Главная → Услуги → ISO 22301

📜 Образец документа
Нажмите для увеличения

💰 Стоимость услуги

170 000 ₽

Полная стоимость с документами

⏱️ Срок оформления

от 3 месяцев

📅 Срок действия

3 года

Оформление ISO 22301: внедрение системы менеджмента непрерывности бизнеса — от анализа рисков до получения сертификата

2022 год многим российским компаниям наглядно показал, что значит работать без системы управления непрерывностью. Логистические цепочки разорвались за несколько недель. Предприятия, у которых были задокументированные планы реагирования на разрыв поставок, альтернативные поставщики в реестре и отработанные процедуры перевода критических процессов в резервный режим, — прошли этот период значительно лучше тех, кто действовал ситуативно. ISO 22301 — это не про бюрократию. Это про то, чтобы при следующем форс-мажоре у вашей команды был чёткий план действий, а не растерянность.

ISO 22301:2019 «Системы менеджмента непрерывности деятельности — Требования» — международный стандарт, который устанавливает требования к разработке, внедрению, поддержанию и улучшению системы менеджмента непрерывности бизнеса (СМНБ). Российский аналог — ГОСТ Р ИСО 22301-2014, разработан на основе предыдущей версии стандарта 2012 года. Актуальная международная редакция — ISO 22301:2019. Стандарт добровольный, применим к любой организации вне зависимости от отрасли и размера.

170 000 руб. — стартовая стоимость в Реестр Гарант

3 года срок действия сертификата ISO 22301

от 3 мес. срок при наличии частично выстроенной системы

от 100 000 руб. — средняя стоимость по рынку РФ в 2025–2026 гг.

Важно понимать про рынок сертификации ISO 22301

На рынке распространены предложения «сертификата ISO 22301 за 3 дня от 10 000 руб.». Это номинальные документы без реального внедрения системы. Такой сертификат не принимается серьёзными корпоративными заказчиками и не имеет никакого практического смысла: при первом же аудите или кризисной ситуации выяснится, что системы нет. Мы занимаемся только реальным внедрением СМНБ — со всем объёмом работ, который это предполагает.

Для кого ISO 22301 наиболее актуален

Формально стандарт применим к любой организации. Но есть отрасли, где непрерывность деятельности — не конкурентное преимущество, а вопрос выживания бизнеса или безопасности людей.

⚡

Энергетика и ЖКХ

Остановка — это не просто убытки, это социальные последствия. Требования к непрерывности закреплены в отраслевых регуляторных документах. ISO 22301 структурирует выполнение этих требований.

🏦

Финансовый сектор и IT

Банки, страховые компании, процессинговые центры, крупные IT-компании — для них час простоя измеряется миллионами. Многие иностранные партнёры и регуляторы требуют подтверждённой СМНБ.

🏭

Непрерывные производства

Химия, нефтепереработка, металлургия, фармацевтика — производства, где перезапуск после остановки занимает дни и стоит десятки миллионов. Управление рисками прерывания здесь критично.

Логистика и транспорт

Здравоохранение и фармацевтика

Телекоммуникации

Добыча полезных ископаемых

Государственные и муниципальные структуры

Розничные сети с разветвлённой инфраструктурой

Предприятия — единственные поставщики компонентов

Компании с международными контрактами

Ключевые понятия стандарта: что нужно знать до начала внедрения

ISO 22301 работает с конкретными инструментами, понимание которых принципиально для оценки объёма работ и принятия решения о внедрении.

