Apa beda ISO 22301 dengan Disaster Recovery Plan (DRP)?

DRP fokus pada pemulihan TI (data, sistem, infrastruktur). ISO 22301 BCMS lebih luas: mencakup people (penggantian personil kunci), proses (cara kerja alternatif), tempat (kerja alternatif lokasi), supplier (alternatif vendor kritis), dan komunikasi krisis. DRP jadi salah satu komponen BCMS, bukan keseluruhan.

Berapa lama persiapan dari nol hingga sertifikat?

Untuk organisasi mulai dari nol, 9–15 bulan adalah rentang realistis. Variabel utama: kompleksitas proses bisnis, jumlah lokasi, kematangan IT operations, dan ada/tidaknya BCMS sebelumnya. Bank/fintech dengan IT mature: 6–9 bulan. Korporat multi-line tanpa BCMS: 12–15 bulan.

Apakah ISO 22301 wajib untuk industri tertentu?

Tidak diwajibkan langsung oleh hukum, tetapi banyak regulator menuntut BCMS yang substansinya ekivalen. POJK 11/2022 manajemen risiko TI mensyaratkan BCP & DRP untuk bank dan IKNB. Bank Indonesia mensyaratkan BCMS untuk operator payment system. ISO 22301 jadi cara efisien membuktikan kepatuhan ini.

Berapa biaya audit sertifikasi ISO 22301?

Ditentukan badan sertifikasi berdasarkan mandays IAF MD 5. Variabel utama: jumlah karyawan dalam scope, jumlah lokasi (termasuk DR site), dan kompleksitas proses bisnis. Minta penawaran 2–3 badan sertifikasi untuk komparasi.

Apa output minimum BIA yang dapat dipertahankan?

BIA per proses bisnis kritis dengan minimum: deskripsi proses, dependensi (TI, people, supplier, lokasi), dampak finansial/regulator/reputasi/operasional, MTPD, RTO, RPO, dan sumber daya minimum untuk operasi pemulihan. BIA dengan justifikasi metodologi yang konsisten (mis. dampak per jam/hari) lebih kuat saat audit.

Berapa frekuensi exercise yang ideal?

ISO 22301 klausul 8.5 menuntut exercise & test pada interval terencana. Praktik baik: tabletop exercise per kuartal untuk skenario spesifik, simulasi penuh atau live test minimum sekali setahun untuk skenario kritis. Yang lebih penting daripada frekuensi: kualitas skenario, partisipasi cross-functional, dan tindak lanjut perbaikan pasca-exercise.

Apakah BCP organisasi kecil bisa sederhana?

Bisa, dan ISO 22301 sendiri mendukung pendekatan proporsional. Organisasi 30 karyawan dengan satu lokasi kantor dan layanan cloud-based dapat punya BCMS lebih ringkas dibanding bank multi-cabang. Yang krusial: BIA yang realistis, BCP yang executable (bukan template kosong), dan exercise yang menguji asumsi-asumsi penting.

Bagaimana ISO 22301 berinteraksi dengan ISO 27001?

ISO 27001 Annex A.5.29 (information security during disruption) dan A.5.30 (ICT readiness for business continuity) sangat selaras dengan ISO 22301. Banyak organisasi mengintegrasikan SMKB dan SMKI, satu BIA digunakan untuk kedua keperluan, satu siklus audit menutup keduanya. ISO 27031 menyediakan jembatan teknis yang lebih detail untuk kesiapan TI.

Awareness + Internal Auditor

Bangun Sistem Manajemen Kelangsungan Bisnis menuju ISO 22301:2019

Q: Apakah Neksus bisa langsung menerbitkan sertifikat ISO 22301?

Tidak. Sertifikat ISO 22301 hanya dapat diterbitkan badan sertifikasi terakreditasi (KAN di Indonesia, diakui internasional via IAF MLA). Neksus melatih hingga SMKB organisasi Anda siap diaudit; Anda memilih badan sertifikasi sendiri.

Pelatihan untuk BCM Manager, Risk Officer, IT Operations, Compliance, dan auditor internal, memahami klausul SMKB, melakukan Business Impact Analysis, menyusun BCP & rencana pemulihan, dan menjalankan audit internal sesuai ISO 19011.

