ISO/IEC 22301 – audyt certyfikacyjny systemu zarządzania ciągłością działania
Audyt certyfikacyjny jest niezależnym potwierdzeniem zgodności systemu zarządzania ciągłością działania z rozpoznawaną na całym świecie normą ISO/IEC 22301.
Zarządzanie ciągłością działania
Zdecydowana większość podmiotów w Polsce w ogóle nie uwzględnia zagrożeń wynikających z cyberataków, kradzieży danych, awarii sprzętu informatycznego, przerw w łańcuchach dostaw czy czynników środowiskowych. Każde z nich może poważnie zakłócić lub wręcz przerwać działanie organizacji. Taka beztroska to ryzyko olbrzymich strat np. w postaci kar umownych czy kar nakładanych przez organy nadzorcze.
W związku z tym, że organizacje nie działają na rynku same, a wchodzą w kooperacje z kontrahentami i dostawcami, przerwanie działania jednego podmiotu może spowodować wstrzymanie działania pozostałych. Brak strategii zarządzania ciągłością działania organizacji sprawia, że w momencie wystąpienia kryzysu jest ona bezradna i nie jest w stanie konstruktywnie zarządzać zdarzeniem, ani nawet komunikować się z otoczeniem. Z kolei brak szczegółowego planu ciągłości działania wynikającego z analizy wpływu zagrożeń na ciągłość działania organizacji powoduje, że podmiot nie będzie w stanie przywrócić niezbędnych procesów w czasie, który pozwoli ograniczyć koszty wystąpienia zagrożenia.
System zarządzania ciągłością działania – co podlega weryfikacji?
Do standardowych elementów podlegających weryfikacji w ramach systemu zarządzania ciągłością działania należą:
- zaangażowanie najwyższego kierownictwa organizacji w cele związane z ciągłością działania,
- zgodność dokumentacji z normą ISO/IEC 22301,
- ocena skuteczności BIA przeprowadzanej przez organizację,
- ocena skuteczności strategii ciągłości działania wobec procesów wynikających z analizy ryzyka,
- ocena efektywności systemu zarządzania ciągłością działania przez pryzmat celów jakie organizacja założyła,
- zależności pomiędzy zastosowanymi procedurami, poziomem ich wdrożenia i celami systemu zarządzania ciągłością działania,
- ocena poziomu testowania systemu zarządzania ciągłością działania przez pryzmat celów jakie organizacja założyła.
ZAPYTAJ O SZCZEGÓŁY OFERTY
Uzyskaj pomoc w certyfikacji systemu zarządzania ciągłością działania – skorzystaj ze wsparcia naszych ekspertów, specjalizujących się w wymogach normy ISO 22301
Korzyści z wdrożenia systemu zarządzania ciągłością działania ISO 22301
- Odporność na zagrożenia – potwierdzenie wysokiego poziomu odporności organizacji (zgodnie z najlepszymi standardami) na zagrożenia związane z przerwaniem lub zakłóceniem ciągłości działania procesów.
- Wizerunek organizacji – potwierdzenie wobec wszelkich zewnętrznych interesariuszy (np. klientów, kontrahentów, dostawców etc.) wysokiego poziomu gotowości na krytyczne zagrożenia i ciągłego doskonalenia (testowania) tego obszaru w organizacji.
- Zgodność z prawem – potwierdzenie zgodności działań organizacji z przepisami powszechnie obowiązującego prawa, jako jeden z podstawowych warunków certyfikacji.
- Optymalizacja kosztów zarządzania zagrożeniami ciągłości działania poprzez zdefiniowane okresy czasowe (RTO – Recovery Time Objective) oraz cele (RPO – Recovery Point Objective) adekwatne do zidentyfikowanego ryzyka wystąpienia zagrożeń, co wykazuje audyt certyfikujący.
- Świadomość personelu – potwierdzenie wysokiego poziomu świadomości personelu w obszarze ciągłości działania (user awarness), jako najsłabszego ogniwa systemu ciągłości działania.
Kto powinien wdrożyć system zarządzania ciągłością działania i przejść audyt certyfikacyjny zgodny z normą ISO 22301?
System zarządzania ciągłością ISO 22301 powinny wdrożyć organizacje, które chcą zapewnić ciągłość swoich kluczowych procesów i minimalizować ryzyko przestojów w działalności. Wśród nich wymienić można:
- Duże przedsiębiorstwa – firmy o rozbudowanej strukturze i dużej liczbie pracowników, gdzie przerwy w działalności mogą prowadzić do poważnych strat finansowych i reputacyjnych.
- Sektor finansowy – banki, instytucje ubezpieczeniowe i inne podmioty sektora finansowego, gdzie przestoje mogą wpływać na bezpieczeństwo danych finansowych klientów i stabilność rynku.
- Sektor publiczny – urzędy państwowe, instytucje publiczne i jednostki samorządowe, które muszą zapewnić ciągłość świadczonych usług dla obywateli.
