ISO 27001课程考试和获得
欧盟GDPR课程考试免费
限时优惠结束2023年3月30日

什么是iso22301 ?

什么是iso22301 ?- 27001学院
Iso 22301模板
什么是iso22301 ?- 27001学院
iso27001课程
什么是iso22301 ?- 27001学院
免费的材料

更新2022-05-07。

什么是iso22301 ?

本标准的全称是ISO 22301:2019安全性和弹性-业务连续性管理系统-要求。它是ISO (international Organization for Standardization)发布的国际标准,用于描述如何管理组织中的业务连续性。本标准由领先的业务连续性专家编写,为管理组织中的业务连续性提供了最佳框架。

本标准区别于其他业务连续性框架/标准的特征之一是,组织可以获得认可的认证机构的认证,因此能够向其客户、合作伙伴、所有者和其他利益相关者证明其合规性。

ISO 22301将业务连续性管理定义为公司整体风险管理的一部分,部分与信息安全管理和IT管理重叠。实施和认证对于向合作伙伴、所有者和其他利益相关者证明公司的合规性非常有用。ISO 22301还可以帮助您获得新客户,使其更容易证明您是行业中最好的。

与ISO 22301:2012的关系

ISO 22301的最新修订版于2019年10月发布。ISO 22301:2019取代了基于英国标准BS 25999-2制定的ISO 22301:2012。2019年的修订不会带来大的变化,但它肯定会带来更多的灵活性和更少的规定性,为组织及其客户增加更多的价值。

iso22301业务连续性标准的好处是什么?

通过实施这一业务连续性标准,公司可以获得四个基本的业务利益:

遵守法律规定。越来越多的国家制定了要求遵守业务连续性的法律法规。除了政府利益之外,私营企业(如金融机构)也要求其供应商和合作伙伴实施业务连续性解决方案。好消息是,ISO 22301提供了一个完善的框架和方法来支持遵守这些要求——通过减少管理和操作工作,以及要支付的罚款数量。阅读文章信息安全和业务连续性方面的法律法规查看全球业务连续性立法清单。

获得营销优势。如果您的公司通过了ISO 22301认证,而您的竞争对手没有,那么当涉及到对保持运营连续性以及产品和服务交付敏感的客户时,您将比他们更有优势。必威手机版app此外,这样的认证可以提高你的声誉,帮助你获得新客户,使它更容易证明你是行业中最好的,从而增加市场份额和更高的利润。

减少对个人的依赖。通常情况下,一家公司的关键活动都依赖于少数难以替代的人——当这些人离开公司时,这种情况就会痛苦地表现出来。意识到这一点的高管可以利用业务连续性实践来大大减少对这些人的依赖(要么是因为实施了替代解决方案,要么是通过记录相关任务),这意味着当有人离开组织时,您可以避免许多令人头痛的问题。

防止大规模破坏。在一个实时服务和交易的世界里,每分钟的停机服务都要花钱——一大笔钱。而且,即使您的业务对短时间的不可用性不那么敏感,破坏性事件也会让您付出代价。通过实施符合ISO 22301的业务连续性实践,您将拥有一种保险策略。无论是通过防止破坏性事件的发生,还是通过能够更快地恢复-您的公司将节省资金。而且,最重要的是,您在ISO 22301上的投资远远小于您将实现的成本节约。

谁能实施这个标准?

任何类型的组织,无论大小、盈利或非营利、私人或公共,都可以从ISO 22301中受益。该标准被设想为适用于任何规模或类型的组织。

ISO 22301的实施和认证对于任何法律要求从事应急计划的公司都是必不可少的,包括能源、交通、卫生和基本公共服务。

ISO 22301是如何工作的?

ISO 22301的重点是确保在破坏性事件(如自然灾害、人为灾害等)发生后,业务交付产品和服务的连续性。必威手机版app要做到这一点,需要查明业务连续性优先级(通过业务影响分析),哪些潜在的破坏性事件会影响业务操作(通过风险评估),确定需要采取哪些措施来防止此类事件发生,然后确定如何在尽可能短的时间内恢复最低限度的正常操作(即降低风险或处理风险)。因此,ISO 22301的主要理念是基于分析影响和管理风险:找出哪些活动更重要,哪些风险会影响它们,然后系统地处理这些风险。

要实施的战略和解决方案通常以政策、程序和技术/物理实施(例如,设施、软件和设备)的形式实施。在大多数情况下,组织不具备所有的设施、硬件和软件——因此,ISO 22301的实施不仅涉及制定防止破坏性事件所需的组织规则(即编写文件),而且还涉及制定计划和分配技术和其他资源,以使业务活动的连续性和恢复成为可能。由于这样的实施将需要管理许多政策、程序、人员、资产等,ISO 22301描述了如何将所有这些要素整合到业务连续性管理体系(BCMS)中。

业务连续性如何融入整体管理?

