G Ghid · ISO 22301

ISO 22301: testarea și exercițiile planului BCP

Clauza 8.5 ISO 22301 cere minim un exercițiu de testare a planului de continuitate pe an. Tipuri de exerciții, dovezile cerute la audit și greșeli frecvente.

Elena Tudor
Elena Tudor
Specialist ISO 27001 & GDPR
7 min citire Publicat 26 iun. 2026
ISO 22301: testarea și exercițiile planului BCP

Un plan de continuitate scris frumos și nepus niciodată la încercare nu trece auditul de certificare. Clauza 8.5 din ISO 22301 cere un program de exerciții care testează planul la intervale planificate, iar auditorul cere dovada a cel puțin un exercițiu făcut în ultimele 12 luni. Diferența dintre un plan care arată bine pe hârtie și unul care funcționează la 3 dimineața se vede abia la primul exercițiu serios.

Tipurile de exerciții pe care le poți folosi

Standardul nu te obligă să faci de fiecare dată o simulare completă. Poți alege tipul de exercițiu în funcție de cât de mult vrei să testezi și cât poți deranja activitatea reală.

Tip exercițiuCe presupuneCând îl folosești
Tabletop (la masă)Echipa discută un scenariu ipotetic și spune ce ar face, pas cu pasPrima testare, echipă nouă, scenariu pe care nu l-ai mai analizat
Parcurgere (walkthrough)Treci prin plan rând cu rând și verifici dacă datele și contactele sunt corecteDupă ce ai modificat planul sau au plecat oameni din echipă
SimulareJoci rolurile în timp real, cu cronometru, fără să oprești producțiaVrei să verifici dacă timpii din plan sunt realiști
Test complet (failover)Activezi efectiv soluția de rezervă: comuți pe serverul de backup, muți echipaÎnainte de auditul de certificare sau anual, pentru sistemele critice

Un exercițiu tabletop costă două ore și o sală de ședință. Un test complet de failover poate dura o zi și are nevoie de pregătire. Majoritatea firmelor combină: tabletop de două ori pe an, un test complet o dată pe an pentru procesul cel mai critic.

Cum construiești programul anual de exerciții

Standardul cere un program, nu un exercițiu izolat. Asta înseamnă un calendar care acoperă în timp toate activitățile critice din planul de continuitate.

  1. Pornește de la analiza de impact (BIA). Activitățile cu timpul de recuperare cel mai scurt se testează primele și cel mai des.
  2. Alege scenarii concrete: pică serverul principal, arde sediul, pleacă furnizorul unic, atac ransomware. Fiecare scenariu testează altă parte a planului.
  3. Fixează obiective măsurabile pentru fiecare exercițiu. „Echipa restabilește accesul la softul de facturare în RTO-ul stabilit de 4 ore” este un obiectiv. „Testăm planul” nu este.
  4. Stabilește cine participă și cine observă. Observatorul notează ce nu merge, fără să intervină.
  5. Programează exercițiile pe tot anul, nu toate într-o săptămână înainte de audit. Un program înghesuit se vede imediat la auditor.

Ce dovezi îți cere auditorul la clauza 8.5

Auditorul de certificare verifică implementarea reală în etapa 2 a auditului. Pentru testarea planului, îți cere documente concrete, nu declarații. Pregătește:

  • Programul de exerciții pe anul în curs, cu date și scenarii
  • Raportul post-exercițiu pentru fiecare test făcut, cu ce a mers și ce nu
  • Lista participanților și evidența prezenței
  • Planul de acțiuni rezultat din exercițiu, cu termene și responsabili
  • Dovada că acțiunile au fost închise sau sunt în lucru

Raportul post-exercițiu este documentul pe care auditorii îl cer cel mai des. Fără el, exercițiul nu există, oricât de bine ar fi mers în realitate.

Greșeli frecvente la testarea planului

Cea mai comună problemă este exercițiul care confirmă tot. Dacă fiecare test iese perfect, înseamnă că ai ales scenarii prea ușoare. Un exercițiu bun găsește cel puțin o problemă. Auditorul se uită cu suspiciune la rapoarte care spun „totul a funcționat conform planului” de trei ani la rând.