Понятие	Что это означает на практике
BIA (Business Impact Analysis) — анализ влияния на бизнес	Определяет, какие процессы критичны, каковы финансовые и операционные последствия их остановки, и устанавливает максимально допустимое время простоя (MTPD) для каждого процесса. Центральный документ всей системы
RTO (Recovery Time Objective) — целевое время восстановления	Максимальное время, за которое критический процесс должен быть восстановлен после инцидента. Устанавливается по результатам BIA и является основой для планов восстановления
RPO (Recovery Point Objective) — целевая точка восстановления	Максимально допустимый объём данных, который может быть потерян при инциденте. Критично для IT-систем и баз данных
BCP (Business Continuity Plan) — план обеспечения непрерывности	Задокументированные процедуры, которые организация выполняет при инциденте для поддержания минимально необходимого уровня деятельности
DRP (Disaster Recovery Plan) — план восстановления после катастрофы	Детальные технические и операционные шаги для восстановления IT-инфраструктуры и систем до нормального состояния
MTPD (Maximum Tolerable Period of Disruption)	Максимальный период, в течение которого организация может существовать при прерванном критическом процессе, прежде чем наступят необратимые последствия
Учения и тестирование планов	ISO 22301 требует регулярного тестирования BCP — не только «на бумаге», но и в виде практических учений. Стандарт проверяет записи о проведённых учениях и извлечённых уроках

Что проверяет аудитор: структура ISO 22301:2019

Стандарт построен на High Level Structure, общей для всех современных стандартов ISO на системы менеджмента. Разделы 4–10 содержат требования, которые должны быть реально выполнены.

Контекст организации

Анализ внешних и внутренних факторов, влияющих на непрерывность. Определение заинтересованных сторон и их требований к непрерывности. Установление области применения СМНБ.

Лидерство

Политика в области непрерывности бизнеса, утверждённая высшим руководством. Назначение ответственных. Аудитор будет проверять, знает ли генеральный директор содержание политики и что делается для её реализации.

Планирование

Оценка рисков для непрерывности, анализ влияния на бизнес (BIA), установление целей в области непрерывности и планов их достижения. Это технически наиболее трудоёмкий раздел.

Операционная деятельность

Реализация BCP и DRP, процедуры оповещения и реагирования на инциденты, управление кризисными коммуникациями, тестирование планов. Именно здесь большинство компаний проваливаются — планы написаны, но никогда не проверялись в деле.

Самый частый провал на аудите — нетестированные планы

Планы обеспечения непрерывности есть у многих организаций. Реально работающие — у единиц. Аудиторы спрашивают: когда последний раз проводились учения по BCP? Что именно тестировалось? Что было выявлено и что исправлено? Если ответ «учения не проводились» или «проводились формально» — это несоответствие. Стандарт требует задокументированных результатов тестирования и доказательств того, что обнаруженные слабые места были устранены.

Этапы внедрения и сертификации ISO 22301

Диагностический аудит — 2–4 недели

Оцениваем текущее состояние: существующие планы реагирования, уровень осведомлённости персонала, состояние IT-инфраструктуры с точки зрения резервирования, зависимость от критических поставщиков, наличие альтернативных мощностей. Составляем реалистичный план подготовки с оценкой трудозатрат и стоимости.

Обучение персонала — 3 дня

Обучаем менеджера по непрерывности бизнеса, кризисную команду и внутренних аудиторов. Разбираем методологию BIA, методы оценки рисков, практику разработки BCP и DRP, порядок проведения учений и их документирования.

BIA и оценка рисков — это самый важный этап

Совместно с владельцами процессов проводим анализ влияния на бизнес: идентифицируем критические процессы, определяем MTPD, RTO и RPO для каждого из них, оцениваем зависимости между процессами. Параллельно — оценка рисков прерывания с определением наиболее вероятных сценариев. Всё это документируется в структурированном реестре, который станет основой для разработки планов.

Разработка планов непрерывности и восстановления — от 6 недель

Разрабатываем BCP для критических процессов, DRP для IT-инфраструктуры, планы кризисных коммуникаций, процедуры оповещения и эскалации, матрицы ответственности для кризисной команды. Каждый план адаптируется под реальную структуру и ресурсы организации.