Klausul utama: Klausul 4–10Klausul utama
Output kunci: BIA + BCP + Recovery PlanOutput kunci
Pendamping: ISO 22313:2020 panduanPendamping
Format: Inhouse, online, hybridFormat

Jawaban singkat

Pelatihan ISO 22301 Awareness + Internal Auditor membekali tim Anda memahami persyaratan SMKB, melakukan Business Impact Analysis, menyusun rencana kelangsungan bisnis, dan menjalankan audit internal sesuai ISO 19011. Neksus melatih hingga organisasi siap audit; badan sertifikasi terakreditasi KAN yang menyertifikasi dan menerbitkan sertifikat ISO 22301:2019.

Tentang Standar

Standar internasional untuk Sistem Manajemen Kelangsungan Bisnis

ISO 22301:2019 adalah standar internasional untuk Business Continuity Management System (BCMS / SMKB). Struktur klausul mengikuti Annex SL High Level Structure (klausul 4–10), selaras dengan ISO 9001, 14001, 27001, dan 37001. Inti ISO 22301 adalah Business Impact Analysis (BIA), analisis dampak gangguan terhadap proses bisnis kritis, penetapan Recovery Time Objective (RTO) dan Recovery Point Objective (RPO), strategi kelangsungan & pemulihan, prosedur penanggulangan insiden, serta exercise & test untuk memvalidasi rencana. ISO 22301 jadi semakin relevan setelah pengalaman pandemi, gangguan supply chain, dan insiden siber masif. Banyak regulator finansial (mis. OJK) mengaitkan kebutuhan BCMS dengan POJK manajemen risiko TI.

BIA adalah pondasi, tanpa BIA yang valid, RTO/RPO jadi tebakan
Klausul 8.5, exercise & test wajib dijalankan dan dievaluasi minimal sekali setahun
Klausul 8.2, analisis dampak harus mencakup people, process, technology, suppliers, dan locations
Selaras dengan POJK manajemen risiko TI dan ISO 27031 (IT readiness for business continuity)

Neksus melatih, badan sertifikasi yang menyertifikasi

Sertifikat ISO 22301 hanya dapat diterbitkan badan sertifikasi terakreditasi (KAN di Indonesia, diakui internasional via IAF MLA). Neksus menyiapkan SMKB organisasi Anda hingga lulus Stage 1 dan Stage 2, tanpa janji ‘sertifikasi pasti’.

BCMS ≠ Disaster Recovery Plan saja

Disaster Recovery Plan (DRP) fokus pada pemulihan TI. Business Continuity Plan (BCP) lebih luas: people, proses, tempat kerja alternatif, komunikasi krisis, supplier, dan stakeholder management. ISO 22301 menuntut BCMS holistik yang mencakup keduanya.

Exercise & test adalah pembuktian, bukan formalitas

Auditor ISO 22301 sangat memperhatikan kualitas exercise: skenario realistis, partisipasi lintas-fungsi, evaluasi pasca-exercise dengan tindakan perbaikan. Walkthrough tabletop tidak cukup untuk skenario kritis, perlu simulasi penuh atau live failover test.

Ruang Lingkup

Ruang lingkup SMKB yang biasa disertifikasi

Penentuan ruang lingkup BCMS menentukan kompleksitas BIA dan ekspektasi exercise.

Perbankan & jasa keuangan

Lingkup: core banking, payment processing, kantor cabang, customer service. Sering didorong POJK manajemen risiko TI dan Bank Indonesia.

Fintech & SaaS B2B

Lingkup: platform digital, customer support, vendor management. Sering jadi syarat enterprise customer dan vendor list audit.

Data center & cloud provider

Lingkup: infrastruktur dan layanan. RTO/RPO sangat ketat untuk tier 3-4 data center.

BUMN sektor utilitas (listrik, air, gas)

Lingkup: layanan publik kritis. Dampak gangguan luas, BIA sering mencakup dampak sosial-ekonomi, bukan hanya finansial.

Healthcare & rumah sakit

Lingkup: layanan klinis kritis (UGD, ICU, OK), rekam medis elektronik, supply medical. Toleransi gangguan rendah.

