Сертификация ИСО 22301 (ISO 22301:2019) — непрерывность бизнеса | 2026

ИСО 22301 (ISO 22301:2019) — международный стандарт системы управления непрерывностью бизнеса (BCMS — Business Continuity Management System). Стандарт определяет требования к планированию, внедрению, поддержанию и улучшению системы, которая позволяет организации продолжать работу или быстро восстановиться после серьёзных инцидентов: пожаров, кибератак, пандемий, природных катастроф, отказов критических поставщиков. В России действует национальный аналог — ГОСТ Р ИСО 22301-2022. Сертификация по ИСО 22301 особенно востребована в финансовом секторе, телекоммуникациях, IT, государственных структурах и критической инфраструктуре. Мы предоставляем услуги по подготовке и сопровождению сертификации «под ключ».

Что такое система управления непрерывностью бизнеса

BCMS по ИСО 22301 — это не просто план восстановления после катастрофы (Disaster Recovery Plan). Это система управления, которая встроена в операционную деятельность организации и работает постоянно, а не только в кризисных ситуациях.

Ключевые элементы BCMS:

Анализ воздействия на бизнес (BIA — Business Impact Analysis) — оценка того, какие процессы являются критическими и что произойдёт, если они прекратятся на 1 час, 1 день, 1 неделю, 1 месяц.

Оценка рисков — идентификация угроз, которые могут вызвать прерывание деятельности: технологические, природные, человеческие, социально-политические.

Стратегии обеспечения непрерывности — как организация будет продолжать работу при реализации угрозы: резервные площадки, аутсорсинг, ручные процессы, облачные системы.

Планы обеспечения непрерывности бизнеса (BCP) — детальные планы действий для ключевых сценариев с распределением ролей, контактами, чек-листами.

Учения и тестирование — регулярная проверка планов в условиях, максимально приближенных к реальным инцидентам.

Кому нужна сертификация ИСО 22301

Финансовый сектор: Банк России рекомендует кредитным организациям внедрять BCMS в соответствии с ИСО 22301. Для системно значимых банков это де-факто обязательное требование. Страховые и инвестиционные компании также используют ИСО 22301 для выполнения регуляторных требований.

IT и телекоммуникации: Операторы ЦОД (центров обработки данных), провайдеры SaaS, телекоммуникационные компании — прерывание сервиса означает прямые финансовые потери и штрафные санкции. Крупные корпоративные клиенты всё чаще требуют подтверждения BCMS как условия аутсорсинга.

Государственные структуры и критическая инфраструктура: Энергетические компании, операторы водоснабжения, транспортные организации — федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» косвенно создаёт потребность в BCMS.

Фармацевтика и здравоохранение: Непрерывность цепочки поставок лекарств, работа медицинских систем — прерывание критически опасно.

Производственные предприятия с единственной площадкой: Пожар или авария на производстве может остановить компанию полностью. BCMS определяет стратегию восстановления заранее.

Организации, работающие с крупными корпоративными клиентами: Корпорации всё чаще включают требования к BCMS в договоры с ключевыми поставщиками.

Требования ИСО 22301:2019 — ключевые разделы

Стандарт построен по архитектуре High Level Structure (HLS), совместимой с ИСО 9001 (ИСО 9001) и ИСО 27001 (ИСО 27001):

Самый объёмный и трудоёмкий раздел — 8 (Деятельность). Именно здесь разрабатываются BIA, планы BCP и проводятся учения.

Этапы получения сертификата ИСО 22301

Этап 1: Определение области применения BCMS (1–2 недели)

Организация решает: вся компания или только критические подразделения попадают в область применения. Например, IT-компания может сначала сертифицировать только сервисный центр обработки данных.

Этап 2: Анализ воздействия на бизнес (BIA) — 2–4 недели

Самый важный и трудоёмкий этап. Для каждого процесса определяются: - RTO (Recovery Time Objective) — максимально допустимое время восстановления - RPO (Recovery Point Objective) — максимально допустимая потеря данных - MBCO (Minimum Business Continuity Objective) — минимальный уровень функционирования при инциденте

Этап 3: Оценка рисков — 2–3 недели

Систематическая идентификация угроз (кибератаки, пожары, потеря ключевых поставщиков, пандемии, отключения электроэнергии) и оценка вероятности и последствий. Результат — реестр рисков с приоритетами.

Этап 4: Разработка стратегий непрерывности — 2–4 недели

Для каждой критической функции определяется способ продолжения работы: резервные помещения, альтернативные поставщики, ручные процессы, облачный бэкап, аутсорсинг.

Этап 5: Разработка планов BCP — 3–5 недель

Детальные планы для основных сценариев: пожар в офисе, потеря IT-систем, пандемия, утрата ключевого персонала. Каждый план содержит: триггеры активации, роли и контакты, пошаговые инструкции, чек-листы.

Этап 6: Тестирование и учения — 2–3 недели

ИСО 22301 требует регулярного тестирования планов. Минимум — настольные учения (tabletop exercise). Лучше — функциональные учения с реальным переводом системы на резервную площадку.

