• 0

    ISO 22301是什么?

    ISO 22301是什么?- 27001学院
    ISO 22301模板
    ISO 22301是什么?- 27001学院
    ISO 27001的课程
    ISO 22301是什么?- 27001学院
    免费的材料

    更新2022-05-07。

    ISO 22301是什么?

    本标准的全称是ISO 22301:2019安全和弹性业务连续性管理系统要求。它是由ISO (international Organization for Standardization)发布的国际标准,描述了如何管理一个组织的业务连续性。该标准由领先的业务连续性专家编写,为组织中管理业务连续性提供了最佳框架。

    该标准与其他业务连续性框架/标准的区别之一是,组织可以通过认可的认证机构进行认证,因此能够向其客户、合作伙伴、所有者和其他涉众证明其遵从性。

    ISO 22301将业务连续性管理定义为公司整体风险管理的一部分,与信息安全管理和IT管理部分重叠。实施和认证有助于向合作伙伴、所有者和其他利益相关者证明公司的合规性。ISO 22301还可以帮助您获得新客户,使其更容易证明您是行业中最好的之一。

    与ISO 22301:2012的关系

    ISO 22301的最新修订版于2019年10月发布。ISO 22301:2019取代了基于英国标准BS 25999-2开发的ISO 22301:2012。2019年的修订不会带来太大的变化,但它肯定会带来更多的灵活性和更少的规范性,为组织和客户增加更多的价值。

    iso22301 -业务连续性标准的好处是什么?

    公司实施这一业务连续性标准可获得四项基本业务效益:

    遵守法律要求。越来越多的国家定义了要求遵守业务连续性的法律和法规。除了政府利益,私营企业(如金融机构)也要求其供应商和合作伙伴实施业务连续性解决方案。好消息是,ISO 22301提供了一个完善的框架和方法来支持遵守这些要求——通过减少管理和操作的工作量,以及要支付的罚款数量。读这篇文章信息安全和业务连续性方面的法律法规浏览全球业务连续性法例一览表。

    实现营销的优势。如果你的公司是ISO 22301认证,而你的竞争对手没有,当涉及到客户时,你将比他们有优势,因为客户对保持他们的经营连续性、产品和服务的交付很敏感。必威手机版app此外,这样的认证可以提高你的声誉,帮助你获得新客户,通过更容易地证明你是行业中最好的,从而增加市场份额和更高的利润。

    减少对个人的依赖。通常情况下,公司的关键活动依赖于少数难以取代的人——当这些人离开公司时,痛苦地证明了这种情况。意识到这一点的执行人员可以利用业务连续性实践大大减少对这些个人的依赖(要么是因为实现了替换解决方案,要么是通过记录相关任务),这意味着当有人离开组织时,您可以避免许多令人头疼的问题。

    防止大规模的破坏。在一个实时服务和交易的世界里,每一分钟的停机服务都要花钱——很多钱。而且,即使您的业务对小时间的不可用性不那么敏感,破坏性事件也会让您付出代价。通过实施符合ISO 22301的业务连续性实践,您将拥有某种保险政策。无论是通过防止破坏性事件的发生,还是通过能够更快地恢复,您的公司都将节省资金。而且,最好的事情是,你在ISO 22301的投资远远小于你将获得的成本节省。

    谁能实现这个标准?

    任何类型的组织,无论是大的或小的,营利性的或非营利性的,私营的或公共的,都可以从ISO 22301中受益。该标准被认为适用于任何规模或类型的组织。

    ISO 22301的实施和认证对于任何法律要求参与应急计划的公司(包括能源、交通、卫生和基本公共服务)都是至关重要的。

    iso22301是如何工作的?

    ISO 22301的重点是确保在破坏性事件(如自然灾害、人为灾害等)发生后,企业提供产品和服务的连续性。必威手机版app这是通过找出业务连续性优先级(通过业务影响分析)、哪些潜在的破坏性事件会影响业务操作(通过风险评估)、确定需要做什么来防止此类事件的发生,然后确定如何在尽可能短的时间内恢复最小和正常的操作(即风险减轻或风险处理)来实现的。因此,ISO 22301的主要理念是基于分析影响和管理风险:找出哪些活动更重要,哪些风险会影响它们,然后系统地处理这些风险。

    要实施的战略和解决方案通常采取政策、程序和技术/物理实施(例如,设施、软件和设备)的形式。在大多数情况下,组织没有所有的设施、硬件和软件到位——因此,ISO 22301的实施将不仅涉及为防止破坏性事件所需要的组织规则(即编写文件),还涉及制定计划和分配技术和其他资源,以使业务活动的连续性和恢复成为可能。因为这样的实施将需要大量的政策、程序、人员、资产等进行管理,ISO 22301描述了如何将所有这些元素整合到业务连续性管理系统(BCMS)中。

    业务连续性如何融入整体管理?

