Wdrożenie Systemu Zarządzania Ciągłością Działania zgodnego z ISO 22301
Wdrażamy ISO 22301 od analizy wpływu na biznes (BIA) do dnia audytu certyfikującego. Bez planów ciągłości, które leżą w szufladzie.
Od 2010 roku przeprowadziliśmy ponad 300 projektów wdrożeniowych i audytów – w firmach produkcyjnych, IT, medycznych, energetycznych i w administracji publicznej.
Nasz zespół wie, jak wygląda kryzys od środka, bo pełniliśmy role Security Managera i koordynatora ciągłości działania w organizacjach, w których awaria systemów oznaczała realne straty liczone w godzinach, a nie dniach.
300+ projektów · od 2010 r. · audytorzy wiodący CISM, CISA, CRISC · Ocena 5,0★ |
Czym jest ISO 22301 i po co firmie system ciągłości działania
ISO 22301 to międzynarodowa norma określająca wymagania wobec systemu zarządzania ciągłością działania (BCMS). Mówi o tym, jak firma powinna przygotować się na zdarzenia, które mogą przerwać jej działalność — od awarii serwerowni, przez pożar zakładu produkcyjnego, po atak ransomware albo utratę kluczowego dostawcy.
System ciągłości działania nie eliminuje ryzyk — ale sprawia, że firma wie, co robić w pierwszych minutach i godzinach kryzysu, kto podejmuje decyzje i jak najszybciej wrócić do działania na ustalonym poziomie.
Certyfikat wydaje akredytowana jednostka certyfikująca po audycie dwuetapowym. Ważność: 3 lata, z audytami nadzoru co rok. |
System zarządzania ciągłością działania ISO 22301 może być wdrożony przez każdą organizację, która chce:
- ustanowić, wdrożyć, utrzymać i doskonalić system zarządzania ciągłością działania;
- zapewnić zgodność z ustanowioną polityką ciągłości biznesu;
- zabezpieczyć swoje procesy operacyjne i binesowe;
- samodzielnie zadeklarować zgodność z międzynarodowym standardem lub uzyskać certyfikat wg. ISO 22301.
Co dostajesz w ramach wdrożenia ISO 22301
- Analiza BIA oparta na Twoich procesach, nie na szablonie - identyfikujemy, które procesy są krytyczne, jaki jest maksymalny dopuszczalny czas przestoju (MTPD) i jakie zasoby musisz odtworzyć w pierwszej kolejności
- Plany ciągłości działania (BCP), które Twój zespół zrozumie - pisane językiem operacyjnym, nie normowym, z konkretnymi krokami, odpowiedzialnościami i danymi kontaktowymi
- Ćwiczenia i testy planów przed audytem - bo plan, którego nikt nie przetestował, nie jest planem
- Prowadzenie od A do Z przez audytora wiodącego - ten sam konsultant od pierwszej rozmowy do dnia audytu certyfikującego
Czym jest ISO 22301 i po co firmie system ciągłości działania
Operatorzy usług kluczowych (NIS2 / KSC)
Firmy z sektora energetycznego, wod-kan, transportu, ochrony zdrowia i infrastruktury cyfrowej. NIS2 wymaga formalnych środków zapewnienia ciągłości działania – ISO 22301 to gotowa odpowiedź.
Firmy IT, SaaS i data center
Klienci enterprise coraz częściej wymagają ISO 22301 obok ISO 27001 – szczególnie dostawcy hostingu, chmury, platform SaaS o wysokim SLA.
Firmy produkcyjne
Dla zakładów z liniami produkcyjnymi, gdzie godzina przestoju kosztuje dziesiątki tysięcy złotych. ISO 22301 porządkuje reakcję na awarie krytycznych maszyn, utratę dostawców i zakłócenia logistyczne.
Sektor finansowy i ubezpieczeniowy
ISO 22301 wspiera zgodność z wymaganiami DORA i rekomendacjami KNF dotyczącymi zarządzania ciągłością działania.
Dostawcy w łańcuchach dostaw dużych korporacji
Dostawcy tier 1 i tier 2, od których klient OEM wymaga dowodu odporności operacyjnej – certyfikat ISO 22301 skraca audyty drugiej strony.
Kluczowe pojęcia:
- Operatorzy usług kluczowych (NIS2 / KSC) - Firmy z sektora energetycznego, wod-kan, transportu, ochrony zdrowia i infrastruktury cyfrowej. NIS2 wymaga formalnych środków zapewnienia ciągłości działania - ISO 22301 to gotowa odpowiedź.
- Operatorzy usług kluczowych (NIS2 / KSC) - Firmy z sektora energetycznego, wod-kan, transportu, ochrony zdrowia i infrastruktury cyfrowej. NIS2 wymaga formalnych środków zapewnienia ciągłości działania - ISO 22301 to gotowa odpowiedź.
Jak się z nami pracuje ?
Rozmowa
Telefonicznie, mailowo lub podczas wideokonferencji doprecyzowujemy zakres zlecenia. Usralamy najważniejsze fakty. W ten sposób przygotowujemy się do drugiego kroku.
Oferta
Przygotowujemy propozycje działań, które naszym zdaniem należałoby podjąć. Mogą być zupełnie inne niż to, o co nasz zapytasz! Zawsze działamy z myślą o interesie klienta i tak też przygotowujemy ofertę - rekomendujemy i doradzamy, nie jesteśmy tylko biernymi wykonawcami.