Manufaktur dengan supply chain global

Lingkup: produksi dan supply chain. Risiko geopolitik dan supplier concentration jadi fokus BIA.

Kesiapan Organisasi

Kesiapan organisasi sebelum mengundang badan sertifikasi

Kebijakan kelangsungan bisnis disahkan top management
Komitmen menjaga kelangsungan produk/layanan kunci, sumber daya yang dialokasikan, kewajiban kepatuhan.
Konteks BCMS & ruang lingkup tertulis
Klausul 4, analisis isu, pihak berkepentingan (regulator, klien, supplier), produk/layanan dalam lingkup, batas geografis.
Business Impact Analysis (BIA) selesai (klausul 8.2.2)
Identifikasi proses bisnis, prioritisasi berdasar dampak (finansial, regulator, reputasi, operasional), penetapan MTPD (Maximum Tolerable Period of Disruption), RTO, RPO, dan sumber daya minimum.
Risk Assessment untuk gangguan (klausul 8.2.3)
Identifikasi ancaman (siber, alam, supplier, pandemi, kehilangan personil kunci) dan kerentanan; prioritisasi berdasar likelihood × impact.
Strategi kelangsungan & pemulihan (klausul 8.3)
Pilihan strategi per skenario: tempat kerja alternatif, alternatif TI (failover, backup site), alternatif supplier, alternatif personil.
Business Continuity Plan (BCP) & rencana respons insiden (klausul 8.4)
Prosedur deteksi & eskalasi insiden, command structure, prosedur komunikasi internal/eksternal, prosedur pemulihan per fungsi/proses.
Exercise & test (klausul 8.5)
Program exercise tahunan: tabletop, walkthrough, simulasi penuh, atau live failover. Minimal satu exercise untuk skenario kritis sudah dijalankan dan dievaluasi.
Satu siklus audit internal + tinjauan manajemen
Audit internal sesuai ISO 19011, evaluasi hasil exercise, dan tinjauan manajemen (klausul 9.3) dengan input/output sesuai standar.

Alur Audit Sertifikasi

Tahap audit dari kontrak hingga sertifikat

Sesuai ISO/IEC 17021-1, siklus sertifikasi 3 tahun.

1
Aplikasi & kontrak
1–2 minggu
Submit ruang lingkup, jumlah karyawan dalam scope, jumlah lokasi (termasuk lokasi pemulihan), sektor IAF. Badan sertifikasi menghitung mandays per IAF MD 5.
2
Stage 1, Tinjauan dokumentasi SMKB
1–2 hari
Auditor memeriksa kebijakan, ruang lingkup, BIA, risk assessment, strategi kelangsungan, BCP, dokumentasi exercise & test, hasil audit internal, dan notulen tinjauan manajemen.
3
Stage 2, Audit implementasi
3–8 hari onsite
Auditor turun ke proses: wawancara BCM owner, tim TI, vendor management, communications. Pemeriksaan rekaman exercise (skenario, partisipasi, hasil, tindakan perbaikan), audit BCP per proses kritis.
4
Penutupan temuan & rekomendasi sertifikasi
30–90 hari
Major NC ditutup. Untuk BCMS, major NC sering terkait BIA yang superficial atau exercise hanya tabletop untuk skenario kritis tanpa simulasi nyata.
5
Penerbitan sertifikat (siklus 3 tahun)
,
Sertifikat mencantumkan ruang lingkup. Sering jadi syarat tender enterprise customer & sektor regulated (perbankan, asuransi).
6
Surveillance audit tahun 1 & 2
Tahunan, 2–5 hari
Fokus pada hasil exercise terbaru, insiden riil & response, perubahan dalam BIA (mis. layanan baru), dan tindak lanjut temuan sebelumnya.
7
Recertification audit (tahun 3)
Sebelum sertifikat habis
Audit menyeluruh ulang. Bila lulus, sertifikat diperpanjang 3 tahun lagi.

Internal Auditor (ISO 19011)

Apa yang dilakukan Internal Auditor ISO 22301, uji BCP, bukan baca dokumen saja

Pelatihan Internal Auditor mengikuti pedoman ISO 19011:2018, dengan fokus tambahan kompetensi BCM.