业务连续性是公司整体风险管理的一部分,其领域与信息安全管理和IT管理重叠。

什么是iso22301 ?基础知识,如何遵守,认证等

注:风险管理是企业整体管理的一部分。

标准中使用的基本术语

  • 业务连续性管理系统(BCMS)—确保业务连续性得到计划、实施、维护和持续改进的整体管理系统的一部分
  • 恢复时间目标(RTO) -预先确定的产品、服务或活动必须恢复或资源必须恢复的时间
  • 恢复点目标(RPO)——最大数据丢失,即需要恢复的活动使用的数据量最小
  • 最低业务连续性目标(MBCO) -一个组织在恢复其业务运营后,为实现其既定目标所需的最低水平的服务或产品必威手机版app

ISO 22301的内容

ISO 22301分为11个章节或子句。第0到3条是介绍性的(不是强制执行的),而7个条款(从4到10)是关键条款,是强制性的——这意味着如果组织想要符合标准,它们的所有要求都必须在组织中实现。

根据国际标准化组织ISO/IEC指令附件SL, ISO 22301的章节标题与ISO 27001:2013、ISO 9001:2015和其他管理标准的章节标题相同,使这些标准更容易集成。

ISO 22301要求

让我们来看看ISO 22301的要求,这些要求在第4 - 10条中给出。

第4条款-上下文:组织必须了解他们是谁,他们在做什么,以及他们必须维持哪些过程和输出。他们还必须确定谁与业务的连续性有利害关系,即有关各方,以及他们的期望是什么。此外,必须确定并记录法律和法规要求。根据这些信息,组织建立并记录其ISO 22301范围。在确定范围时,必须考虑组织的位置、使命、目标、产品和服务。必威手机版app

第5条-领导力:为了成功实施ISO 22301,组织需要最高管理层的持续支持和领导。为了表明他们的承诺,组织的最高管理层应该在组织内部和与相关方制定、记录和沟通政策,同时提供资源,指导和领导员工为ISO 22301的有效性做出贡献。为此,组织角色必须清楚地定义为每个角色的职责、权限和能力。

第6条-规划:为了计划业务连续性,组织必须了解可能发生的中断以及这些事件如何影响业务。组织必须考虑风险的后果,它们的影响,以及机会的好处,并计划行动来解决它们。该标准还要求组织设定可测量的BCMS目标,以保证最低限度的可行产品或服务,以及符合任何法律或法规要求。必威手机版app这些目标必须被记录和传达。为了实现这些目标,组织必须在一个时间框架内制定行动计划,并分配职责。

第7条-支持:没有资源和支持,任何组织都无法前进。组织必须考虑资源需求,并提供资源以满足其BCMS目标。这些资源可能包括基础设施、技术、通信、能力、意识和文件化信息。该标准要求明确角色的能力证明文件,如培训记录、教育和专业背景。必威手机登录网站

第8条-操作:本部分描述了为满足BCMS目标和恢复组织正常运行方式而应执行的活动。主要活动包括:

  • 执行并记录业务影响分析(BIA)和风险评估。BIA应确定中断所造成的运营、法律和财务影响。在进行BIA时,中断的持续时间是确定影响以及随后的恢复时间的重要输入。风险评估使组织能够分析其活动和资源中断的可能性。在本文中了解更多关于BIA的信息如何根据iso22301实施业务影响分析
  • 制定业务连续性策略公司被要求利用从风险评估和业务影响分析中收集的信息制定连续性战略。业务连续性战略本质上是指制定备选方案和选择最适当的行动,包括缓解、应对和恢复。您可以在本文中了解更多关于恢复的重要性业务连续性策略能帮你省钱吗?
  • 建立和实施业务连续性程序。要求组织根据其战略的产出编制业务连续性计划和程序。计划和程序应该有明确和具体的步骤来处理中断,明确的角色和资源需求,以及有组织的沟通。有关开发计划和程序的更多信息,请阅读本文业务连续性计划:如何根据ISO 22301构建
  • 执行和测试业务连续性程序.ISO 22301要求定期测试计划和程序,以确定它们是否适当和有效。必须审查测试结果,并报告建议和改进。这篇文章如何根据iso22301进行业务连续性演习和测试解释更多关于锻炼和测试的目的和方法,以及如何准备和包括谁。

第9条-绩效评估:组织需要考虑绩效指标和度量标准;监测、测量、分析和评价它们;然后记录结果。应进行有计划的内部审核,以衡量符合标准和组织自身要求的程度。审核程序和结果必须形成文件。最后,最高管理者应在计划的时间间隔内评审BCMS的有效性,并将这些评审的结果记录下来。

第10条-改进:组织应具有处理不符合的方法,包括根本原因和纠正措施,以及持续改进的策略。标准规定了评价纠正措施的文件化信息。组织需要考虑分析和评价的结果,以及管理评审的输出,以确定是否存在需求或机会。

如何实施iso22301 ?

