Eisen van ISO 22301
ISO 22301:2019 beschrijft eisen voor een business continuity managementsysteem (BCMS). De norm staat op ISO , met praktische uitleg in ISO 22313 , en certificering onder RvA-accreditatie .
Het belangrijkste auditpunt is aantoonbare effectiviteit: kun je onderbouwd laten zien dat kritieke processen binnen afgesproken hersteltijden terugkomen?
In het kort
| Thema | Waar let de auditor op? | Verdieping |
|---|---|---|
| Scope en context | Duidelijke afbakening en relevante risico’s | Voor wie is het? |
| Leiderschap en governance | Rollen, verantwoordelijkheden, besluitvorming | Stappenplan |
| BIA en risicobeoordeling | Kritieke processen + impactdrempels | BIA, RTO en RPO |
| Continuiteitsstrategie en plannen | Realistische herstelaanpak | Auditproces |
| Testen en verbeteren | Oefeningen, CAPA, lessons learned | Auditproces |
De kernblokken van ISO 22301
1. Context en scope
Je bepaalt welke onderdelen van je organisatie in BCMS-scope vallen en waarom.
2. Leiderschap
Management moet richting geven, prioriteren en resources beschikbaar maken.
3. Planning en risico
Je beoordeelt risico’s en kansen rond continuiteit, en koppelt die aan doelen.
4. Ondersteuning
Je borgt competentie, communicatie, documentatie en middelen.
5. Operationele beheersing
Je voert BIA, strategie en continuiteitsplannen uit en onderhoudt die.
6. Prestatie-evaluatie
Je meet, auditt en beoordeelt of BCMS-doelen gehaald worden.
7. Verbetering
Je corrigeert afwijkingen en versterkt continuiteit op basis van incidenten en tests.
Auditkritische onderdelen (praktijk)
| Onderdeel | Waarom kritisch? |
|---|---|
| BIA met harde impactcriteria | Bepaalt prioriteit en herstelvolgorde |
| RTO/RPO-bestuursbesluiten | Toont realistische continuiteitsdoelen |
| Regelmatige oefeningen | Bewijst dat plannen echt werken |
| Keten- en leverancierscontinuiteit | Verkleint afhankelijkheidsrisico |
| CAPA-opvolging | Toont dat je structureel verbetert |
Prioritering per fase
Startfase
Focus: scope, governance, BIA-kader.
- Kritieke processen identificeren.
- Impactdrempels vastleggen.
- Rollen en besluitlijnen vastzetten.