- ДОКУМЕНТАЦИЯ
Ознакомьтесь с нашим обзором продукта или свяжитесь с нашим главным экспертом ISO 27001/22301, который готов оказать Вам помощь при внедрении.
- КНИГИ
SECURE & SIMPLE: A SMALL-BUSINESS GUIDE TO IMPLEMENTING ISO 27001 ON YOUR OWN
In this book Dejan Kosutic, an author and experienced information security consultant, is giving away all his practical know-how on successful ISO 27001 implementation. No matter if you’re new or experienced in the field; this book gives you everything you will ever need to implement ISO 27001 on your own.
ISO 27001 Risk Management in Plain English
This book is based on an excerpt from Dejan Kosutic's previous book Secure & Simple. It provides a quick read for people who are focused solely on risk management, and don’t have the time (or need) to read a comprehensive book about ISO 27001. It has one aim in mind: to give you the knowledge ...
ISO 27001 Annex A Controls in Plain English
In this book Dejan Kosutic, an author and experienced information security consultant, is giving away his practical know-how ISO 27001 security controls. No matter if you are new or experienced in the field, this book give you everything you will ever need to learn more about security controls.
PREPARING FOR ISO CERTIFICATION AUDIT: A PLAIN ENGLISH GUIDE
In this book Dejan Kosutic, an author and experienced ISO consultant, is giving away his practical know-how on preparing for ISO certification audits. No matter if you are new or experienced in the field, this book gives you everything you will ever need to learn more about certification audits.
Managing ISO Documentation: A Plain English Guide
In this book Dejan Kosutic, an author and experienced ISO consultant, is giving away his practical know-how on managing documentation. No matter if you are new or experienced in the field, this book gives you everything you will ever need to learn on how to handle ISO documents.
Preparations for the ISO Implementation Project: A Plain English Guide
In this book Dejan Kosutic, an author and experienced ISO consultant, is giving away his practical know-how on preparing for ISO implementation. No matter if you are new or experienced in the field, this book gives you everything you will ever need to learn about preparations for ISO implementation projects.
ISO Internal Audit: A Plain English Guide
In this book Dejan Kosutic, an author and experienced ISO consultant, is giving away his practical know-how on ISO internal audits. No matter if you are new or experienced in the field, this book gives you everything you will ever need to learn and more about internal audits.
BECOMING RESILIENT: THE DEFINITIVE GUIDE TO ISO 22301 IMPLEMENTATION
Author and experienced business continuity consultant Dejan Kosutic has written this book with one goal in mind: to give you the knowledge and practical step-by-step process you need to successfully implement ISO 22301. Without any stress, hassle or headaches.
FREE eBOOK: 9 STEPS TO CYBERSECURITY
9 Steps to Cybersecurity from expert Dejan Kosutic is a free eBook designed specifically to take you through all cybersecurity basics in an easy-to-understand and easy-to-digest format. You will learn how to plan cybersecurity implementation from top-level management perspective.
- eTRAINING
ISO 27001:2013 LEAD IMPLEMENTER COURSE
In this online course you’ll learn all you need to know about ISO 27001, and how to become an independent consultant for the implementation of ISMS based on ISO 20700. Our course was created for beginners so you don’t need any special knowledge or expertise.
ISO 27001:2013 LEAD AUDITOR COURSE
In this online course you’ll learn all about ISO 27001, and get the training you need to become certified as an ISO 27001 certification auditor. You don’t need to know anything about certification audits, or about ISMS—this course is designed especially for beginners.
ISO 27001:2013 FOUNDATIONS COURSE
Learn everything you need to know about ISO 27001, including all the requirements and best practices for compliance. This online course is made for beginners. No prior knowledge in information security and ISO standards is needed.
ISO 27001:2013 INTERNAL AUDITOR COURSE
In this online course you’ll learn all the requirements and best practices of ISO 27001, but also how to perform an internal audit in your company. The course is made for beginners. No prior knowledge in information security and ISO standards is needed.
Что такое BS 25999?
