Trainingen Referenties
Kennisbank Over ons Cuccibu Contact
Onze diensten
Kwaliteit
Milieu & Energie
Arboveiligheid
Informatiebeveiliging
Risicomanagement
Managementservices
Trainingen Referenties Kennisbank Over ons Cuccibu Contact
Blogs Business Impact Analyse: een verplicht onderdeel bij ISO 22301

Business Impact Analyse: een verplicht onderdeel bij ISO 22301

Auteur: Mike Samson
Datum: 01-08-2023

Als organisatie heb je besloten om aan de slag te gaan met ISO 22301. Maar waar moet je beginnen? Als eerste start je met het identificeren van risico’s met mogelijke impact op de bedrijfscontinuïteit van jouw organisatie. Nadat de risico’s zijn geïdentificeerd worden deze vastgelegd en verder uitgewerkt in een Business Impact Analyse (BIA). De BIA is een verplicht onderdeel van de ISO 22301.

Gebaseerd op de risicoanalyse

Een Business Impact Analyse (BIA) is een essentieel én verplicht onderdeel van de ISO 22301 norm. Het helpt om de kritische processen, middelen en afhankelijkheden binnen de organisatie te identificeren en te prioriteren. Daarnaast geeft de BIA inzicht in de mogelijke impact van verstoringen op de bedrijfsdoelstellingen, de reputatie en de klanttevredenheid. Een BIA is gebaseerd op de risicoanalyse. Een risicoanalyse brengt de waarschijnlijkheid en de ernst van verschillende bedreigingen voor de organisatie in kaart. Daarbij wordt niet alleen gekeken naar de risico’s van het bedrijfsproces zelf, maar ook naar die van de organisatie. Is er bijvoorbeeld voldoende kennis en menskracht beschikbaar? En zijn partners en leveranciers in staat te leveren wanneer nodig? Naast de risico’s dient in de BIA ook rekening gehouden te worden met de wettelijke, regelgevende en contractuele verplichtingen van de organisatie.

De stappen van een BIA

Het doel van een BIA? Inzicht bieden in de bedrijf kritische processen, de benodigdheden voor deze processen en de maximale accepteerbare impactsniveau. De risico’s worden gerangschikt naar impact. Daarnaast wordt de risicotolerantie (risk appetite) vastgesteld. Vervolgens moet worden bepaald welke risico’s het eerst worden aangepakt. Het uitvoeren van een BIA bestaat uit verschillende stappen:

  • Het definiëren van de scope en doelstellingen van de BIA.
  • Het selecteren van relevante stakeholders. Het is van belang dat je goed nadenkt over de personen die je bij het proces van het uitvoeren van een BIA moet betrekken. Vraag je af wie waar verantwoordelijk voor is. Bij het in kaart brengen van de kritische processen heb je bijvoorbeeld input van proceseigenaren nodig.
  • Het vaststellen van de kritische bedrijfsprocessen en -activiteiten, die nodig zijn om de bedrijfsdoelstellingen te behalen.
  • Het identificeren van de middelen, zoals personeel, apparatuur, informatie, leveranciers en partners, die nodig zijn om elk proces en elke activiteit continue uit te voeren.
  • Het beoordelen en kwantificeren van de (mogelijke) impact van verstoringen op deze processen en activiteiten, zowel kwantitatief als kwalitatief.
  • Het bepalen van de maximale aanvaardbare uitvaltijd (MAUT) en de hersteltijd voor een kritische bedrijfsproces. Beantwoord de vraag: welk niveau van impact is acceptabel? En hoe lang mag een kritisch proces uitvallen? Wanneer je het antwoord op deze vragen naast elkaar legt weet je precies hoe lang een kritisch bedrijfsproces onderbroken mag zijn, voordat jouw organisatie de impact ondergaat die je niet kan of wil accepteren. Daarnaast kan je ook de hersteltijd vaststellen, ook wel recovery time objective (RTO) genoemd. De RTO is de tijd waarin je het proces wil herstellen om bepaalde impact te voorkomen.
  • Het bepalen van de maximale dataverlies dat aanvaardbaard is van de bedrijfsprocessen en -systemen (RPO). Hierbij wordt bepaald welke processen en systemen bedrijfskritisch zijn en hoeveel dataverlies maximaal haalbaar is gezien de genomen (technische IT) maatregelen.
  • Het analyseren van de afhankelijkheden tussen de processen, activiteiten en middelen, zowel intern als extern.
  • Het documenteren van de resultaten en het opstellen van een BIA-rapport.

Na het uitvoeren van een BIA kan jouw organisatie aan de slag met het opstellen van een bedrijfscontinuïteitsplan (BCP). In ons andere blog lees je meer over het opstellen van een BCP.

Een dynamisch proces

Het uitvoeren van een BIA is geen eenmalige oefening maar een dynamisch proces dat regelmatig moet worden herzien en bijgewerkt. Dit is vooral belangrijk als er veranderingen optreden in de organisatie, de markt, de technologie of de wetgeving. Een BIA moet ook worden getest en gevalideerd om te controleren of de aannames en resultaten nog steeds geldig zijn.

Hulp nodig?

Heeft jouw organisatie hulp nodig bij het uitvoeren van een Business Impact Analyse (BIA)? Onze consultants hebben ervaring en staan klaar om je te helpen. We vertellen je graag meer! Neem contact met ons op via info@qsn.nl of 0252-547000.

Contact

BIA - ISO 22301