Этап 7: Сертификационный аудит

Аудит в 2 этапа: анализ документации, затем аудит на месте с проверкой фактической готовности к инцидентам.

Сроки и стоимость сертификации ИСО 22301

Сертификат ИСО 22301 действует 3 года с ежегодным инспекционным контролем.

Интеграция ИСО 22301 с другими стандартами

Поскольку ИСО 22301 построен на той же архитектуре HLS, что и ИСО 9001 (ИСО 9001) и ИСО 27001 (ИСО 27001), интеграция систем менеджмента даёт значительную экономию:

• ИСО 22301 + ИСО 27001: Наиболее частая комбинация в IT-секторе. BIA для обоих стандартов частично совпадает. Единый реестр рисков, единые внутренние аудиты. Экономия при одновременном внедрении — 20–30%.
• ИСО 22301 + ИСО 9001 (ИСО 9001): Для производственных компаний. Документация о процессах из ИСО 9001 служит основой для BIA в ИСО 22301.

Типичные ошибки при внедрении ИСО 22301

1. BIA сделана формально: Руководители указали RTO «2 часа» для всех процессов без реального анализа последствий. Аудитор спрашивает: «Как вы получили этот показатель?» — ответа нет.

2. Планы BCP не протестированы: Красивые документы, но учений не проводилось. ИСО 22301 требует документальных свидетельств тестирования — дат, участников, результатов.

3. Область применения слишком узкая: Организация сертифицировала только один отдел, но клиент хочет подтверждения для всей компании.

4. Нет поддержки руководства: BCMS требует решений об инвестициях в резервные системы. Без вовлечённости топ-менеджмента система остаётся на бумаге.

5. Планы не обновляются: После смены ключевого персонала или IT-систем планы остались старыми. Аудитор проверяет актуальность контактных данных и ссылок на системы.

Часто задаваемые вопросы

Чем ИСО 22301 отличается от плана восстановления после катастроф (DRP)?

DRP (Disaster Recovery Plan) — это один из инструментов, который может входить в BCMS. ИСО 22301 шире: он включает анализ воздействия на бизнес, управление кризисными коммуникациями, обеспечение минимального уровня функционирования во время инцидента и планы восстановления. DRP фокусируется преимущественно на IT-восстановлении, ИСО 22301 охватывает всю деятельность организации.

Обязателен ли ИСО 22301 по российскому законодательству?

ИСО 22301 является добровольным стандартом в России. Однако Банк России (Положение 716-П) и регуляторы для системно значимых организаций создают нормативные предпосылки, которые фактически требуют BCMS. Ряд государственных заказчиков и корпораций включает требование ИСО 22301 или ГОСТ Р ИСО 22301 в квалификационные требования.

Сколько стоит сертификация ИСО 22301 (ИСО 22301)?

Стоимость подготовки «под ключ»: малый бизнес — от 100 000 руб., средний — от 180 000 руб., крупная организация — от 350 000 руб. Дополнительно — стоимость аудита аккредитованным органом (от 80 000 до 250 000 руб.).

Как долго действует сертификат ИСО 22301?

Сертификат действителен 3 года. Ежегодно проводится инспекционный аудит для подтверждения функционирования BCMS. Каждые 3 года — ресертификационный аудит.

Можно ли внедрить ИСО 22301 поэтапно?

Да. Распространённый подход — начать с критического подразделения или направления деятельности, получить сертификат, затем расширить область применения. Это снижает первоначальные затраты и позволяет организации постепенно развивать культуру управления непрерывностью бизнеса.

Что проверяет аудитор ИСО 22301?

Аудитор проверяет: документально подтверждённые результаты BIA (RTO, RPO), актуальные и протестированные планы BCP, свидетельства проведения учений (протоколы, отчёты), внутренние аудиты BCMS, компетентность персонала (может задать вопросы напрямую сотрудникам), результаты анализа со стороны руководства.

Совместим ли ИСО 22301 с ИСО 27001 (ИСО 27001)?

Да, оба стандарта построены на HLS и легко интегрируются. ИСО 27001 (ИСО 27001) охватывает информационную безопасность, ИСО 22301 — непрерывность бизнеса. Для IT-компаний и банков это наиболее востребованная комбинация. Единое BIA покрывает требования обоих стандартов, что сокращает затраты на интегрированный проект на 20–30%.

Есть ли российский аналог ИСО 22301?

Да — ГОСТ Р ИСО 22301-2022 является официальным переводом и аналогом ИСО 22301:2019. Сертификация по ГОСТ Р ИСО 22301-2022 имеет тот же статус, что и ИСО 22301, и признаётся государственными заказчиками. Для международного признания нужен международный сертификат ISO 22301.

Итог

ИСО 22301 (ISO 22301) — стандарт для организаций, которые не могут позволить себе длительного простоя. Сертификация по ИСО 22301 демонстрирует клиентам, партнёрам и регуляторам, что компания системно управляет рисками прерывания деятельности и готова к инцидентам.

Готовы начать сертификацию ИСО 22301? Оставьте заявку — бесплатно рассчитаем стоимость и сроки для вашей организации.

Оставить заявку