A doua greșeală este să testezi doar pe hârtie. Faci un tabletop frumos, toată lumea spune ce ar face, dar nimeni nu apasă niciodată butonul de comutare pe serverul de rezervă. La primul incident real descoperi că backup-ul nu a mai fost verificat de șase luni. Pentru sistemele critice ai nevoie de minim un test complet pe an.

A treia greșeală este raportul lipsă. Echipa face exercițiul, discută la cafea ce a mers prost, și gata. Fără raport scris și fără plan de acțiuni, auditorul dă neconformitate chiar dacă exercițiul chiar a avut loc.

Un exemplu concret de exercițiu

Ai un SRL cu 18 angajați care procesează plăți online pentru magazine. Planul de continuitate spune că, dacă pică platforma principală, echipa IT comută pe sistemul de rezervă în 2 ore (RTO de 2 ore).

Faci un exercițiu tabletop cu echipa IT și cea de suport. La discuție iese că sistemul de rezervă rulează o versiune mai veche a aplicației, iar migrarea configurației durează în realitate aproape 9 ore, nu 2. RTO-ul din plan era o presupunere, nu un timp testat.

Ce faci după: notezi neconformitatea în raport, actualizezi versiunea de pe serverul de rezervă, programezi un test complet de failover peste o lună ca să confirmi noul timp. Exercițiul tabletop, care a costat două ore, ți-a arătat o gaură pe care un incident real ar fi transformat-o într-o zi de magazine blocate.

Ce cere exact clauza 8.5 din ISO 22301

Clauza 8.5 din ISO 22301:2019 (adoptat în România ca SR EN ISO 22301:2020) cere ca exercițiile și testele să respecte câteva condiții. Exercițiile trebuie să fie consecvente cu domeniul și obiectivele sistemului de continuitate. Trebuie să se bazeze pe scenarii bine planificate, cu obiective clare. Împreună, în timp, trebuie să valideze tot setul de măsuri de continuitate, cu participarea părților implicate.

Standardul mai cere ca exercițiile să nu pună în pericol activitatea reală, să producă rapoarte post-exercițiu cu rezultate, recomandări și acțiuni, să fie analizate pentru îmbunătățire continuă și să se desfășoare la intervale planificate și ori de câte ori apar schimbări mari în firmă. Practic, dacă schimbi sediul, furnizorul critic sau aplicația principală, refaci exercițiul, nu aștepți anul următor.

Întrebări frecvente

Cât de des trebuie testat planul de continuitate?

Standardul cere „intervale planificate”, fără o cifră fixă. În practica de audit, se așteaptă minim un exercițiu pe an pentru fiecare activitate critică și o testare suplimentară după orice schimbare mare (sediu, furnizor, aplicație).

Ce tip de exercițiu cere auditorul de certificare?

Auditorul nu impune un anumit tip. Cere dovada că ai testat planul și că exercițiul a produs un raport și un plan de acțiuni. Pentru sistemele cu timp de recuperare scurt, un test complet de failover este mai convingător decât un simplu tabletop.

Un exercițiu tabletop este suficient pentru ISO 22301?

Pentru o primă testare sau pentru procese mai puțin critice, da. Pentru procesele cu RTO scurt, doar discuția la masă nu validează timpii reali. Acolo ai nevoie cel puțin de o simulare sau de un test complet.

Ce se întâmplă dacă un exercițiu eșuează?

Un exercițiu care găsește probleme nu este un eșec, este scopul lui. Notezi ce nu a mers, deschizi acțiuni corective cu termene și le închizi. Auditorul vede asta ca dovadă că sistemul funcționează. Un plan netestat sau un exercițiu fără raport aduce neconformitate, nu unul care a scos la iveală o problemă.

Elena Tudor
Scris de
Elena Tudor
Specialist ISO 27001 & GDPR

Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.

Vezi toate articolele