• (0)
    ISO-27001-ISO-22301-blog

    Блог по ISO 27001 и ISO 22301

    Как да използвате ISO 22301 за изпълнението на изискванията на непрекъсваемост на работата в ISO 27001

    Един от най-големите мистерии в изпълнението на изискванията на ISO 27001 е приложение А, раздел A.17, което говори за управление на непрекъсваемостта на бизнеса. Как непрекъсваемостта на работата се отнася до сигурността на информацията, и защо е включена в ISO 27001? За съжаление ISO 27001 не предоставя много подробности, когато става въпрос за непрекъсваемостта на работата.

    За да се обърката повече, ISO 27001 говори за „аспекти на информационна сигурност при управление на непрекъсваемостта на работата“ – какво означава това? Това по същество означава, че една компания/организация трябва да позволи на информационната сигурност да продължи дейността си след инцидент. Обаче тъй като сигурност на информацията само по себе си (без основната дейност и ИТ процеси) няма смисъл, компаниите/организациите обикновено планират своята непрекъсваемост на работата за всички важни операции (бизнес и ИТ).

    Колко близки са ISO 27001 и ISO 22301?

    На първо място, информационната сигурност и непрекъсваемоста на работата имат едно много важно общо нещо – и двата стандарта защититават наличността на информацията – ето  защо ISO 27001 е необходимо да включи контроли за непрекъсваемоста на работата в неговото приложение А.

    ISO 22301 е водещ международен стандарт за непрекъсваемост на работата (вижте прегледа тук: Какво е ISO 22301?), и като всички ISO стандарти, той се основава на цикъл на план-прилагане-проверка-действие (Plan-Do-Check-Act cycle). Това означава, че практически той има практически същите управленски елементи като ISO 27001  и другите  ISO стандарти: контрол на документите, вътрешен одит, корективни действия, преглед от ръководството, обучение и информираност и др.

    Така че ако вече сте приложили всички тези елементи за ISO 27001, тогава вече сте напълно съвместим с ISO 22301 когато става въпрос за управлението на системата. Има и някои други елементи на ISO 27001, които са напълно съвместими с ISO 22301 – например, управление на риска – вижте тази статия за подробности: Може ли оценката на риска от ISO 27001 да се използва за ISO 22301?

    Къде те са различни?

    ISO 27001 е по скоро беден когато става въпрос за документиране на непрекъсваемостта на работата – като основа е достатъчно да напишете План за възстановяване след бедствия за да покриете  A.17.1.2  контролата  (която изисква прилагането на процедури за непрекъснатост) и контролата A.17.2.1 (която изисква достъпност на ИТ, по точно, ненужност). Вижте също: Списък от задължителни документи изисквани от ISO 27001 (преработка 2013).

    От друга страна, както може да се очаква, ISO 22301 изисква изготвянето на повече документи, повечето, от които за елементите на непрекъсваемостта на работата/бизнеса:

    И така, какво означава това на практика? Въпреки че ISO 27001 ви позволява да осъществите непрекъснатостта на вашия бизнес само с един документ; в действителност, ако искате да подготвите фирмата си правилно, ще ви трябват повече. И ISO 22301 ви дава кноу-хау.

    Как да използвате ISO 22301 за ISO 27001

    Според мен най-добрият начин да използвате това ноу-хау от ISO 22301 е да го приложите като подпроект на ISO 27001 – това означава, че трябва да внедрите своя ISO 27001, както сте планирали, а когато става дума за раздел А.17 трябва да приложите горепосочените основни елементи за непрекъсваемост на дейността от ISO 22301.

    Всъщност, тъй като всички останали елементи на ISO 22301 са същите като в ISO 27001, Вие ще изпълнявате и двата стандарта по едно и също време. И най-доброто от всичко – това допълнително усилие е само 10% от цялото усилие за внедряване на ISO 27001.

    Така че, вярно е, че можете да постигнете съответствие с раздел A.17 в ISO 27001, като напишете един документ – план за възстановяване след бедствие. Въпреки това, ISO 22301 ви дава възможност да направите много повече – да подготвите фирмата си да продължи да изпълнява всички свои важни операции, ако се появи истинско бедствие. Това струва ли допълнително усилие от 10%?

    Разгледайте този безплатен уеб семинар ISO 27001 и ISO 22301: Защо е по-добре да ги приложим заедно? което ще обясни сходствата на тези два стандарта по-подробно.

    Благодарим на Йордан Първанов за превода на български език.

    Advisera Dejan Kosutic
    Автор
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.