Apa yang dilakukan

Internal Auditor ISO 22301 memverifikasi kualitas BIA (apakah analisis dampak realistis), validitas RTO/RPO (apakah feasible dengan strategi yang dipilih), kelengkapan BCP per proses kritis (apakah prosedur dapat dijalankan), dan kualitas exercise (apakah skenario menantang, apakah evaluasi & tindakan perbaikan dijalankan). Auditor yang baik memeriksa rekaman exercise: berapa banyak peserta, apakah skenario realistis, temuan apa yang muncul, dan apakah temuan ditindaklanjuti. Independensi: auditor tidak mengaudit BCP fungsi yang ia kelola.

Kompetensi yang dibangun

Pemahaman klausul 4–10 ISO 22301 dan struktur Annex SL
Metode Business Impact Analysis: identifikasi proses, dampak finansial/regulator/reputasi, MTPD, RTO, RPO
Risk assessment untuk gangguan: skenario ancaman, kerentanan, prioritisasi
Audit strategi kelangsungan & pemulihan (alternatif TI, lokasi, supplier, personil)
Audit BCP per proses kritis: prosedur respons, command structure, komunikasi
Audit exercise & test: kualitas skenario, partisipasi, evaluasi, tindakan perbaikan
ISO 19011, independensi, objektivitas, evidence-based

Kategori Temuan

Major NC
Mis. BIA tidak ada atau superficial untuk proses kritis, exercise belum pernah dijalankan untuk skenario kritis, atau RTO tidak realistis dengan strategi yang dipilih.
Minor NC
Mis. dokumentasi exercise tidak lengkap, satu BCP belum update setelah perubahan organisasi, atau evaluasi pasca-exercise tidak menghasilkan tindakan perbaikan.
OFI
Mis. usulan peningkatan kompleksitas exercise dari tabletop ke simulasi, atau adopsi tool BCM (mis. Fusion, Riskonnect) untuk visibilitas.
Observation
Mis. catatan tentang ketergantungan tunggal supplier yang berpotensi jadi single point of failure.

Hasil yang Diharapkan

Hasil yang diharapkan dari tim Anda

BIA valid & dapat dipertahankan

Output kelas: BIA untuk proses kritis dengan MTPD, RTO, RPO yang dapat dipertahankan saat Stage 2.

Strategi kelangsungan & pemulihan terdokumentasi

Strategi per skenario gangguan (TI, lokasi, supplier, personil) dengan justifikasi feasibility.

BCP per proses kritis

BCP yang executable, prosedur jelas, peran ditugaskan, komunikasi terstruktur.

Program exercise tahunan

Jadwal exercise yang mencakup berbagai tingkat (tabletop → simulasi penuh) dengan minimal satu exercise simulasi penuh per tahun.

Auditor internal BCM aktif

4–8 auditor internal yang mampu mengaudit kualitas BIA, BCP, dan exercise.

Alat Bantu Keputusan

Awareness vs Internal Auditor vs Persiapan Lead Auditor (BCM)

Kriteria	Awareness	Internal Auditor ★	Persiapan Lead Auditor
Durasi tipikal	1 hari	3 hari	5 hari (IRCA-style)
Target peserta	Manager fungsi kritis + BCM team	Tim auditor internal & risk officer	Calon Lead Auditor / konsultan BCM
Output utama	Pemahaman BIA & BCP dasar	Checklist audit + simulasi audit + laporan temuan	Sertifikat individual dari skema pelatihan terdaftar
Dilakukan oleh	Vendor pelatihan (mis. Neksus)	Vendor pelatihan (mis. Neksus)	Lembaga pelatihan terdaftar (mis. BCI / DRI International / PECB)