Umowa
Praca pracą, ale papierologia musi być w porządku!
Harmonogram i plan działania
Naszym zdaniem klient musi być poinformowany, co kiedy i dlaczego dzieje się z jego firmą. Dlatgo współpracę zaczynamy od przygotowania harmonogramu, który dokładnie określi, czym będziemy się po kolei zajmować oraz planu, który to prezentuje.
Działamy!
Zaczynamy pracę, ale cały czas pozostajemy w kontakcie, by ustalić jej kierunek i dopasować się do Twojego biznesu i specyfiki branży.
Chcesz poznać więcej szczegółów?
Skontaktuj się z nami poprzez formularz lub zadzwoń i porozmawiajmy
Najczęściej zadawane pytania - FAQ
Ile kosztuje wdrożenie ISO 22301?
Koszt wdrożenia ISO 22301 w firmie do 50 osób zaczyna się od około 20 000 zł netto za pracę konsultantów. Certyfikacja w jednostce certyfikującej to dodatkowe 8 000 zł netto lub więcej. Dla firm 50–200 osób budżet na konsultacje wynosi typowo 40 000–70 000 zł. Kluczowy czynnik kosztowy to liczba procesów objętych analizą BIA i liczba lokalizacji. Jeśli firma ma już ISO 27001, wdrożenie ISO 22301 jest tańsze o 30–40% dzięki wspólnej strukturze systemu.
Jak długo trwa wdrożenie ISO 22301?
Standardowe wdrożenie trwa 4–7 miesięcy. Firma do 50 osób z prostą strukturą — 4 miesiące. Organizacja 100–200 osób z kilkoma lokalizacjami — 5–6 miesięcy. Duże firmy z infrastrukturą IT + OT — 7 miesięcy i więcej. Najdłuższymi etapami są BIA (wymaga rozmów z właścicielami procesów) i testy planów (wymagają koordynacji z zespołami operacyjnymi).
Jaka jest różnica między ISO 22301 a ISO 27001?
ISO 27001 chroni informacje — poufność, integralność, dostępność danych i systemów. ISO 22301 chroni procesy biznesowe — zdolność firmy do kontynuowania działania po incydencie dowolnego rodzaju (nie tylko cyberincydencie). W praktyce: ISO 27001 powie Ci, jak zabezpieczyć backup. ISO 22301 powie Ci, co robić, gdy backup nie zadziała, serwer się spalił i zespół IT jest niedostępny. Wiele firm wdraża obie normy razem, bo mają identyczną strukturę (HLS) i uzupełniają się.
Co to jest BIA i dlaczego jest najważniejszym etapem wdrożenia?
BIA (Business Impact Analysis) to analiza, która odpowiada na jedno pytanie: co się stanie, jeśli dany proces przestanie działać? Dla każdego procesu ustala się: straty finansowe za godzinę/dzień przestoju, konsekwencje regulacyjne, wpływ na klientów, maksymalny tolerowany czas niedostępności (MTPD) i docelowy czas odtworzenia (RTO). Bez BIA plany ciągłości są zgadywanką — nie wiadomo, co odtwarzać w pierwszej kolejności.
Czy ISO 22301 jest wymagane przez NIS2?
Formalnie NIS2 nie wymaga certyfikatu ISO 22301. Jednak art. 21 NIS2 wymaga od operatorów usług kluczowych i ważnych wdrożenia środków zarządzania ciągłością działania, analizy wpływu i planów odtwarzania. ISO 22301 pokrywa te wymagania niemal w całości. Wdrożenie normy to najkrótsza droga do wykazania zgodności — zamiast budować system ciągłości od zera pod każdą regulację osobno.
Jak często trzeba testować plany ciągłości działania?
Norma ISO 22301 wymaga regularnych ćwiczeń i testów planów — bez określania konkretnej częstotliwości. W praktyce minimum to raz w roku ćwiczenie stołowe (tabletop exercise) i raz w roku test operacyjny wybranego scenariusza (np. przełączenie na lokalizację zapasową, odtworzenie systemu z backupu). Po każdym realnym incydencie plany powinny być przejrzane i zaktualizowane. Audytor certyfikujący sprawdzi, czy ćwiczenia się odbyły i jakie wnioski z nich wyciągnięto.
Czy mała firma potrzebuje ISO 22301?
ISO 22301 jest skalowalna — norma nie narzuca minimalnej wielkości organizacji. Pytanie brzmi inaczej: czy Twoja firma ma procesy, których przerwanie na 24–48 h oznacza realne straty? Jeśli tak — system ciągłości ma sens, nawet bez formalnej certyfikacji. Certyfikat staje się potrzebny, gdy wymagają go klienci, regulatorzy lub ubezpieczyciele. W małych firmach wdrożenie jest szybsze i prostsze — często zamykamy się w 3–4 miesiącach.
Czym się różni plan ciągłości działania (BCP) od planu odtwarzania po awarii (DRP)?
BCP (Business Continuity Plan) obejmuje cały proces: reakcję na incydent, komunikację kryzysową, zapewnienie zasobów, odtworzenie procesu i powrót do normalnego działania. DRP (Disaster Recovery Plan) dotyczy konkretnie odtworzenia systemów IT i danych po awarii — jest podzbiorem BCP. ISO 22301 wymaga BCP. DRP jest jednym z jego elementów, szczególnie ważnym dla firm z krytyczną infrastrukturą IT.