    业务连续性是公司整体风险管理的一部分,其领域与信息安全管理和IT管理重叠。

    ISO 22301是什么?基础知识,如何遵守,认证等

    注:风险管理是企业整体管理的一部分。

    标准中使用的基本术语

    • 业务连续性管理系统(BCMS)——确保业务连续性得到规划、实施、维护和持续改进的整体管理系统的一部分
    • 恢复时间目标(RTO) -预先确定的产品、服务或活动必须恢复或资源必须恢复的时间
    • 恢复点目标(RPO)——最大数据丢失,即需要恢复的活动使用的最小数据量
    • 最低业务连续性目标(MBCO) -组织在恢复业务运营后,为实现其确定的目标所需要生产的最低服务或产品水平必威手机版app

    ISO 22301的内容

    ISO 22301分为11个章节或子句。第0条到第3条是介绍性的(对于实现来说不是强制性的),而7条(从4条到10条)是关键的条款,是强制性的——这意味着如果一个组织想要符合标准,它们的所有要求都必须在该组织中实现。

    根据国际标准化组织ISO/IEC指令附件SL, ISO 22301中的章节标题与ISO 27001:2013、ISO 9001:2015和其他管理标准的章节标题相同,使这些标准更容易集成。

    ISO 22301的要求

    让我们来看看ISO 22301的要求,这些要求在第4到10条中给出。

    第4条-上下文:组织必须了解他们是谁,他们在做什么,以及他们必须维持哪些过程和输出。他们还必须确定谁与业务的连续性有利害关系——有关各方——以及他们的期望是什么。此外,必须确定并记录法律和法规要求。有了这些信息,组织建立并记录了其ISO 22301范围。在确定范围时,必须考虑组织的位置、任务、目标、产品和服务。必威手机版app

    第5条-领导能力:为了成功实施ISO 22301,组织需要最高管理层的持续支持和领导。为了显示他们的承诺,组织的最高管理层应该在组织内部和与相关方制定、记录和沟通一项政策,同时提供可用的资源,指导和领导员工为ISO 22301的有效性做出贡献。为此目的,必须明确定义组织角色,包括每个角色的职责、权限和能力。

    第6条-规划:为了计划业务连续性,组织必须了解可能发生什么中断,以及这些事件如何影响业务。组织必须考虑风险的后果,它们的影响,以及机会的好处,并计划行动来解决它们。该标准还要求组织制定可衡量的BCMS目标,以保证最低限度的可行产品或服务,以及符合任何法律或法规要求。必威手机版app这些目标必须被记录和传达。为了实现这些目标,组织必须在一个时间框架内制定行动计划,并分配责任。

    第7条-支持:没有资源和支持,任何组织都无法前进。组织必须考虑资源需求,并提供资源以满足BCMS目标。这些资源可能包括基础设施、技术、通信、能力、意识和文档化信息。该标准要求定义的角色的能力证明文件,如培训记录、教育和专业背景。必威手机登录网站

    第8条-操作:该标准的这一部分描述了为满足BCMS目标并恢复组织正常运作方式而应执行的活动。主要活动包括:

    • 进行并记录业务影响分析(BIA)和风险评估。BIA应确定中断所产生的操作、法律和财务影响。在进行BIA时,中断的持续时间是确定影响以及随后的恢复时间的重要输入。风险评估使组织能够分析其活动和资源中断的可能性。在本文中了解有关BIA的更多信息如何根据iso22301实施业务影响分析(BIA)
    • 制定业务连续性战略要求公司利用从风险评估和业务影响分析中收集的信息制定连续性战略。业务连续性战略实质上是指制定备选办法和选择最适当的行动,包括缓解、应对和恢复。您可以在本文中了解更多关于恢复的重要性业务连续性策略能帮你省钱吗?
    • 建立和实施业务连续性程序。要求各组织根据其战略的产出记录业务连续性计划和程序。计划和过程应该有明确和具体的步骤来处理中断,定义良好的角色和资源需求,以及有组织的沟通。有关开发计划和程序的更多信息,请阅读本文业务连续性计划:如何根据ISO 22301组织它
    • 执行和测试业务连续性程序.ISO 22301要求定期测试计划和程序,看它们是否适当和有效。必须审查测试结果并报告建议和改进。这篇文章如何根据iso22301执行业务连续性操作和测试解释更多关于锻炼和测试的目的和方法,以及如何准备和包括谁。

    第9条-绩效评估:组织需要考虑绩效指标和度量;监控、测量、分析和评价;然后记录结果。应实施有计划的内部审核,以衡量符合标准和组织自身要求的程度。审核程序和结果必须记录在案。最后,最高管理层应按计划的时间间隔审查BCMS的有效性,并将这些审查的结果记录下来。

    第10条-改进:组织应有一套处理不符合项的方法,包括根本原因和纠正措施,以及持续改进的策略。标准要求为纠正措施的评价提供文件化信息。组织需要考虑分析和评估的结果,以及管理评审的输出,以确定是否有需要或机会。

    如何实施iso22301 ?