要在您的公司实施ISO 22301,您必须遵循这些17个步骤

1)管理支持
2)需求的识别
3)业务连续性政策和目标
4)管理体系的支持文件
5)风险评估与治疗
6)业务影响分析
7)业务连续性战略
8)业务连续性计划
9)培必威手机登录网站训和意识
10)文档维护
11)锻炼和测试
12)事后回顾
13)与相关方沟通
14)测量与评价
15)内部审计
16)纠正措施
17)管理评审

有关这些步骤的更详细说明,请参见ISO 22301实施项目清单

强制性的文件

如果组织希望实施本标准,则必须提供以下文档:

  • 适用的法律、法规和其他要求的清单
  • BCMS的范围
  • 业务连续性政策
  • 业务连续性目标
  • 人员能力的证明
  • 与相关方沟通的程序
  • 与相关方沟通的记录
  • 中断细节、采取的行动和作出的决定的记录
  • 事件响应结构业务连续性计划
  • 恢复过程
  • 监视和测量的结果
  • 内部审核结果
  • 管理评审结果
  • 纠正措施的结果

要了解有关强制性文件的更多详细信息,请免费下载ISO 22301强制性文件清单(PDF)

ISO 22301认证

ISO 22301证书是公司满足标准要求的证明,也是公司对业务连续性的承诺。但这是强制性的吗?与所有ISO标准一样,ISO 22301认证是一种自愿行为,仍然是组织的选择。然而,在许多国家,对于一些商业部门,有ISO 22301认证的规定。能源、金融、公共交通和物流等行业都有这样的例子。此外,如前所述,公司在评估后实施并获得第三方认证有许多好处。

每个实施ISO 22301的组织,无论大小,都可以向认证机构申请评估。但是一个组织如何获得ISO 22301认证呢?首先,您必须选择一个认证机构。选择一个认可的认证机构是很重要的,因为认可机构有独立认证机构的规则,而且是国际公认的。认证机构将要求您发送有关您的组织的信息,例如员工人数和核心流程,以便他们可以根据审核持续时间(以人为单位)提交报价。一旦您接受了一个报价并与认证机构签订了合同,您的审核程序就开始了。

差距分析和两个认证审核阶段

在正式审核计划之前,有一个可选的预审核,称为差距分析,认证机构将仔细研究现有的业务连续性管理体系,并将其与ISO 22301要求进行比较。通过在开始正式评估之前确定那些需要更多努力的领域,可以节省时间和金钱。

认证审核分两个阶段进行。在第一阶段,审核组检查您是否符合ISO 22301的要求,例如强制性文件和记录,并检查您的总体执行情况。它在ISO 22301检查清单的背景下审查您当前的业务连续性管理。如果审计小组发现差异,它将允许你消除它们。如果符合所有要求,审核员将完成正式认证准备审核。

一旦您通过认证审核,您将获得有效期为三年的ISO 22301证书。在接下来的两年里,你们将接受监督审计。监视所需时间较短,一般为认证审核时间的一半。在第三年结束时,您必须在您的认证有效期结束前进行重新认证审核。请记住,在每次审核之前,无论是认证、监督还是再认证,主审核员都会向您发送一份审核计划,其中包括审核标准的哪些元素以及何时审核。每次审计结束时,提交审计报告。它必须至少包括一份被审计领域的符合性声明。如果发现不符合要求,你们必须采取纠正措施来维护你们的证书。

获得iso22301认证需要多长时间?

根据组织和业务的规模和复杂性,有效实现的持续时间各不相同。它还取决于组织的资源和努力。一般而言,对于合规要求较少的中小型公司,可能需要3至6个月的时间。对于有许多场所的大型组织,或必须遵守许多法规的公司,这一期限可能是一年甚至更长(如跨国能源公司或公共部门卫生机构)。但无论哪种类型的公司,有一个良好和明确的项目计划建立ISO 22301是必不可少的。在此时间范围内,您还需要在认证机构颁发证书之前考虑认证审核期。

相关标准

其他有助于实现业务连续性的标准有:

ISO/IEC 27031 -业务连续性信息和通信技术准备指南
ISO 22313:社会安全——业务连续性管理体系——指南
PAS 200 -危机管理-指导和良好实践
PD 25666 -连续性和应急方案的实施和测试指南
PD 25111 -业务连续性的人力方面指南
ISO/IEC 24762 -信息和通信技术灾难恢复服务指南
ISO/PAS 22399 -事件准备和运营连续性管理指南
ISO/IEC 27001 -信息安全管理系统-要求

要轻松有效地实现ISO 22301,请使用此指南ISO 22301文档工具包

Advisera Dejan Kosutic
作者
德扬Kosutic
网络安全/信息安全领域的领先专家,以及多本书、文章、网络研讨会和课程的作者。作为顶级专家,Dejan创立了Advisera,帮助中小企业获得所需的资源,以通过ISO 27001和其他ISO标准认证。他认为,使ISO标准易于理解和使用为Advisera的客户创造了竞争优势。

作为ISO 27001专家,Dejan被寻找来帮助公司找到获得认证的最佳方式,通过消除开销和调整实施以适应其规模和行业的具体情况。
与Dejan联系: