Audyt certyfikacyjny ISO/IEC 22301
ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA
Zdecydowana większość podmiotów w Polsce w ogóle nie uwzględnia zagrożeń wynikających z cyber ataków, kradzieży danych, awarii sprzętu informatycznego, przerw w łańcuchach dostaw czy czynników środowiskowych. Każde z wymienionych zagrożeń może poważnie zakłócić lub wręcz przerwać działanie organizacji. Taka beztroska może powodować olbrzymie straty np. w postaci kar umownych czy kar nakładanych przez organy nadzorcze.
W związku z tym, że organizacje nie działają na rynku same, a wchodzą w kooperacje z kontrahentami i dostawcami przerwanie działania jednego podmiotu może spowodować wstrzymanie działania pozostałych. Brak strategii zarządzania ciągłością działania organizacji powoduje, że w momencie wystąpienia kryzysu jest ona bezradna i nie jest w stanie konstruktywnie zarządzać zdarzeniem, ani nawet komunikować się z otoczeniem. Z kolei brak szczegółowego planu ciągłości działania wynikającego z analizy wpływu zagrożeń na ciągłość działania organizacji powoduje, że podmiot nie będzie w stanie przywrócić niezbędnych procesów w organizacji w czasie, który pozwoli ograniczyć koszty wystąpienia zagrożenia.
Audyt certyfikacyjny jest niezależnym potwierdzeniem zgodności systemu zarządzania ciągłością działania z rozpoznawaną na całym świecie normą ISO/IEC 22301.
Audyt certyfikacyjny ISO 22301
ISO/IEC 22301 to Międzynarodowy Standard odnoszący się do wymagań Systemu Zarządzania Ciągłością Działania (Bussiness Continuity Management System – BCMS). Istotą standardu jest ocena ryzyka związanego z zagrożeniami ciągłości działania oraz implementacja odpowiednich strategii, planów i procedur mających na celu obniżenie prawdopodobieństwa ich wystąpienia oraz przygotowanie organizacji do odtworzenia zakłóconych procesów.
Kluczowe etapy certyfikacji ISO/IEC 22301
Etap I audytu certyfikacyjnego – usługa audytu certyfikacyjnego składa się z dwóch etapów. Pierwszym z nich jest tzw. audyt wstępny, którego celem jest poznanie kontekstu systemu zarządzania ciągłością działania w konkretnej organizacji, metodyką przeprowadzanej analizy ryzyka (BIA – Bussiness Impact Analysis) i działaniami związanymi z opracowaniem, wdrożeniem i testowaniem systemu ciągłości działania jak również zakresu dokumentacji zgodności z normą ISO/IEC 22301. Ten etap audytu kończy się Raportem, który potwierdza gotowość organizacji do kolejnego etapu audytu certyfikującego.
Etap II audytu certyfikacyjnego – kolejny etap audytu jest poprzedzony szczegółowym planem audytu (harmonogramem), który określa konkretnie metody przeprowadzania audytu, lokalizacje i terminy poszczególnych dni audytowych. Celem tego etapu jest ocena zgodności stanu faktycznego z treścią opracowanej i wdrożonej dokumentacji zgodności z normą ISO/IEC 22301.
System zarządzania ciągłością działania – co podlega weryfikacji?
Do standardowych elementów podlegających weryfikacji należą:
- zaangażowanie najwyższego kierownictwa organizacji w cele związane z ciągłością działania
- zgodność dokumentacji z normą ISO/IEC 22301
- ocena skuteczności BIA przeprowadzanej przez organizację
- ocena skuteczności strategii ciągłości działania wobec procesów wynikających z analizy ryzyka
- ocena efektywności systemu ciągłości działania przez pryzmat celów jakie organizacja założyła
- zależności pomiędzy zastosowanymi procedurami, poziomem ich wdrożenia i celami systemu ciągłości działania
- ocena poziomu testowania systemu ciągłości działania przez pryzmat celów jakie organizacja założyła.
Ostatecznie na podstawie rekomendacji zespołu audytowego oraz Raportu z audytu certyfikującego zostaje wydana decyzja o przyznaniu certyfikatu zgodności z normą ISO/IEC 22301.
Korzyści z wdorożenia systemu Zarządzania ciągłością działania ISO 22301
- Odporność na zagrożenia – potwierdzenie wysokiego poziomu odporności organizacji (zgodnie najlepszymi standardami) na zagrożenia związane z przerwaniem lub zakłóceniem ciągłości działania procesów.
- Wizerunek organizacji – potwierdzenie wobec wszelkich zewnętrznych interesariuszy (np. klientów, kontrahentów, dostawców etc.) wysokiego poziomu gotowości na krytyczne zagrożenia i ciągłego doskonalenia (testowania) tego obszaru w organizacji.
- Zgodność z prawem – potwierdzenie zgodności działań organizacji z przepisami powszechnie obowiązującego prawa, jako jeden z podstawowych warunków certyfikacji.
- Optymalizacja kosztów zarządzania zagrożeniami ciągłości działania poprzez zdefiniowane okresy czasowe (RTO – Recovery Time Objective) oraz cele (RPO – Recovery Point Objective) adekwatne do zidentyfikowanego ryzyka wystąpienia zagrożeń, co wykazuje audyt certyfikujący.
- Świadomość personelu – potwierdzenie wysokiego poziomu świadomości personelu w obszarze ciągłości działania (user awarness), jako najsłabszego ogniwa systemu ciągłości działania.
Dlaczego Bureau Veritas?
- Wiodąca, globalnie uznana jednostka certyfikacyjna - ponad 4 miliony certyfikatów wydawanych rocznie.
- Doświadczenie audytorów zdobyte podczas wielu audytów certyfikacyjnych zgodności z ISO 27001 i ISO 22301.
- Skuteczne i sprawdzone metodyki przeprowadzania audytów opracowane na przestrzeni lat przez Grupę Bureau Veritas.
- Praktyczna znajomość funkcjonowania systemów ciągłości działania w polskich i międzynarodowych organizacjach.
Zapytaj o szczegóły oferty: certyfikacja@pl.bureauveritas.com
DLACZEGO AUDYT CERTYFIKACYJNY JEST WAŻNY?
Znaczna cześć podmiotów z obawy przed zagrożeniami powodowanymi przez ryzykownych kontrahentów i dostawców odmawia współpracy z podmiotami, które nie posiadają żadnego potwierdzenia wdrożenia systemu ciągłości działania. Innymi słowy Certyfikat ISO/IEC 22301 potwierdza rzetelności i odpowiedzialność organizacji w obszarze ciągłości działania.
CZY CERTYFIKAT ISO/IEC 22301 JEST BEZTERMINOWY?
Nie, standardowy okres na jaki przyznany jest certyfikat wynosi 3 lata. Po upływie tego okresu czasu należy przeprowadzić re-certyfikację, czyli ponowną niezależną weryfikacje zgodności systemu bezpieczeństwa informacji z normą ISO/IEC 22301.
DLACZEGO WARTO SKORZYSTAĆ Z AUDYTU CERTYFIKACYJNEGO ISO/IEC 22301 WYKONANEGO PRZEZ BUREAU VERITAS?
Przechodząc audyt certyfikacyjny Bureau Veritas Polska sp. z o.o. masz pewność rzetelnego i profesjonalnego wykonania audytu. Jako część międzynarodowej Grupy Bureau Veritas posiadamy akredytację na większość istniejących standardów nie tylko w obszarze ciągłości działania, ale również jakości czy bezpieczeństwa informacji.