Skip to Content
ISO 22301Stappenplan

ISO 22301 stappenplan

Van nul naar een ISO 22301  certificaat. Dit stappenplan leidt je door het volledige traject. Gebruik ISO 22313  als praktische guidance en controleer je certificerende partij via de RvA .

Een realistisch traject duurt meestal 4-12 maanden. Start je met volwassen risicobeheer en duidelijke procesowners, dan gaat het sneller.

Overzicht van het traject

FaseRichtduurBelangrijk resultaatVerdieping
1. Scope en governance2-4 wekenDuidelijke afbakening + eigenaarschapVoor wie is het?
2. BIA en risicobeoordeling3-8 wekenKritieke processen + impactgrenzenBIA, RTO en RPO
3. Continuiteitsstrategie4-10 wekenHerstelstrategie per kritisch procesEisen van de norm
4. Planvorming, testen, trainen6-16 wekenAantoonbare werking in oefeningenAuditproces
5. Stage 1 + Stage 24-8 wekenCertificeringsbesluitKosten en tijdlijn

Stap-voor-stap

Stap 1: Scope, doel en eigenaarschap bepalen

Bepaal welke diensten, locaties en processen in scope vallen. Leg ook vast welke managementrollen eindverantwoordelijk zijn.

Actie: Koppel continuiteitsdoelen aan concrete bedrijfsdoelen (omzet, SLA, klantverplichtingen).

Stap 2: BIA uitvoeren en RTO/RPO vaststellen

Voer een Business Impact Analysis uit:

  • wat is bedrijfskritisch;
  • wat is maximale onderbrekingstijd;
  • hoeveel dataverlies is acceptabel;
  • welke afhankelijkheden zijn cruciaal.

Actie: Leg RTO/RPO-besluiten formeel vast per kritisch proces.

Stap 3: Continuiteitsstrategie ontwerpen

Kies per scenario een herstelstrategie:

  • fallback op alternatieve locatie;
  • redundantie in systemen en leveranciers;
  • prioritering van herstelvolgorde;
  • minimaal benodigde capaciteit.

Actie: Maak expliciet wat je wel en niet gaat borgen binnen budget.

Stap 4: Continuiteitsplannen opstellen

Vertaal strategie naar uitvoerbare plannen:

  • incident- en crisismanagementplan;
  • procesherstelplannen;
  • communicatie- en escalatieprotocollen;
  • leveranciersafspraken voor continuiteit.

Actie: Zorg dat plannen kort, rolgebonden en direct bruikbaar zijn.

Stap 5: Oefenen, testen en verbeteren

ISO 22301 vraagt aantoonbare werking, niet alleen documenten:

  • tabletop oefeningen;
  • technische hersteltests;
  • evaluatie en verbeteracties (CAPA).

Actie: Bewaar testresultaten en opvolging als auditbewijs.

Stap 6: Interne audit en management review

Voer een volledige interne audit uit op scope, bewijs en effectiviteit. Behandel uitkomsten in management review met deadlines en eigenaarschap.

Actie: Sluit kritieke bevindingen af voor externe auditstart.

Stap 7: Stage 1 audit

Auditor beoordeelt of BCMS-opzet en documentatie auditklaar zijn.

Actie: Verwerk stage 1 bevindingen met aantoonbare correcties.

Stap 8: Stage 2 audit

Auditor beoordeelt uitvoering in de praktijk: processen, testen, response en bewijs.

Actie: Laat proceseigenaren hun beslissingen en bewijs helder kunnen toelichten.

Doorlooptijd per type organisatie

Totale doorlooptijd: 4-7 maanden

  • Scope + BIA: 4-6 weken
  • Strategie + plannen: 6-8 weken
  • Testen + auditvoorbereiding: 6-10 weken
  • Externe audit: 4-6 weken

Veelgemaakte fouten

FoutGevolgBeter alternatief
Te brede scope in fase 1Traject wordt traag en duurStart met kritieke processen
BIA zonder harde impactcriteriaZwakke prioriteringWerk met meetbare impactdrempels
Plannen niet testenOnvoldoende auditbewijsPlan periodieke oefeningen
Onvoldoende managementbetrokkenheidBesluiten blijven liggenGovernance met duidelijke owners
Leverancierscontinuiteit vergetenHerstel blijft afhankelijk van derdenContracten en fallback-scenario’s aanscherpen

Meer informatie

Eisen van de norm -> Wat moet aantoonbaar op orde zijn?Auditproces -> Hoe worden stappen getoetst?BIA, RTO en RPO -> Kern van prioriteringKosten en tijdlijn -> Wat betekent dit voor budget?ISO 22301 vs ISO 27001 -> Continuiteit versus beveiliging

Officiele referenties

Voor wie is het?Kosten en tijdlijn