- Ochrona zdrowia – szpitale, kliniki, centra medyczne, gdzie przerwy w działalności mogą mieć krytyczne konsekwencje dla zdrowia i życia pacjentów.
- Przemysł – zakłady produkcyjne, gdzie przestoje mogą prowadzić do utraty produkcji, opóźnień w dostawach i problemów w łańcuchu dostaw.
- Sektor IT – firmy świadczące usługi IT, dostawcy chmur, centra danych, gdzie przestoje mogą wpływać na dostępność systemów i danych klientów.
- Telekomunikacja – operatorzy sieci telekomunikacyjnych, gdzie przestoje mogą prowadzić do utraty łączności dla dużej liczby klientów.
- Transport i logistyka – firmy zajmujące się transportem, spedycją i logistyką, gdzie przerwy mogą wpływać na łańcuch dostaw i dostawy do klientów.
- Energetyka i infrastruktura krytyczna – firmy dostarczające energię elektryczną, wodę, gaz oraz zarządzające infrastrukturą krytyczną, gdzie przestoje mogą prowadzić do poważnych zakłóceń w życiu społeczeństwa.
Audyt w ramach certyfikacji ISO 22301
ISO/IEC 22301 to Międzynarodowy Standard odnoszący się do wymagań Systemu Zarządzania Ciągłością Działania (Bussiness Continuity Management System – BCMS). Jego istotą jest ocena ryzyka związanego z zagrożeniami ciągłości działania oraz implementacja odpowiednich strategii, planów i procedur mających na celu obniżenie prawdopodobieństwa ich wystąpienia oraz przygotowanie organizacji do odtworzenia zakłóconych procesów.
Kluczowe etapy certyfikacji ISO/IEC 22301
Etap I audytu certyfikacyjnego ISO/IEC 22301
Usługa audytu certyfikacyjnego składa się z dwóch etapów. Pierwszym z nich jest tzw. audyt wstępny, którego celem jest poznanie kontekstu systemu zarządzania ciągłością działania w konkretnej organizacji, metodyką przeprowadzanej analizy ryzyka (BIA – Bussiness Impact Analysis) i działaniami związanymi z opracowaniem, wdrożeniem i testowaniem systemu ciągłości działania jak również zakresu dokumentacji zgodności z normą ISO/IEC 22301. Ten etap audytu kończy się Raportem, który potwierdza gotowość organizacji do kolejnego etapu audytu certyfikującego.
Etap II audytu certyfikacyjnego ISO/IEC 22301
Kolejny etap audytu jest poprzedzony szczegółowym planem audytu (harmonogramem), który określa konkretnie metody przeprowadzania audytu, lokalizacje i terminy poszczególnych dni audytowych. Celem tego etapu jest ocena stanu faktycznego z treścią opracowanej i wdrożonej dokumentacji zgodności z normą ISO/IEC 22301.
Wydanie certyfikatu zgodności z normą ISO/IEC 22301
Ostatecznie na podstawie rekomendacji zespołu audytowego oraz raportu z audytu certyfikującego zostaje wydana decyzja o przyznaniu certyfikatu zgodności z normą ISO/IEC 22301.
Dlaczego audyt jest taki ważny dla uzyskania certyfikatu ISO 22301?
Znaczna część podmiotów z obawy przed zagrożeniami powodowanymi przez ryzykownych kontrahentów i dostawców odmawia współpracy z podmiotami, które nie posiadają żadnego potwierdzenia wdrożenia systemu ciągłości działania. Innymi słowy certyfikat ISO/IEC 22301 potwierdza rzetelność i odpowiedzialność organizacji w obszarze ciągłości działania.
Czy certyfikat ISO 22301 jest bezterminowy?
Nie, standardowy okres na jaki przyznany jest certyfikat ISO 22301 wynosi 3 lata. Po upływie tego czasu należy przeprowadzić re-certyfikację, czyli ponowną niezależną weryfikację zgodności systemu bezpieczeństwa informacji z normą ISO/IEC 22301.
Dlaczego warto skorzystać z audytu certyfikacyjnego ISO/IEC 22301 wykonanego przez Bureau Veritas?
Przechodząc audyt certyfikacyjny Bureau Veritas Polska sp. z o.o. masz pewność jego rzetelnego i profesjonalnego wykonania. Jako część międzynarodowej Grupy Bureau Veritas posiadamy akredytację na większość istniejących standardów nie tylko w obszarze systemów zarządzania ciągłością działania, ale również jakości czy bezpieczeństwa informacji.
Bureau Veritas to:
Wiodąca, globalnie uznana jednostka certyfikacyjna – ponad 4 miliony certyfikatów wydawanych rocznie.
Doświadczenie audytorów zdobyte podczas wielu audytów certyfikacyjnych zgodności z ISO 27001 i ISO 22301.
Skuteczne i sprawdzone metodyki przeprowadzania audytów opracowane na przestrzeni lat przez Grupę Bureau Veritas.
Praktyczna znajomość funkcjonowania systemów ciągłości działania w polskich i międzynarodowych organizacjach.