ISO 22301咨询

什么是ISO 22301?

业务连续性管理系统(BCMS)确保组织’在灾难后恢复其基础设施和运营的弹力。 ISO 22301定义组织必须适用以证明BCMS的要求。符合ISO标准,组织需要记录他们的;开发,实施,运营,监控和审查,维护和持续改进其BCM。完整的BCMS需要文档,就像ISM一样。这些文件包括:

  • 风险评估(可以与ISO 27001或其他管理系统相同。
  • 业务影响分析。
  • 恢复策略分析。
  • 恢复计划。
  • 指标。
  • 练习和结果。
  • 审计结果。

它为您提供了什么?

认证的BCMS为您提供了一个明确定义的范围管理系统使管理层可以清楚地了解所执行的活动(函数),这些活动支持或支持这些活动以及在停电时允许有效和成本效率恢复的政策和程序。 BCMS提供明确定义了恢复要求其中包括识别和优先考虑所有活动及其启用资源。它确保了明确定义和预先批准的运营和基础设施恢复的政策和程序因此,组织可以在可接受的时间框架内恢复运营以及可接受的成本。简而言之,经过认证的BCMS提供清除恢复指导因此,组织可以继续为其客户提供服务,以便在颠覆事件之后的可接受时间内为客户提供服务。

It’确实如此,如果组织具有无限时间和无限制的资金,则任何组织都可以从任何灾难中恢复过来。具有可行恢复能力的关键点是:

  • 完全了解所执行的所有功能以及必须恢复它们的快速或缓慢在失去任何给定的函数之前变得不可接受。
  • 了解每个功能所需的所有资源。资源包括人员,IT系统和数据相互依赖。
  • 了解将在灾难发生时使用的恢复策略减少,希望消除混乱。另外,如果你确切地知道你在哪里’重新定位运营,你将首先到达那里。记住–区域灾难将影响该地区的其他灾难,如果您知道何时宣布已预先批准的灾难和实施策略,则从其他人更快地走出起始块。
  • 拥有包括预先批准的决定,策略和程序的计划允许a从正常操作转变为危机反应没有混乱。
  • 预先批准的决定和战略的另一个福利允许灾害代表团允许灾难发生“nornal”高管在那里批准回复和恢复活动。
  • 证明是你在他们身边的客户,无论发生什么。它灌输对组织的信心’■提供基本服务的能力。

我们该怎么做呢?

与ISO 27001不同,由信息驱动,ISO 22301由执行的活动驱动。项目范围是通过与您的对话决定,以确定将包含哪些设施,部门或其他子组织将包含在BCM中。

业务连续性计划(BCP)提供;政策,评估,要求,优先事项,策略和程序所需的有效和成本效益的组织恢复所需的必要条件’S活动(功能)。完整的BC管理系统(BCMS)包括;有效性,培训和练习和持续监测方法和指标。 ISO 22301接合分为三(3)个阶段,每个阶段都有其自身可交付成果,如下所示。

第一阶段侧重于分析恢复要求,第二阶段是我们制定计划本身的地方。分析阶段假定该组织具有当前的风险评估。如果不是这种情况,我们将使用中心点’S ISO 27001风险评估过程.  

总会有至少两个计划–恢复计划和行使计划。恢复计划有2口味;一个恢复计划,专注于IT基础架构和专注于恢复业务职能的恢复计划。由Pivot Point安全性使用的IT业务连续性计划(ITBCP)通常被称为灾难恢复计划(DRP)。这是其以中心/特定的恢复计划。 ITBCP仅解决IT基础架构的恢复以及在数据中心(例如帮助台,系统工程)中进行的函数。功能BCP提供了项目范围内的所有功能的恢复,几乎总是包括数据中心。

一旦开发并批准项目中的所有计划,我们将编写ISO标准所需的文件来管理BCM。培训计划将涉及恢复相关角色的人员能力。角色将包括:执行保荐人和执行响应小组,组织恢复协调员,划分恢复代表,恢复团队成员。 BCMS指标和审计计划将基于一组核心要求,但将根据每个客户量身定制。