Alur Kerja Sama dengan Neksus

Alur kerja sama dengan Neksus untuk ISO 22301

1
Kickoff & gap analysis
Minggu 1
Workshop 2 jam dengan BCM Manager/Risk: pemetaan proses kritis, BIA existing (jika ada), dan kesiapan dokumentasi.
2
Awareness 1 hari
Minggu 2
Untuk manager fungsi kritis: kenapa BCMS penting, apa peran mereka dalam BIA & BCP, dan ekspektasi exercise.
3
Workshop Internal Auditor 3 hari
Minggu 3–4
Klausul 4–10, metode BIA, audit strategi kelangsungan, audit BCP, dan audit exercise & test sesuai ISO 19011.
4
Mock audit + observasi exercise
Minggu 5
Fasilitator mendampingi tim auditor internal memeriksa BIA & BCP existing, lalu observasi satu exercise (idealnya simulasi penuh).
5
Tinjauan kesiapan & rekomendasi
Minggu 6
Laporan: gap yang tersisa, daftar tindakan prioritas, kesiapan dokumen untuk Stage 1.
6
Handoff ke badan sertifikasi
Minggu 7+
Paket dokumen Stage 1 siap. Pemilihan badan sertifikasi sepenuhnya keputusan organisasi.

Peran Sasaran

Peran sasaran

BCM Manager / Head of Business Continuity

Senior

Pemilik BCMS, kontak utama dengan badan sertifikasi.

Risk Officer / ERM Manager

Menghubungkan BCMS dengan kerangka manajemen risiko enterprise.

IT Operations & DRP Manager

Bertanggung jawab atas RTO/RPO TI dan exercise failover.

Process Owner Fungsi Kritis

Pemilik proses bisnis kritis yang mendokumentasikan BCP fungsi.

Internal Audit Team

4–8 auditor internal lintas-fungsi untuk independensi audit.

Communications & Crisis Communication Lead

Bertanggung jawab atas prosedur komunikasi internal/eksternal saat insiden.

Vendor & Supply Chain Management

Mengaudit kelangsungan supplier kritis dan mengelola alternatif.

Top Management

Mengarahkan kebijakan kelangsungan bisnis dan memimpin tinjauan manajemen.

Contoh Badan Sertifikasi Terakreditasi

Contoh badan sertifikasi terakreditasi untuk ISO 22301 di Indonesia

Daftar berikut bukan rujukan resmi Neksus. Pilihan badan sertifikasi sepenuhnya keputusan organisasi Anda.

BSI (British Standards Institution)

UKAS + KAN

Lembaga asal Inggris; pengarang awal BS 25999 yang mendahului ISO 22301.

TÜV Rheinland

DAkkS + KAN

Pengalaman audit BCMS untuk perbankan dan korporat multinasional.

SGS

UKAS / ANAB + KAN

Pengalaman audit BCMS lintas-sektor, finansial, telekomunikasi, manufaktur.

TÜV SÜD

DAkkS + KAN

Sering dipadukan dengan ISO 27001 (information security) untuk audit terintegrasi.

Bureau Veritas

COFRAC + KAN

Pengalaman audit BCMS di sektor energi dan jasa publik.

Sucofindo / TUV NORD Indonesia

KAN

Sering dipakai dalam tender BUMN/pemerintah dan ekosistem fintech OJK.

Penting — Transparansi

Badan-badan di atas adalah contoh organisasi terakreditasi (umumnya melalui KAN dan jaringan IAF MLA) yang dapat melakukan audit sertifikasi. Mereka bukan mitra resmi Neksus dan tidak menerima rujukan dari Neksus. Pemilihan badan sertifikasi sepenuhnya keputusan organisasi Anda berdasarkan ruang lingkup, sektor, dan ketentuan procurement internal.

Pola Hasil Tipikal

Pola hasil tipikal dari klien serupa

Konteks

Bank menengah dengan core banking + multi-channel digital, sertifikasi sebagai pemenuhan POJK manajemen risiko TI.

Intervensi

Awareness untuk manager fungsi + Internal Auditor 3 hari untuk 6 orang + observasi live failover test core banking ke DR site.

Hasil indikatif

Stage 1 lulus tanpa temuan kritis; Stage 2 menghasilkan 2 Minor NC (dokumentasi exercise vendor kritis) ditutup dalam 60 hari.

Konteks

SaaS B2B dengan tuntutan SOC 2 + ISO 22301 dari enterprise customer.

Intervensi

BIA lintas-tim engineering & customer support; Internal Auditor 3 hari fokus pada RTO/RPO platform & integrasi cloud failover.

Hasil indikatif

Sertifikat ISO 22301 terbit dalam 5 bulan; bersamaan dengan SOC 2 Type 2 memenuhi syarat onboarding enterprise customer Fortune 500.

