Готовим систему менеджмента непрерывности деятельности к сертификации: BIA, критичные процессы, планы восстановления, тесты и доказательства для аудита.
Сертификация ГОСТ Р ИСО 22301-2021 нужна компаниям, для которых простой означает реальные убытки: остановку поставок, штрафы по договору, потерю данных, срыв обслуживания клиентов или остановку производства. Этот стандарт не обещает, что аварий не будет. Он проверяет другое: понимает ли организация, какие процессы нельзя останавливать надолго, кто принимает решения при сбое, какие ресурсы нужны для восстановления и как всё это подтверждается документами.
ГОСТ Р ИСО 22301-2021 — национальный стандарт по системе менеджмента непрерывности деятельности. Он идентичен ISO 22301:2019 и применяется к организациям разного размера: от ИТ-компаний и логистики до производственных площадок, медицинских организаций, банковских подрядчиков и сервисных центров. В коммерческой работе сертификат часто просят не ради формальности, а как доказательство, что поставщик выдержит сбой и не бросит заказчика без услуги.
Сертификация ГОСТ Р ИСО 22301-2021: что должно быть готово
Главная часть подготовки — не красивый план на случай чрезвычайной ситуации, а связь между рисками, критичными процессами и восстановлением. Если компания пишет, что восстановит отгрузку за сутки, должны быть люди, площадки, ИТ-доступы, подрядчики и порядок связи, которые делают это возможным. Если заявлен резервный канал связи, нужно показать, что он проверялся, а не просто указан в регламенте.
| Блок | Что смотрят | Где чаще всего провал |
|---|---|---|
| Анализ влияния на бизнес | Критичные процессы, допустимое время простоя, зависимости | Процессы названы общо, без владельцев и ресурсов |
| Оценка рисков | Сценарии нарушений, вероятность, последствия, меры | Риски описаны как список угроз без связи с бизнесом |
| Планы непрерывности | Порядок действий, контакты, роли, восстановление услуг | План есть, но сотрудники его не знают |
| Тестирование | Учения, проверки связи, разбор результатов | Документы не подтверждают, что план хоть раз проверяли |
Кому сертификат даёт практическую пользу
Сертификат ГОСТ Р ИСО 22301-2021 особенно полезен поставщикам, которые работают по долгим договорам и отвечают за непрерывную услугу. Это ИТ-аутсорсинг, хостинг, логистика, производство комплектующих, обслуживание оборудования, контакт-центры, медицинские сервисы, инженерная эксплуатация зданий, поставки для сетевого ритейла. В таких проектах заказчик смотрит не только на цену, но и на способность поставщика пережить сбой.
Есть и внутренний эффект. После нормального BIA руководители впервые видят, что одна “незначительная” функция держит несколько договоров, а один специалист хранит в голове критичный порядок восстановления. Такие вещи лучше найти до аварии. Мы часто начинаем проект с интервью по процессам, потому что из готовых документов реальная зависимость видна хуже.
Когда ГОСТ Р ИСО 22301-2021 не нужен
Если компания не оказывает непрерывных услуг, не участвует в закупках с требованием СМНД и не имеет критичных процессов с жёсткими сроками восстановления, сертификация может быть лишней. Для небольшого подрядчика с разовыми работами иногда достаточно нормальных договоров, резервного копирования и понятного порядка уведомления клиента.
Не стоит путать этот стандарт с охраной труда, пожарной безопасностью, гражданской обороной или информационной безопасностью. Они могут пересекаться в сценариях, но сертификат ГОСТ Р ИСО 22301-2021 не заменяет обязательные инструкции, обучение, лицензии, декларации и требования профильного законодательства.
