ISO 22301: certificeerbare norm voor Business Continuity Management

juni 2012

De pas verschenen ISO 22301 maakt deel uit van een reeks standaarden rond ‘Societal Security'. Het doel van deze reeks is normen te voorzien voor alle mogelijke actoren die betrokken zijn voor, tijdens en na een incident met impact op de maatschappij.

In het artikel Business Continuity Management: waarom en hoe? lichtten we reeds het belang van continuïteit van uw bedrijfsvoering toe voor het overleven van uw organisatie. We hadden het onder meer over uw interne beweegredenen om continuïteit te verzekeren, maar ook over de zekerheden die verschillende stakeholders van uw organisatie eisen; zoals uw werknemers die werkzekerheid verwachten, klanten die ten allen tijde continuïteit van levering verwachten, verzekeringsagenten die in ruil voor het verlagen (of behouden) van uw huidige premies bijkomende eisen naar continuïteit opleggen, … Het op een gestructureerde manier omgaan met de uitdagingen rond het verzekeren van continuïteit van bedrijfsvoering is beter gekend als de discipline ‘Business Continuity'. Business Continuity is de strategische en operationele bekwaamheid van een organisatie om zich voor te bereiden en te antwoorden op mogelijke incidenten en onderbrekingen van de continuïteit zodat men verder kan functioneren op een vooraf bepaald niveau van bedrijfsvoering. Business Continuity Management (BCM) is het managementproces waarmee Business Continuity opgezet, gemanaged en geïmplementeerd wordt in de organisatie. Kortom, geborgd wordt in alle processen van uw organisatie.

Gelijkenis met BS 25999

In ons vorig artikel bespraken we de belangrijkste norm in dit vakgebied: BS 25999, de British Standard voor Business Continuity Management. Deze norm bestaat uit 2 delen:

  • Deel 1: ‘Code of Practice' waarin de best practices rond BCM worden beschreven om toe te passen in uw organisatie
  • Deel 2: ‘Specification' waarin de eisen voor het BCM-systeem worden opgesomd. Dit deel kan gebruikt worden om een BCM-systeem op te bouwen en te laten certificeren.

Sinds enige tijd werkte ISO aan een internationale norm voor Business Continuity Management, ISO 22301, gebaseerd op de bestaande normen en publicaties rond Business Continuity Management, onder andere deze BS 25999 alsook de ISO Guide 73, de ISO 27031, en enkele andere bronnen. Het is dus zeker niet zo dat de nieuwe ISO norm een internationale versie van BS 25999-2 is, maar toch vertonen beide documenten grote gelijkenissen. De nieuwe ISO norm is gepubliceerd in mei 2012. De ISO 22301 maakt deel uit van de reeks standaarden rond Societal Security. Het doel van deze reeks is standaarden te voorzien voor alle mogelijke actoren die betrokken zijn voor, tijdens en na een incident met impact op de maatschappij. Alle normen die in deze reeks verschijnen, dragen de prefix 223. Andere normen die binnenkort zullen verschijnen in deze reeks zijn normen rond massa-evacuatie en management van noodsituaties.
De ISO 22301 somt de vereisten voor een Business Continuity Management System op, waardoor certificatie tegen deze norm mogelijk is. De norm beschrijft de vereisten voor een managementsysteem, wat wil zeggen dat de gekende PDCA-cirkel ook in deze norm aanwezig is.

Naar uniformiteit in normstructuur

Als eerste van een reeks nieuwe ISO-normen is de vorm van deze norm gebaseerd op ISO Guide 83, die uniformisering van de managementsysteemnormen wil bereiken door standaardisatie van structuur, hoofding en vaak voorkomende tekst. Deze evolutie zorgt ervoor dat bedrijven steeds eenvoudiger één geïntegreerd managementsysteem voor verschillende domeinen (kwaliteit, milieu, …) kunnen opzetten.
Zoals andere ISO normen beschrijft ISO 22301 wat een organisatie nodig heeft om op een goede manier de continuïteit van bedrijfsvoering te verzekeren op maat van de grootte, cultuur en beschikbare middelen van de organisatie. Er wordt niet beschreven hoe men dit kan bereiken. Hiertoe wordt de ISO 22313 opgesteld, die zich momenteel is de DIS-fase bevindt. Deze norm zal een toelichting zijn bij ISO 22301. Tot het verschijnen van deze norm biedt de BS 25999-1 ondersteuning bij interpretatie van ISO 22301.
In vergelijking met BS 25999-2, worden een aantal zaken consistenter en meer in detail uitgewerkt in ISO 22301. Zo vraagt ISO 22301 om de eisen van alle stakeholders op te lijsten en mee te nemen in het opzetten van het Business Continuity Management System. Ook het wetgevend kader en andere eisen die de organisatie onderschrijft, moeten worden geïdentificeerd en hun impact geëvalueerd. Het gedeelte rond crisiscommunicatie in geval van een incident is ook meer gedetailleerd uitgewerkt in vergelijking met BS 25999-2.

Integreerbaar in andere ISO-standaarden

Specifiek voor de ISO 22301 is dat het gedeelte rond risk assessment, het beoordelen van mogelijke risico's op onderbreking van de kritische activiteiten van de organisatie, volledig in lijn is uitgewerkt met ISO 31000, de ISO-standaard voor Risk Management.
Gezien de grote gelijkenissen tussen beide normen, zal de BS 25999-2 worden teruggetrokken in het najaar van 2012. Bedrijven die reeds een BS 25999-2 certificaat hebben, of zich momenteel in een implementatietraject naar BS 25999-2 bevinden, kunnen door middel van een gap analyse de nodige bijkomende stappen zetten om te voldoen aan ISO 22301.
De nieuwe ISO 22301 biedt de mogelijkheid aan bedrijven die reeds een managementsysteem gebaseerd op een andere ISO-standaard hebben opgezet, op een gelijkaardige manier BCM te integreren in dit managementsysteem. Ook bedrijven die nog geen operationeel managementsysteem hebben, krijgen met het verschijnen van deze norm een kans om op een gestructureerde en georganiseerde wijze de continuïteit van hun bedrijfsvoering te verzekeren.

Dit artikel werd geschreven in opdracht van Amelior.


Lees hier andere artikels van deze auteur...

Contacteer de auteur...

Op de hoogte blijven van onze opleidingen?

Schrijf je in op onze nieuwsbrief

Recente blogs