BIA, RTO en RPO uitgelegd

Binnen ISO 22301 vormen BIA, RTO en RPO de kern van je continuiteitsbeslissingen. De norm staat op ISO 22301 , met praktische guidance in ISO 22313 , en wordt in audits getoetst door geaccrediteerde instellingen onder RvA .

Zonder duidelijke BIA en realistische RTO/RPO wordt elk continuiteitsplan al snel theoretisch in plaats van uitvoerbaar.

In het kort

Begrip	Betekenis	Waarom het telt
BIA	Business Impact Analysis van procesuitval	Bepaalt prioriteiten en impactdrempels
RTO	Recovery Time Objective (hersteltijd)	Bepaalt hoe snel proces terug moet zijn
RPO	Recovery Point Objective (max. dataverlies)	Bepaalt hoeveel informatieverlies acceptabel is

BIA: waar begin je?

Een goede BIA geeft antwoord op drie vragen:

Welke processen zijn echt kritisch?
Wat kost uitval per tijdseenheid?
Welke afhankelijkheden bepalen herstel?

Typische impactcategorieen:

financiele impact;
contractuele/SLA-impact;
operationele impact;
reputatie-impact;
compliance-impact.

RTO en RPO praktisch bepalen

Proces	Voorbeeld RTO	Voorbeeld RPO	Toelichting
Klantportaal	4 uur	15 minuten	Direct klantimpact, lage dataverliestolerantie
Facturatie	24 uur	4 uur	Belangrijk, maar niet altijd real-time kritisch
HR self-service	72 uur	24 uur	Lagere directe bedrijfsimpact

Veelgemaakte fouten bij RTO/RPO

RTO te ambitieus zonder budget of capaciteit.
RPO kiezen zonder te kijken naar backuparchitectuur.
Gelijke RTO/RPO voor alle processen hanteren.
Geen bestuurlijk akkoord op hersteldoelen.

Hoe dit terugkomt in audits

Auditors willen vooral zien:

methodiek en onderbouwing van BIA;
vastgelegde en goedgekeurde RTO/RPO;
link tussen doelen en continuiteitsmaatregelen;
testresultaten die laten zien dat doelen haalbaar zijn.

Meer informatie

Stappenplan -> Waar past BIA in het traject?Eisen van de norm -> Wat moet je aantonen?Auditproces -> Hoe toetst de auditor BIA/RTO/RPO?Kosten en tijdlijn -> Impact van hersteldoelen op budget Veelgestelde vragen -> Korte antwoorden