ОБАДЕТЕ НИ СЕ 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Как да използвате ISO 22301 за изпълнението на изискванията на непрекъсваемост на работата в ISO 27001

Един от най-големите мистерии в изпълнението на изискванията на ISO 27001 е приложение А, раздел A.17, което говори за управление на непрекъсваемостта на бизнеса. Как непрекъсваемостта на работата се отнася до сигурността на информацията, и защо е включена в ISO 27001? За съжаление ISO 27001 не предоставя много подробности, когато става въпрос за непрекъсваемостта на работата.

За да се обърката повече, ISO 27001 говори за „аспекти на информационна сигурност при управление на непрекъсваемостта на работата“ – какво означава това? Това по същество означава, че една компания/организация трябва да позволи на информационната сигурност да продължи дейността си след инцидент. Обаче тъй като сигурност на информацията само по себе си (без основната дейност и ИТ процеси) няма смисъл, компаниите/организациите обикновено планират своята непрекъсваемост на работата за всички важни операции (бизнес и ИТ).

Колко близки са ISO 27001 и ISO 22301?

На първо място, информационната сигурност и непрекъсваемоста на работата имат едно много важно общо нещо – и двата стандарта защититават наличността на информацията – ето  защо ISO 27001 е необходимо да включи контроли за непрекъсваемоста на работата в неговото приложение А.

ISO 22301 е водещ международен стандарт за непрекъсваемост на работата (вижте прегледа тук: Какво е ISO 22301?), и като всички ISO стандарти, той се основава на цикъл на план-прилагане-проверка-действие (Plan-Do-Check-Act cycle). Това означава, че практически той има практически същите управленски елементи като ISO 27001  и другите  ISO стандарти: контрол на документите, вътрешен одит, корективни действия, преглед от ръководството, обучение и информираност и др.

Така че ако вече сте приложили всички тези елементи за ISO 27001, тогава вече сте напълно съвместим с ISO 22301 когато става въпрос за управлението на системата. Има и някои други елементи на ISO 27001, които са напълно съвместими с ISO 22301 – например, управление на риска – вижте тази статия за подробности: Може ли оценката на риска от ISO 27001 да се използва за ISO 22301?

Къде те са различни?

ISO 27001 е по скоро беден когато става въпрос за документиране на непрекъсваемостта на работата – като основа е достатъчно да напишете План за възстановяване след бедствия за да покриете  A.17.1.2  контролата  (която изисква прилагането на процедури за непрекъснатост) и контролата A.17.2.1 (която изисква достъпност на ИТ, по точно, ненужност). Вижте също: Списък от задължителни документи изисквани от ISO 27001 (преработка 2013).

От друга страна, както може да се очаква, ISO 22301 изисква изготвянето на повече документи, повечето, от които за елементите на непрекъсваемостта на работата/бизнеса:

И така, какво означава това на практика? Въпреки че ISO 27001 ви позволява да осъществите непрекъснатостта на вашия бизнес само с един документ; в действителност, ако искате да подготвите фирмата си правилно, ще ви трябват повече. И ISO 22301 ви дава кноу-хау.

Как да използвате ISO 22301 за ISO 27001

Според мен най-добрият начин да използвате това ноу-хау от ISO 22301 е да го приложите като подпроект на ISO 27001 – това означава, че трябва да внедрите своя ISO 27001, както сте планирали, а когато става дума за раздел А.17 трябва да приложите горепосочените основни елементи за непрекъсваемост на дейността от ISO 22301.

Всъщност, тъй като всички останали елементи на ISO 22301 са същите като в ISO 27001, Вие ще изпълнявате и двата стандарта по едно и също време. И най-доброто от всичко – това допълнително усилие е само 10% от цялото усилие за внедряване на ISO 27001.

Така че, вярно е, че можете да постигнете съответствие с раздел A.17 в ISO 27001, като напишете един документ – план за възстановяване след бедствие. Въпреки това, ISO 22301 ви дава възможност да направите много повече – да подготвите фирмата си да продължи да изпълнява всички свои важни операции, ако се появи истинско бедствие. Това струва ли допълнително усилие от 10%?

Разгледайте този безплатен уеб семинар ISO 27001 и ISO 22301: Защо е по-добре да ги приложим заедно? което ще обясни сходствата на тези два стандарта по-подробно.

Благодарим на Йордан Първанов за превода на български език.

If you enjoyed this article, subscribe for updates

Improve your knowledge with our free resources on ISO 27001/ISO 22301 standards.

You may unsubscribe at any time.

For more information on what personal data we collect, why we need it, what we do with it, how long we keep it, and what are your rights, see this Privacy Notice.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

OUR CLIENTS

OUR PARTNERS

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.