Konteks

BUMN sektor utilitas dengan tuntutan kontinuitas layanan publik.

Intervensi

BIA mencakup dampak sosial-ekonomi gangguan layanan; pendampingan exercise simulasi besar dengan partisipasi cross-region.

Hasil indikatif

Sertifikat ISO 22301 terbit; peningkatan kesiapan terhadap gangguan musim hujan & bencana alam terdokumentasi.

Informasi Procurement

Informasi procurement

Format kontrak
Inhouse training, program berkelanjutan, atau paket terintegrasi awareness + Internal Auditor + observasi exercise.
Lokasi
Onsite di lokasi klien (Jabodetabek tanpa biaya transport tambahan), regional onsite, atau live online.
Bahasa pengantar
Bahasa Indonesia atau bilingual ID/EN.
Materi & sertifikat peserta
Modul, handout, template BIA, template BCP, checklist audit, sertifikat partisipasi Neksus.
Dokumentasi pajak
Faktur pajak PPN, kwitansi, BAST. Dukungan e-procurement BUMN/pemerintah tersedia.
Termin pembayaran
DP 30% saat kontrak, pelunasan 70% setelah pelatihan.
Pendampingan exercise design opsional
Skema terpisah, berbasis manday: desain skenario exercise yang realistis dan evaluasi pasca-exercise.

Pertanyaan Umum

Diskusikan kesiapan ISO 22301:2019 untuk organisasi Anda

Kirim ruang lingkup BCMS dan target jadwal sertifikasi. Tim Neksus mempelajari konteks Anda dan menyiapkan rancangan program dalam 2 hari kerja.

Awareness, Internal Auditor, dan observasi exercise yang nyata
Fasilitator dengan latar belakang BCM Manager dan audit BCMS
Materi mencakup penyelarasan dengan POJK manajemen risiko TI
Handoff terstruktur ke badan sertifikasi pilihan Anda

Bangun Sistem Manajemen Kelangsungan Bisnis menuju ISO 22301:2019

Standar internasional untuk Sistem Manajemen Kelangsungan Bisnis

Ruang lingkup SMKB yang biasa disertifikasi

Kesiapan organisasi sebelum mengundang badan sertifikasi

Tahap audit dari kontrak hingga sertifikat

Aplikasi & kontrak

Stage 1, Tinjauan dokumentasi SMKB

Stage 2, Audit implementasi

Penutupan temuan & rekomendasi sertifikasi

Penerbitan sertifikat (siklus 3 tahun)

Surveillance audit tahun 1 & 2

Recertification audit (tahun 3)

Apa yang dilakukan Internal Auditor ISO 22301, uji BCP, bukan baca dokumen saja

Hasil yang diharapkan dari tim Anda

Awareness vs Internal Auditor vs Persiapan Lead Auditor (BCM)

Alur kerja sama dengan Neksus untuk ISO 22301

Kickoff & gap analysis

Awareness 1 hari

Workshop Internal Auditor 3 hari

Mock audit + observasi exercise

Tinjauan kesiapan & rekomendasi

Handoff ke badan sertifikasi

Peran sasaran

Contoh badan sertifikasi terakreditasi untuk ISO 22301 di Indonesia

Topik pelatihan Neksus yang menguatkan SMKB ISO 22301

Kesadaran Keamanan Siber Karyawan

Komunikasi & Presentasi Eksekutif

Manajemen Perubahan Organisasi

Pola hasil tipikal dari klien serupa

Informasi procurement

Pertanyaan Umum

Apakah Neksus bisa langsung menerbitkan sertifikat ISO 22301?

Apa beda ISO 22301 dengan Disaster Recovery Plan (DRP)?

Berapa lama persiapan dari nol hingga sertifikat?

Apakah ISO 22301 wajib untuk industri tertentu?

Berapa biaya audit sertifikasi ISO 22301?

Apa output minimum BIA yang dapat dipertahankan?

Berapa frekuensi exercise yang ideal?

Apakah BCP organisasi kecil bisa sederhana?

Bagaimana ISO 22301 berinteraksi dengan ISO 27001?

Diskusikan kesiapan ISO 22301:2019 untuk organisasi Anda