Сроки и стоимость
В карточке услуги указана стоимость от 8000 рублей и срок 20-25 рабочих дней. Такой срок реалистичен, если у компании уже есть часть управленческих документов, ответственные за процессы и хотя бы минимальные планы реагирования. Если нужно с нуля провести BIA, описать зависимости, собрать планы восстановления и провести тестирование, срок лучше считать после диагностики.
| Состояние компании | Что делаем | Ориентир |
|---|---|---|
| Документы есть, но не связаны | Проверяем логику, обновляем BIA, готовим аудит | 15-20 рабочих дней |
| Есть планы, тестов не было | Организуем проверку, фиксируем результаты, закрываем замечания | 20-25 рабочих дней |
| СМНД нет | Строим минимальную систему под реальные процессы | после обследования |
Какие документы потребуются
Для сертификации обычно нужны политика в области непрерывности деятельности, область применения СМНД, результаты анализа влияния на бизнес, оценка рисков, планы непрерывности и восстановления, порядок кризисной коммуникации, матрица ролей, программа учений, записи о тестировании и корректирующих действиях. Если компания зависит от подрядчиков, отдельно проверяют договоры, SLA и порядок замены поставщика.
Мы не советуем писать планы слишком широко. Лучше честно описать критичные процессы и доказать, что по ним есть рабочие действия, чем включить в область сертификации всю компанию и потом не подтвердить половину обещаний. На аудите такой разрыв быстро становится виден.
Частые ошибки
Первая ошибка — подменять BIA обычной таблицей рисков. Анализ влияния должен отвечать на вопрос, что именно произойдёт с бизнесом при простое процесса через два часа, сутки или неделю. Вторая ошибка — назначать ответственных формально: в плане указан директор, но ночью он недоступен, а заместитель не имеет полномочий. Третья — не проверять планы. Документ, который ни разу не тестировали, не даёт уверенности ни аудитору, ни заказчику.
Кейс из практики
Сервисная компания обслуживала оборудование на распределённых объектах. Заказчик запросил подтверждение непрерывности деятельности после нескольких задержек выезда аварийной бригады. На старте у клиента были инструкции, но не было понятного времени восстановления и запасного маршрута при недоступности подрядчика по транспорту.
Мы провели интервью с диспетчерами, инженерами и руководителем склада, собрали карту зависимостей и выделили три критичных сценария: недоступность бригады, отсутствие запасной детали и сбой связи. После этого появились короткие планы действий, резервный список поставщиков и журнал тестов. Сертификационная подготовка стала не отдельной папкой, а нормальным рабочим инструментом для аварийных ситуаций.
Как работает «Реестр Гарант»
Мы начинаем с диагностики: смотрим договоры, критичные процессы, текущие планы, контакты ответственных, подрядчиков, ИТ-зависимости и предыдущие сбои. Затем готовим недостающие документы, помогаем провести тестирование и приводим записи в порядок для сертификационного аудита. Если видим, что сертификат пока преждевременен, говорим об этом до оплаты полного проекта.
Для первичной оценки по ГОСТ Р ИСО 22301-2021 можно связаться с «Реестр Гарант» по телефону +7 920-898-17-18, написать в WhatsApp или Telegram, либо отправить вводные на reestrgarant@mail.ru. Полезно сразу указать сферу деятельности, критичные услуги, требования заказчика и наличие планов восстановления.
Частые вопросы
ГОСТ Р ИСО 22301-2021 обязателен для всех компаний?
Нет. Это добровольная сертификация системы менеджмента непрерывности деятельности. Обязательной она становится через договор, тендер, внутренний стандарт группы компаний или требование заказчика.
Можно ли сертифицировать только часть компании?
Да, если область применения описана честно и понятно. Часто сертифицируют конкретную услугу, площадку, подразделение или процесс, который важен для заказчиков.
Чем BIA отличается от оценки рисков?
BIA показывает последствия остановки процесса для бизнеса и допустимое время восстановления. Оценка рисков разбирает причины и сценарии нарушений. Для ГОСТ Р ИСО 22301-2021 нужны оба элемента.
Нужно ли проводить учения перед аудитом?
Да, без проверки планов система выглядит бумажной. Формат может быть разным: настольная тренировка, проверка связи, тест восстановления данных, отработка действий дежурной группы.
Требования и условия
- определить область применения системы менеджмента непрерывности деятельности;
- провести BIA и оценку рисков по критичным процессам;
- подготовить планы восстановления, коммуникации и тестирования;
- собрать записи, подтверждающие проверки, учения и корректирующие действия.
Необходимые документы
- карточка компании и область сертификации;
- перечень критичных процессов, договоров и требований заказчика;
- BIA, оценка рисков, планы непрерывности и восстановления;
- протоколы тестирования, журналы учений, планы улучшений и корректирующие действия.