    要在你的公司实施ISO 22301,你必须遵循这些17个步骤

    1)管理支持
    2)需求识别
    3)业务连续性政策和目标
    4)管理体系支持文件
    5)风险评估和治疗
    6)业务影响分析
    7)业务连续性策略
    8)业务连续性计划
    9)培必威手机登录网站训和意识
    10)文档维护
    11)锻炼和测试
    12)事后评论
    13)与相关方的沟通
    14)测量和评价
    15)内部审计
    16)纠正措施
    17)管理评审

    有关这些步骤的更详细说明,请参见ISO 22301实施项目检查表

    强制性的文件

    如果一个组织想要实施本标准,以下文件是必须的:

    • 适用的法律、法规和其他要求的清单
    • BCMS的范围
    • 业务连续性政策
    • 业务连续性的目标
    • 人员能力证明
    • 与相关方沟通的程序
    • 与相关方沟通的记录
    • 中断细节、采取的行动和作出的决定的记录
    • 事件响应结构业务连续性计划
    • 恢复过程
    • 监测和测量的结果
    • 内部审核结果
    • 管理评审结果
    • 纠正措施的结果

    要了解有关强制性文件的更多细节,请下载此免费文件iso22301强制性文件核对表(PDF)

    ISO 22301认证

    ISO 22301证书是公司达到该标准要求的证明,以及公司对业务连续性的承诺。但这是强制性的吗?与所有ISO标准一样,ISO 22301认证是自愿行为,仍然是组织的选择。然而,在许多国家,对于一些商业部门,有ISO 22301认证的规定。在能源、金融、公共交通和物流等行业都可以找到这样的例子。此外,正如前面提到的,公司在评估后实施并获得第三方认证有很多好处。

    每个实施了ISO 22301的组织,无论大小,都可以向认证机构申请评估。但是一个组织如何获得ISO 22301认证呢?首先,您必须选择一个认证机构。选择一个经过认证的认证机构是很重要的,因为认证机构有独立认证机构的规则,它是国际公认的。认证机构将要求您发送有关您的组织的信息,例如员工数量和核心流程,以便他们可以根据审核时长(以人日为单位)提交报价。一旦您接受了认证机构的报价并与认证机构签订了合同,您的审核程序就开始了。

    差距分析和两个认证审核阶段

    在正式审核程序之前,有一个称为差距分析的可选预审核,认证机构仔细检查现有的业务连续性管理体系,并将其与ISO 22301要求进行比较。它通过在开始正式评估之前确定那些需要更多努力的领域来节省时间和金钱。

    认证审核分两个阶段进行。在第一阶段,审核组检查您是否符合ISO 22301的要求,如强制性文件和记录,并对您的执行情况进行总体检查。它在ISO 22301检查清单的背景下审查您当前的业务连续性管理。如果审计小组发现了差异,它将允许您关闭它们。如果符合所有要求,审核员将完成正式的认证准备审核。

    一旦您通过认证审核,您将获得有效期三年的ISO 22301证书。在接下来的两年里,你们将接受监视审计。监视时间较短,通常是认证审核时间的一半。在第三年年底,你必须在你的认证有效期结束前进行重新认证审核。请记住,在每次审核之前,无论是认证、监视还是再认证,主审核员都会向您发送一份审核计划,其中包括将在何时审核标准的哪些元素。每次审计结束时,提交审计报告。它必须至少包括一份被审核区域的符合性声明。如果发现不合格,你们必须采取纠正措施来维持你们的证书。

    获得ISO 22301认证需要多长时间?

    根据组织和业务的规模和复杂性,有效实现的持续时间各不相同。它还取决于组织的资源和努力。一般来说,对于合规要求较少的中小型公司,可能需要3到6个月的时间。对于拥有许多站点的大型组织,或必须遵守许多规定的公司,这段时间可能是一年甚至更长(在跨国能源公司或公共部门卫生机构等情况下)。但无论哪种类型的公司,有一个良好和明确的项目计划建立ISO 22301是必不可少的。在此时间范围内,您还需要在认证机构颁发证书之前依靠认证审核期。

    相关标准

    其他有助于实现业务连续性的标准有:

    ISO/IEC 27031 -业务连续性的信息和通信技术准备指南
    ISO 22313,社会保障。业务连续性管理系统。指南
    PAS 200 -危机管理-指导和良好实践
    PD 25666 -连续性和应急方案的实施和测试指南
    PD 25111 -关于业务连续性的人的方面的指导
    ISO/IEC 24762 -信息和通信技术灾难恢复服务指南
    ISO/PAS 22399 -事件准备和业务连续性管理指南
    ISO/IEC 27001信息安全管理系统要求

    为了自己轻松高效地实现ISO 22301,请使用此文档ISO 22301文档工具包