Тестирование планов и учения

Проводим практическое тестирование разработанных планов — настольные учения (tabletop exercise) или функциональные учения в зависимости от готовности организации. Документируем результаты, выявляем слабые места, вносим корректировки в планы. Это обязательный элемент, который проверяется на сертификационном аудите.

Внутренний аудит и сертификационный аудит

Проводим внутреннюю проверку всей системы, закрываем несоответствия. После — сертификационный аудит органа по сертификации: стадия 1 (документация) и стадия 2 (выездная проверка). По результатам успешного аудита выдаётся сертификат ISO 22301:2019 сроком на 3 года.

Стоимость и сроки: как это выглядит на рынке в 2026 году

На российском рынке существуют два полюса предложений. Первый — номинальные «сертификаты» за 10 000–30 000 руб. без реального внедрения, выдаваемые за несколько дней. Второй — полноценное внедрение СМНБ с проведением BIA, разработкой планов и тестированием. Цены на второй вариант по рынку начинаются от 100 000 руб. за небольшие организации. Мы работаем исключительно во втором сегменте.

Малая и средняя компания (до 100 чел.)

Ограниченный перечень критических процессов, одна площадка

Консультационное сопровождение: от 80 000 руб.
Аудит органа по сертификации: от 90 000 руб.
Итого: от 170 000 руб.
Срок с нуля: 4–7 месяцев
Рынок в среднем: от 100 000 руб.

Крупная организация (от 100 чел.)

Множество критических процессов, разветвлённая инфраструктура

Консультационное сопровождение: от 200 000 руб.
Аудит органа по сертификации: от 180 000 руб.
Итого: от 380 000 руб.
Срок с нуля: 8–14 месяцев
Рынок в среднем: от 250 000 руб.

Что влияет на стоимость

Главный фактор — количество критических процессов, для которых нужно разрабатывать отдельные BCP. Компания с тремя критическими процессами и компания с двадцатью — принципиально разный объём работы. Также стоимость растёт при наличии нескольких площадок, сложной IT-инфраструктуры и высоких требований к RTO (менее 4 часов требуют серьёзной технической подготовки). Точную стоимость называем после диагностического аудита.

ISO 22301 и смежные стандарты: где пересечения

🔒

ISO/IEC 27001 (информационная безопасность)

Очень частая связка. ISO 27001 включает требования к непрерывности IT-сервисов (Приложение A.17). Совместное внедрение снижает затраты — большая часть BIA и DRP разрабатывается один раз.

⚙️

ISO 9001 (менеджмент качества)

Оба стандарта построены на High Level Structure. Общая документационная инфраструктура, совмещённые внутренние аудиты. При наличии ISO 9001 внедрение ISO 22301 проходит значительно быстрее.

🛡️

ISO 31000 (управление рисками)

ISO 31000 — стандарт по методологии управления рисками. Использование его подходов при разработке оценки рисков для СМНБ повышает качество анализа и упрощает интеграцию с другими системами управления.

Вопросы, которые задают руководители компаний

— ISO 22301 — добровольный стандарт. Есть ли в России обязательные требования к непрерывности бизнеса?
Прямого требования сертифицироваться по ISO 22301 в российском законодательстве нет. Однако ряд отраслевых нормативных актов содержит требования к планированию непрерывности и восстановления для отдельных категорий организаций. В частности, Положение Банка России №716-П для кредитных организаций устанавливает требования к управлению операционным риском, включая планирование непрерывности деятельности. Для субъектов критической информационной инфраструктуры (КИИ) требования к устойчивости функционирования установлены Федеральным законом №187-ФЗ. ISO 22301 является признанным инструментом выполнения этих требований.

— У нас уже есть планы аварийного восстановления от IT-отдела. Нужно ли разрабатывать что-то ещё?
DRP (Disaster Recovery Plan) от IT-отдела — это только один элемент системы. ISO 22301 требует рассматривать непрерывность значительно шире: не только IT, но и персонал (что делать, если ключевые сотрудники недоступны), поставщики (альтернативные источники критических материалов и услуг), площадки (резервные помещения при недоступности основного офиса или производства), коммуникации (как информировать клиентов, партнёров, регуляторов при инциденте). DRP становится одним из документов в системе, но не заменяет её.

