與許多標準一樣,過渡(從BS 7799-2到ISO 27001)已不可避免,國際標準化組織(ISO)已開始準備ISO 25999以取代BS 22301。 在2011年度,草案版本與公眾共享,並在年中2012作為ISO 22301社會保障 - 業務連續性管理系統發布。
ISO 22301規定了文檔化管理系統的要求,以確保在發生中斷組織的事件時組織準備,響應和返回。
ISO 22301標準的一般特徵
- 適用於任何類型或規模的行業或部門
- 為系統化方法提供久經考驗的框架
- 提供滿足客戶需求,內部需求,法規,法規和法規要求的框架
- 確定業務連續性的標準要求
- 儘管存在中斷,仍可提供持續滿足業務需求的模型
- 提供滿足定義要求的認證基礎
ISO 22301業務連續性管理系統標準概述
與業務連續性管理系統(ISMS)相關的標準的主要部分在以下文章編號下。
第4條:組織內容
第5條:領導
第6條:規劃
第7條:支持
第8條:運作
第9條:績效評估
第10條:改進
下面給出了每個關鍵活動的描述。
ISO 22301 Article 4:組織的內容
該標準的第一條與ISMS相關,包含用於確定組織結構,ISMS範圍和風險標準的指導性聲明。
這些陳述可以概括為;
- 組織,產品和服務的活動,與關聯方及關聯方的關係,
- 風險標準,識別可能導致風險的內部和外部因素,
- 風險承擔傾向(風險偏好)對有關各方造成毀滅性事件的潛在影響,
- ISMS和監管要求中相關方的需求和期望
- 適用於ISYS中包含的組織部件的性質和復雜性的範圍以及對ISYS的需求,
它包括對這些主題的定義和解釋的需要。
ISO 22301文章5:領導力
管理系統的安裝和維護需要由最高管理層授權的業務連續性管理系統領導者。 該領導者需要表現出對管理系統的持續承諾,其原因包括確定管理的組織目標,提供必要的資源和授權以及創建有效的可行環境。
業務連續性標準;
- 根據業務連續性目標制定政策和戰略,
- 確保資源可用,
- 利用領導和承諾作為激勵和賦權,
- 符合組織宗旨的業務連續性政策,包括承諾持續改進並向組織內的相關方宣布,
- 執行績效評估,並在必要的授權下提交給高級管理層,
它代表的責任。
ISO 22301 Article 6:Planning
在運營業務連續性管理系統的同時,準備了包括建立管理系統的方法的計劃,並根據該計劃採取行動。 主要目標是實現業務連續性目標。 在計劃實現業務連續性目標時,組織應確定以下內容;
- 誰將負責,
- 他會做什麼
- 你需要什麼資源,
- 什麼時候完成,
- 如何評估結果。
ISO 22301 Article 7:支持
這一部分解釋了業務連續性管理系統的安裝,執行,維護和開發所需的所有資源,能力,意識,溝通和文檔內容及其方法。
ISO 22301 Article 8:Operation
在“運營”部分,根據確定的範圍和政策,解釋了建立業務連續性管理系統的階段,其中包括由授權人員負責的組織部分;
步驟如下;
- 確定標準並決定文件和計劃。
- 業務影響分析和風險評估研究應包括,
- 在分析和評估後建立業務連續性戰略,
- 根據業務連續性策略準備業務連續性過程和說明,
- 建立一個通知事件響應結構並與之通信的結構,
- 制定業務連續性計劃,了解如何在時間緊迫的業務中斷時採取措施,
- 制定計劃以確保在事件發生之前返回該州的活動的連續性,
- 通過練習和測試控制與業務連續性目標建立的這些連續性程序的合規性。
ISO 22301 Article 9:性能評估
在本節中,包括監測,測量,分析和評估階段,根據第6條中的標準確定和測量評估計劃,對已建立的管理系統的適用性和有效性的控制進行了解釋。
檢查整個管理系統的操作和有效性,而不是操作階段; 程序,內部審計和管理評審以及執行績效評估的方法。
ISO 22301 Article 10:改進
當在已建立和運營的業務連續性管理系統中出現不合格時,必須糾正和控制糾正措施和不合格。 本節介紹糾正措施和持續改進的要求,以提高管理系統的有效性。 因此,不斷測試所實現的目標和管理系統的效率並進行改進。