ISO 22301: Система менеджмента непрерывности бизнеса для экспортеров
При заключении крупных международных контрактов зарубежные партнеры хотят быть уверены, что вы не сорвете поставки из-за пожара на складе, кибератаки на серверы сербанку или политического кризиса. Подтверждением вашей надежности является разработанная Система менеджмента непрерывности бизнеса (Business Continuity Management System — BCMS), сертифицированная по международному стандарту ISO 22301:2019. Сертификат доказывает, что у вашей компании есть протестированный "План Б" для любой катастрофы.
Зачем экспортерам нужен ISO 22301?
Стандарт ISO 22301 перестал быть экзотикой после пандемии COVID-19 и последующих сбоев в глобальных цепочках поставок (Supply Chain). Сегодня он является жестким пропуском на многие рынки.
1. Доступ к тендерам глобальных корпораций
Западные и азиатские автоконцерны, IT-гиганты и фармацевтические корпорации включают требование о наличии ISO 22301 в анкеты квалификации поставщиков (Vendor Questionnaire). Если вы поставляете критически важный компонент, от которого зависит остановка их конвейера, без доказанной непрерывности с вами не подпишут контракт.
2. Соответствие требованиям регуляторов
В финансовом секторе, телекоммуникациях и здравоохранении (для производителей медизделий) наличие плана непрерывности — это законодательное требование (например, регламент DORA в ЕС для финансового сектора). От поставщиков облачных услуг требуют связку ISO 27001 + ISO 22301.
3. Страхование международных сделок
Наличие сертификата от органов уровня BSI, TUV или SGS может снизить страховые премии при страховании грузов и ответственности директоров (D&O), так как андеррайтеры видят, что риски простоя минимизированы.
Архитектура стандарта: как это работает на практике?
Сертификация ISO 22301 — это не просто написание документа под названием "Инструкция при пожаре". Система строится на двух фундаментальных аналитических базисах:
- Анализ воздействия на бизнес (BIA — Business Impact Analysis). Вы должны разобрать свой бизнес на винтики. Какая функция самая важная? Если отключится бухгалтерия — бизнес проживет неделю. Если отключится охлаждение серверной или конвейер по розливу вакцины — бизнес умрет через 2 часа. Определяются показатели MTPD (максимально допустимый период сбоя) и RTO (целевое время восстановления).
- Оценка рисков (Risk Assessment). Что может вызвать сбой? Отключение электричества, хакерская атака (Ransomware), уход ключевого ТОП-менеджера с клиентской базой, забастовка в порту отгрузки, санкционные ограничения.
- План непрерывности бизнеса (BCP — Business Continuity Plan). Пошаговая инструкция для сотрудников. Что делать в первые 15 минут, кому звонить, где находится резервный дизель-генератор, как запустить резервный ЦОД.
- Тестирование и учения (Exercising). Самая важная часть аудита. Орган по сертификации проверит, проводили ли вы имитацию сбоя. "Бумажный" план, который никто не читал — это автоматическое несоответствие.
Изменение климата: поправка Amendment 1:2024 к ISO 22301
Обратите внимание: 23 февраля 2024 года была официально опубликована поправка ISO 22301:2019/Amd 1:2024 "Climate action changes", затрагивающая пункты 4.1 (понимание контекста организации) и 4.2 (понимание потребностей заинтересованных сторон) стандарта — организация теперь обязана определить, является ли изменение климата значимым вопросом для её деятельности. Это часть общего пакета из более 30 стандартов ISO (включая ISO 9001, 14001, 45001), одновременно получивших аналогичную поправку в феврале 2024 года. Теперь в вашем BIA и Реестре рисков обязательно должны быть прописаны сценарии климатических катастроф: например, что будет с вашей логистикой, если затопит порт отгрузки или из-за аномальной жары откажут системы охлаждения продукции.
Интеграция с другими системами (ISO 9001, ISO 27001)
Стандарт ISO 22301 построен по единой структуре (Annex SL), что позволяет легко интегрировать его с другими сертификатами, экономя бюджет на интегрированном аудите.
| Связка стандартов | Синергия для бизнеса |
|---|---|
| ISO 9001 + ISO 22301 | Система качества (9001) гарантирует, что вы производите брак-фри продукт в нормальных условиях. ISO 22301 гарантирует, что вы сможете продолжать производить этот продукт даже при сбоях в поставке сырья. |
| ISO 27001 + ISO 22301 | Информационная безопасность (27001) защищает от взлома. Если взлом все же произошел и серверы зашифрованы криптолокером, в дело вступает ISO 22301 — процедура аварийного восстановления (Disaster Recovery) из оффлайн-бэкапов за целевое время (RTO - 4 часа). |
| ISO 28000 + ISO 22301 | Безопасность и устойчивость (актуальная редакция ISO 28000:2022, "Security and resilience — Security management systems") вместе с BCP обеспечивают защиту логистического оператора от задержек на таможне или краж груза в пути. |
Частые ошибки при внедрении
Резерв в том же здании. Компания закупила резервные диски для серверов (бэкапы) на миллион рублей и положила их в сейф в той же серверной. При аудите инспектор BSI указал на критическую ошибку: в случае пожара сгорит и основной сервер, и сейф с бэкапами (от температуры). План непрерывности BCP оказался неэффективным. Резервные копии должны храниться географически удаленно.
