快速通道

Fast track
在线申请体系认证咨询 在线申请管理咨询 在线留言
电话:010-83666599
传真:010-83666599

ISO27001 信息安全管理体系

您的当前位置: 首页 >> 认证咨询 >> ISO27001 信息安全管理体系

ISO22301:2019业务连续性标准简介

添加时间:2022-03-01 15:04:12

    由于自然灾害及人为事故频繁发生,企业业务运作的不确定性和风险大幅度增加,而加强企业的业务连续性管理则成为打造最佳企业应急预案的必然选择。在20世纪60年代末,计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施,这是最早体现BCM思想的方法。20世纪80年代至90年代初,为了应对自然灾害和恐怖主义而制订的应急计划和灾难恢复很大程度上依靠信息技术。随着时间的推移人们逐渐意识到应急计划和灾难恢复应该成为业务主导的过程并包含应对各类型的灾害,BCM作为一门学科逐渐得到社会的重视。尤其是在2001年9.11美国恐怖事件后,BCM在应对灾难时的作用更是得到了充分的验证,得到了长足的发展。业务连续性管理已经引起了全球的关注,无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性事故发生,为此各国均出台了各自的BCM标准以协助企业应对类似灾难。
    为了满足企业对统一的业务连续性管理国际标准的需求,2012年5月,国际标准化组织ISO公共安全技术委员会(ISO/TC223)依据英国标准协会(BSI)2007年制定的BS25999标准,正式制定和颁布了ISO 22301:2012《公共安全—业务连续性管理体系-要求》标准。目前,该标准已经更新为ISO 22301:2019,对应的中文版标准是GB/T 30146。
    IS022301业务连续性管理体系(BusinessContinuityManagement,简称:BCM)通过确定业务范围、评估风险、业务连续性管理战略、业务连续性目标、开发计划、教育训练、演习、测试、审查和持续改进等管理活动,使企业对潜在的灾难和威胁加以辨别分析,帮助企业制定一套一体化的管理流程计划和有效的管理机制来阻止或抵消这些威胁,减少中断事件发生的可能性,提升中断事件发生时准备、响应和恢复能力,减少灾难事件给企业带来损失。
    ISO 22301系列标准目前已发布的标准包括:
  • ISO 22301:2019业务连续性管理体系--要求,这是企业认证的唯一标准;
  • ISO 22313:2020业务连续性管理体系--应用指南
  • ISO 22316:2017组织韧性--原则与特征(目前正处于每5年修订一次的评估周期中);
  • ISO/TS 22317:2021业务影响分析指南;
  • ISO/TS 22318:2021供应链连续性指南;
  • ISO/TS 22330:2018业务连续性中人员相关的指南(已完成评估、待修订);
  • ISO/TS 22331:2018业务连续性策略指南(已完成评估待修订);
  • ISO/TS 22332:2021业务连续性计划和程序编制指南。
ISO22301业务连续性管理的实施包含12个步骤:
1.调研分析
    通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,确定业务持续性管理(BCM)过程或功能的需求。
2.业务影响分析
    确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
3.风险评估
    确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
4.容灾策略制定
    结合以上各阶段的分析成果、以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
5.容灾技术方案设计
    根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
6.容灾设施资源及IT系统建设整改
    对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,最终达到容灾的实际要求。
7.业务连续性计划及灾难恢复计划的制定与维护
    业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
8.容灾系统运行维护
    运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
9.演练及测试
    对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和 BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证 BCP的效率,并使用简明的语言报告验证的结果。
10.内部审核
    培训内审员,进行内部审核,查找分析问题,优化改进BCM体系,评估认证审核差距、并做好迎审准备。
11.认证审核
    迎接认证机构(如英国BSI、挪威DNV、中国质量认证中心CQC等)的现场审核,整改审核中发现的不符合项,提交整改报告,获得认证证书。
12.证书保持
    认证证书有效期3年。与其他ISO证书一样,期间需要每年做一次监督审核,保持证书的持续有效。证书3年到期后进行再认证,进入下一个3年有效周期。
版权所有:北京安测国际标准技术有限公司  技术支持:盘古网络[定制网站] ICP备案号:京ICP备14028636号-1