— Как часто нужно тестировать планы и проводить учения?
ISO 22301:2019 не устанавливает конкретную периодичность — организация определяет её самостоятельно исходя из оценки рисков и значимости процессов. На практике минимально приемлемой частотой считается ежегодное тестирование ключевых планов. Некоторые организации с высокими требованиями к RTO проводят учения раз в квартал. Аудиторы проверяют не только факт проведения учений, но и то, что выявленные слабые места были исправлены — цикл обучения должен быть замкнут.

— Сколько времени займёт восстановление системы, если в компании не было никакой СМНБ?
По нашей оценке, разработка и внедрение системы с нуля в организации среднего размера занимает 6–12 месяцев при активном участии ключевых сотрудников. Большая часть этого времени — не разработка документов, а проведение BIA (требует серьёзной аналитической работы с руководителями процессов) и первичное тестирование планов. Попытки ускорить процесс за счёт поверхностного BIA неизменно приводят к планам, которые не работают в реальных инцидентах.

— Нужен ли нам ISO 22301, если мы небольшая компания без сложной инфраструктуры?
Зависит от двух факторов: требуют ли его ваши ключевые заказчики или партнёры, и насколько критична непрерывность вашей деятельности для них. Небольшая компания, которая является единственным поставщиком специфического компонента для крупного производства, может быть вполне рациональным кандидатом на ISO 22301. Небольшая компания из пяти человек, оказывающая консультационные услуги без критических зависимостей — вероятно, нет. Мы честно говорим об этом на первичной консультации.

Нормативная база и связанные документы

ISO 22301:2019 — актуальная редакция международного стандарта
ГОСТ Р ИСО 22301-2014 — российский аналог (на основе версии 2012 года)
ISO 22313:2020 — руководство по применению ISO 22301, содержит практические рекомендации по внедрению
ISO 22317:2021 — руководство по проведению анализа влияния на бизнес (BIA)
ISO 22318:2021 — непрерывность цепочки поставок
Положение Банка России №716-П «О требованиях к системе управления операционным риском» — для кредитных организаций
Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» — для субъектов КИИ

ISO 22301 и ISO/IEC 27001: наиболее часто встречающаяся связка

По нашей практике, большинство организаций, приходящих за ISO 22301, либо уже имеют ISO/IEC 27001, либо планируют его получить. Это логично: информационная безопасность и непрерывность бизнеса тесно связаны, особенно для IT-компаний, финансового сектора и телекома. Совместное внедрение двух стандартов даёт существенную экономию: BIA, оценка рисков и значительная часть документации разрабатываются один раз и используются в обеих системах.

Реестр Гарант: подход к внедрению СМНБ

Система менеджмента непрерывности бизнеса — один из стандартов, где разрыв между «формальным соответствием» и «реально работающей системой» максимален. Мы видели организации, у которых была стопка красиво оформленных планов, ни разу не тестировавшихся. При первом реальном инциденте выяснялось, что ответственный за кризисные коммуникации уволился полгода назад, резервный сервер не обновлялся год, а альтернативный поставщик принял другие обязательства.

Наш подход: BIA проводится совместно с реальными владельцами процессов, а не заполняется по шаблону. Планы восстановления разрабатываются под реальные ресурсы и ограничения организации. Тестирование планов — обязательный элемент, который мы организуем и документируем. Только после этого имеет смысл идти на сертификационный аудит.

Обсудить внедрение ISO 22301

Телефон: 89005746601

WhatsApp и Telegram: 89005746601

Email: reestrgarant@mail.ru

Первичная консультация бесплатна. Расскажите об отрасли и масштабе компании — оценим, какие критические процессы потребуют проработки и сколько времени займёт подготовка к аудиту.