Зависимость от одного поставщика. Завод полимеров идеально выстроил свой BCP, но забыл проверить поставщика уникального катализатора. Когда поставщик обанкротился, завод встал на месяц, пока искал аналог. Правильный ISO 22301 требует оценивать риски непрерывности не только внутри компании, но и у ключевых подрядчиков.
Получение легитимного сертификата
На рынке РФ и СНГ часто предлагают "купить сертификат ГОСТ Р ИСО 22301 за 1 день". Для экспорта это не работает. Ваш зарубежный заказчик проверит сертификат в едином глобальном реестре IAF CertSearch (iafcertsearch.org) — сама база сохраняет это название, хотя материнская организация IAF с 1 января 2026 года объединилась с ILAC в единую структуру Global Accreditation Cooperation (GLOBAC), полный переход на новую единую маркировку GLOBAC MRA ожидается к 2029 году. Если сертификат выдан органом без аккредитации (например, без надзора UKAS, DAkkS, ANAB) — он имеет нулевую репутационную ценность. Аккредитованный аудит занимает не менее 2 этапов, а аудитор досконально проверяет ваши журналы тестирования планов эвакуации и аварийного восстановления.
Вопросы и ответы
Чем ISO 22301 отличается от обычного плана эвакуации при пожаре?
План эвакуации решает вопрос физической безопасности людей в моменте ЧС. ISO 22301 — управленческая система, которая охватывает весь цикл: анализ воздействия на бизнес (BIA) для определения критичных функций, оценку рисков, разработку плана восстановления работы (не только эвакуации людей, но и запуска резервных мощностей, ИТ-систем, цепочки поставок) и регулярное тестирование этого плана на практике, а не просто хранение документа "на бумаге".
Что изменилось в стандарте после поправки Amendment 1:2024?
Поправка добавила требование учитывать изменение климата как значимый фактор в пунктах 4.1 (контекст организации) и 4.2 (заинтересованные стороны) — то есть в реестре рисков и BIA теперь нужно системно рассматривать климатические сценарии (наводнения, аномальную жару и подобное), а не оценка рисков как таковая не изменилась.
Обязательно ли внедрять ISO 22301 отдельно, если уже есть ISO 27001 или ISO 9001?
Формально это отдельная сертификация, но структура Annex SL позволяет интегрировать все три системы в единую документацию компании и проводить комбинированный аудит, что снижает затраты. Содержательно каждый стандарт закрывает свою зону: ISO 9001 — качество в нормальных условиях, ISO 27001 — защиту от киберугроз, ISO 22301 — способность продолжать работу при любом типе сбоя, включая те, что не связаны с ИБ (пожар, забастовка, банкротство ключевого поставщика).
Достаточно ли хранить резервные копии в сейфе в той же серверной?
Нет, это одна из самых частых ошибок при аудите. Резервные копии и оборудование должны храниться географически удалённо от основной площадки — при пожаре, наводнении или другом физическом инциденте локальный сейф в той же серверной сгорит или пострадает вместе с основными серверами, обнуляя весь смысл резервирования.
Проверяет ли аудитор ISO 22301 надёжность ключевых поставщиков компании?
Да, это прямое требование стандарта — оценка рисков непрерывности должна охватывать не только внутренние процессы компании, но и зависимость от ключевых подрядчиков и поставщиков уникальных материалов/компонентов. Отсутствие плана "Б" на случай банкротства или сбоя единственного поставщика критичного сырья — типичное основание для несоответствия при сертификационном аудите.
Как проверить, что купленный сертификат ISO 22301 реально признаётся за рубежом?
Нужно проверить сертификат в глобальном реестре IAF CertSearch (iafcertsearch.org) и убедиться, что выдавший его орган имеет действующую аккредитацию признанного национального органа (UKAS, DAkkS, ANAB и подобные). Сертификаты от неаккредитованных органов ("за 1 день", системы добровольной сертификации без надзора) не проходят проверку у серьёзных зарубежных заказчиков и имеют нулевую репутационную ценность для экспорта.
Помощь в сертификации ISO 22301
Эксперты компании Реестр Гарант помогают экспортерам, IT-компаниям и промышленным предприятиям внедрить реальную Систему непрерывности бизнеса. Мы проведем сессии Анализа воздействия на бизнес (BIA) с вашими Топ-менеджерами, напишем работающие алгоритмы BCP, поможем провести тренировочные учения и организуем прохождение аудита с выдачей международно-признанного сертификата.
Другой обзор ISO 22301 для экспортёров — в статье «ISO 22301 непрерывность бизнеса: сертификат при выходе на международный рынок». О тесной интеграции с системой информационной безопасности для банков и финтеха — в статье «ISO 27001 для банков и финансовых организаций: внедрение СУИБ 2026».
Международная сертификация, экспорт, ISO