ISO 22301 - Forretningskontinuitet

ISO 22301 - Forretningskontinuitet

ISO 22301 er den internationale standard for ledelsessystemer til forretningskontinuitet. Den giver en ramme for, hvordan en organisation forbereder sig på afbrydelser, holder de vigtigste funktioner kørende under en krise og kommer hurtigt tilbage bagefter. Standarden er frivillig, men kan certificeres af et uafhængigt organ. Den bruges både af private virksomheder og offentlige organisationer, der vil dokumentere, at de kan stå imod driftsstop.

De vigtigste krav

Forstå organisationens kontekst

Organisationen skal afklare interne og eksterne forhold, interessenternes behov og afgrænse ledelsessystemets omfang, før der bygges videre.

Pkt. 4

Business impact analysis (BIA)

En business impact analysis (analyse af, hvad et driftsstop koster, og hvor hurtigt aktiviteter skal være oppe igen) er fundamentet for hele planlægningen.

Pkt. 8.2

Kontinuitetsstrategi og planer

Ud fra analysen vælges strategier og udarbejdes dokumenterede planer med roller, kommunikation og konkrete handlinger til brug under en afbrydelse.

Pkt. 8.3-8.4

Øvelser og løbende forbedring

Planerne afprøves gennem øvelser, og ledelsessystemet forbedres løbende efter Plan-Do-Check-Act gennem audit og ledelsens gennemgang.

Pkt. 8.5 og pkt. 9-10

Centrale begreber

Bygget på Annex SL og PDCA

ISO 22301 følger den fælles struktur (Annex SL), som går igen i fx ISO 9001 og ISO/IEC 27001, og bygger på Plan-Do-Check-Act. Det gør det lettere at kombinere flere ledelsessystemer i samme organisation.

Familien af BCMS-standarder

ISO 22301 indeholder de certificerbare krav. ISO 22313:2020 giver vejledning til at indføre kravene, og ISO/TS 22317:2021 vejleder specifikt om business impact analysis (BIA).

Tilsyn og ansvar

Ingen offentlig tilsynsmyndighed

ISO 22301 er en frivillig standard og føres der ikke offentligt tilsyn med. Vil en organisation certificeres, sker vurderingen af et uafhængigt certificeringsorgan (fx Bureau Veritas eller DNV), der typisk er akkrediteret af DANAK (Den Danske Akkrediteringsfond) eller et tilsvarende organ.

Salg og vejledning i Danmark

Dansk Standard udgiver og sælger den danske udgave af ISO 22301 (DS/ISO 22301) og udbyder kurser, men fører ikke tilsyn med, om organisationer overholder standarden.

Samspil mellem reglerne

ISO 22301 er en frivillig standard, mens beredskabsloven, NIS2, CER og DORA er bindende regler. Standarden kan bruges som fælles metode til at opfylde de kontinuitets- og beredskabskrav, der fremgår af blandt andet NIS2, CER og DORA, men erstatter dem ikke. Den supplerer ofte ISO/IEC 27001 (informationssikkerhed) i samme organisation.

EU-direktiver og -forordningerNIS2 · CER · Seveso · DORA → gennemføres i dansk retFYSISK BEREDSKABBeredskabslovenEnergiberedskabSundhedsberedskabVandsektorEpidemilovenCYBER OG KRITISKE ENHEDERNIS2-lovenCER-lovenDORABYGGERI, ARBEJDE OG FARLIGE STOFFERBR18APVRisikobek. (Seveso)Frivillige standarder: ISO 22301 · ISO 31000Understøtter alle reglerne med metode til risikostyring og forretningskontinuitet

Ofte stillede spørgsmål

Er ISO 22301 et lovkrav?

Nej. ISO 22301 er en frivillig international standard, ikke en lov. Ingen er forpligtet til at følge den. Den kan dog bruges som ramme til at opfylde lovkrav om beredskab og kontinuitet, fx under NIS2.

Hvad er forskellen på ISO 22301, 22313 og 22317?

ISO 22301 indeholder de krav, man kan certificeres efter. ISO 22313:2020 er en vejledning til at indføre kravene, og ISO/TS 22317:2021 er en mere detaljeret vejledning til business impact analysis (analyse af konsekvenserne ved driftsstop).

Kan man blive certificeret i ISO 22301?

Ja. En organisation kan blive certificeret af et uafhængigt certificeringsorgan, der gennemgår ledelsessystemet. I Danmark er certificeringsorganerne typisk akkrediteret af DANAK.

Skal I arbejde med jeres beredskab?

Få en uforpligtende gennemgang af, hvad der gælder for jer, og hvordan I dokumenterer beredskabet.

Kontakt for en gennemgang