraz cele (RPO – Recovery Point Objective) adekwatne do zidentyfikowanego ryzyka wystąpienia zagrożeń, co wykazuje audyt certyfikujący.
  5. Świadomość personelu – potwierdzenie wysokiego poziomu świadomości personelu w obszarze ciągłości działania (user awarness), jako najsłabszego ogniwa systemu ciągłości działania.

Opis przykładowych typów organizacji, które powinny wdrożyć system zarządzania ciągłością działania i przejść audyt certyfikacyjny zgodnie z normą ISO 22301

Kto powinien wdrożyć system zarządzania ciągłością działania i przejść audyt certyfikacyjny zgodny z normą ISO 22301?

System zarządzania ciągłością ISO 22301 powinny wdrożyć organizacje, które chcą zapewnić ciągłość swoich kluczowych procesów i minimalizować ryzyko przestojów w działalności. Wśród nich wymienić można:

  1. Duże przedsiębiorstwa – firmy o rozbudowanej strukturze i dużej liczbie pracowników, gdzie przerwy w działalności mogą prowadzić do poważnych strat finansowych i reputacyjnych.
  2. Sektor finansowy – banki, instytucje ubezpieczeniowe i inne podmioty sektora finansowego, gdzie przestoje mogą wpływać na bezpieczeństwo danych finansowych klientów i stabilność rynku.
  3. Sektor publiczny – urzędy państwowe, instytucje publiczne i jednostki samorządowe, które muszą zapewnić ciągłość świadczonych usług dla obywateli.
  4. Ochrona zdrowia – szpitale, kliniki, centra medyczne, gdzie przerwy w działalności mogą mieć krytyczne konsekwencje dla zdrowia i życia pacjentów.
  5. Przemysł – zakłady produkcyjne, gdzie przestoje mogą prowadzić do utraty produkcji, opóźnień w dostawach i problemów w łańcuchu dostaw.
  6. Sektor IT – firmy świadczące usługi IT, dostawcy chmur, centra danych, gdzie przestoje mogą wpływać na dostępność systemów i danych klientów.
  7. Telekomunikacja – operatorzy sieci telekomunikacyjnych, gdzie przestoje mogą prowadzić do utraty łączności dla dużej liczby klientów.
  8. Transport i logistyka – firmy zajmujące się transportem, spedycją i logistyką, gdzie przerwy mogą wpływać na łańcuch dostaw i dostawy do klientów.
  9. Energetyka i infrastruktura krytyczna – firmy dostarczające energię elektryczną, wodę, gaz oraz zarządzające infrastrukturą krytyczną, gdzie przestoje mogą prowadzić do poważnych zakłóceń w życiu społeczeństwa.

Audyt w ramach certyfikacji ISO 22301

ISO/IEC 22301 to Międzynarodowy Standard odnoszący się do wymagań Systemu Zarządzania Ciągłością Działania (Bussiness Continuity Management System – BCMS). Jego istotą jest ocena ryzyka związanego z zagrożeniami ciągłości działania oraz implementacja odpowiednich strategii, planów i procedur mających na celu obniżenie prawdopodobieństwa ich wystąpienia oraz przygotowanie organizacji do odtworzenia zakłóconych procesów.

Kluczowe etapy certyfikacji ISO/IEC 22301

Etap I audytu certyfikacyjnego ISO/IEC 22301

Usługa audytu certyfikacyjnego składa się z dwóch etapów. Pierwszym z nich jest tzw. audyt wstępny, którego celem jest poznanie kontekstu systemu zarządzania ciągłością działania w konkretnej organizacji, metodyką przeprowadzanej analizy ryzyka (BIA – Bussiness Impact Analysis) i działaniami związanymi z opracowaniem, wdrożeniem i testowaniem systemu ciągłości działania jak również zakresu dokumentacji zgodności z normą ISO/IEC 22301. Ten etap audytu kończy się Raportem, który potwierdza gotowość organizacji do kolejnego etapu audytu certyfikującego.

Etap II audytu certyfikacyjnego ISO/IEC 22301

Kolejny etap audytu jest poprzedzony szczegółowym planem audytu (harmonogramem), który określa konkretnie metody przeprowadzania audytu, lokalizacje i terminy poszczególnych dni audytowych. Celem tego etapu jest ocena stanu faktycznego z treścią opracowanej i wdrożonej dokumentacji zgodności z normą ISO/IEC 22301.

Wydanie certyfikatu zgodności z normą ISO/IEC 22301

Ostatecznie na podstawie rekomendacji zespołu audytowego oraz raportu z audytu certyfikującego zostaje wydana decyzja o przyznaniu certyfikatu zgodności z normą ISO/IEC 22301.

Dlaczego audyt jest taki ważny dla uzyskania certyfikatu ISO 22301?

Znaczna część podmiotów z obawy przed zagrożeniami powodowanymi przez ryzykownych kontrahentów i dostawców odmawia współpracy z podmiotami, które nie posiadają żadnego potwierdzenia wdrożenia systemu ciągłości działania. Innymi słowy certyfikat ISO/IEC 22301 potwierdza rzetelność i odpowiedzialność organizacji w obszarze ciągłości działania.

Czy certyfikat ISO 22301 jest bezterminowy?

Nie, standardowy okres na jaki przyznany jest certyfikat ISO 22301 wynosi 3 lata. Po upływie tego czasu należy przeprowadzić re-certyfikację, czyli ponowną niezależną weryfikację zgodności systemu bezpieczeństwa informacji z normą ISO/IEC 22301.

ZAPYTAJ

O SZCZEGÓŁY

OFERTY

WYŚLIJ ZAPYTANIE

Dlaczego warto skorzystać z audytu certyfikacyjnego ISO/IEC 22301 wykonanego przez Bureau Veritas?

Przechodząc audyt certyfikacyjny Bureau Veritas Polska sp. z o.o. masz pewność jego rzetelnego i profesjonalnego wykonania. Jako część międzynarodowej Grupy Bureau Veritas posiadamy akredytację na większość istniejących standardów nie tylko w obszarze systemów zarządzania ciągłością działania, ale również jakości czy bezpieczeństwa informacji.

Bureau Veritas to:

Wiodąca, globalnie uznana jednostka certyfikacyjna – ponad 4 miliony certyfikatów wydawanych rocznie.

Doświadczenie audytorów zdobyte podczas wielu audytów certyfikacyjnych zgodności z ISO 27001 i ISO 22301.

Skuteczne i sprawdzone metodyki przeprowadzania audytów opracowane na przestrzeni lat przez Grupę Bureau Veritas.

Praktyczna znajomość funkcjonowania systemów ciągłości działania w polskich i międzynarodowych organizacjach.

Wypełnij formularz kontaktowy
Jak możemy Ci pomóc?
Proszę zaznaczyć przynajmniej jedną opcję wyboru

Zapoznaj się z naszą Polityką prywatności.

* Pola wymagane