Ведущий стандарт по непрерывности бизнеса
BS 25999-2 ― это Британский стандарт, изданный в 2007 году, который быстро стал основным стандартом управления непрерывностью бизнеса. И хотя это Британский национальный стандарт, он используется во многих странах мира. Предполагается, что в скором времени он будет принят в качестве международного стандарта (ISO 22301).
Как и другие стандарты, определяющие системы управления (такие как ISO 27001, ISO 9001, ISO 14001 и пр.), стандарт BS 25999-2 также определяет систему управления непрерывностью бизнеса, которая содержит четыре аналогичных этапа: планирование, внедрение, анализ, контроль и, наконец, улучшение. Характерной чертой этих четырёх этапов является то, что система постоянно обновляется и улучшается для того, чтобы быть полезной в случае аварийной ситуации. Ниже перечислены некоторые ключевые процедуры и документы, необходимые для BS 25999-2:
- Область применения системы управления непрерывностью бизнеса – точное определение той части организации, к которой применяется управление непрерывностью бизнеса
- Политика управления непрерывностью бизнеса – определение целей, обязанностей и т.д.
- Управление персоналом
- Анализ последствий для деятельности и оценка рисков
- Определение стратегии для обеспечения непрерывности бизнеса
- Планы непрерывности бизнеса
- Соблюдение планов и систем; усовершенствование
Управление персоналом
Ключевые процедуры
Управление персоналом
Стандарт устанавливает, что крайне важно определять необходимые знания и навыки; устанавливать и проводить необходимые тренинги; проверять, были ли достигнуты требуемые знания и навыки, и вести записи. BS 25999-2 также требует проведения ознакомительных программ и информирования сотрудников о важности управления непрерывностью бизнеса.
Анализ последствий для деятельности и оценка рисков
Анализ последствий для деятельности рассматривает важную деятельность организации, определяет максимально допустимый период сбоя, описывает взаимозависимость отдельных действий, определяет, какие действия являются критическими, исследует существующие взаимоотношения с поставщиками и привлечёнными сторонними партнёрами и, наконец, устанавливает целевое время восстановления.
Оценка рисков проводится с целью установить, какие сбои и прочие нарушения в хозяйственной деятельности могут возникнуть, каковы могут быть их последствия, а также какие уязвимости и угрозы могут привести к подобным сбоям в работе организации. На основе такой оценки, организация определяет, как снизить вероятность риска и как его сгладить в случае возникновения.
Определение стратегии непрерывности бизнеса
Стратегия заключается в определении того, каким образом организация будет восстанавливаться в случае аварии. Стратегия определяется на основе результатов оценки рисков и анализа последствий для деятельности и обычно включает в себя альтернативные местоположения, варианты восстановления данных, восстановление человеческих ресурсов, коммуникации, оборудование, управление поставщиками, привлечение сторонних партнёров и т.д.
План непрерывности бизнеса
План по обеспечению непрерывности бизнеса включает в себя планы для реагирования на инциденты, процедуры активации для плана непрерывности бизнеса и планы восстановления для критических работ. Все они написаны на основе стратегии непрерывности бизнеса.
План реагирования на инциденты должен включать способ определения видов инцидентов, каналов связи, типов реагирования, обязанностей и пр.
Планы по восстановлению должны определять роли и обязанности, ключевые шаги для восстановления, местоположения, ресурсы, которые необходимо использовать, а также место их нахождения, приоритеты, какие действия необходимо предпринимать после завершения восстановления и пр.
Соблюдение планов и систем; усовершенствование
Стандарт предусматривает следующее:
- Регулярные учения и испытания по планам с целью более тесного знакомства персонала с планами и проверки их информированности
- Проведение внутренних аудитов на регулярной основе
- Анализ управления для гарантии того, что система управления непрерывностью бизнеса работает, и для внесения соответствующих усовершенствований
- Выполнение предупреждающих и корректирующих действий, чтобы усовершенствовать не только планы, но и другие элементы системы
Документация
BS 25999-2 требует следующей документации:
- Область применения управления непрерывностью бизнеса
- Политика управления непрерывностью бизнеса
- Конкретные обязанности для управления непрерывностью бизнеса
- Процедуры для управления документацией и записями, процедуры для корректирующих и предупреждающих действий
- Методология анализа последствий для деятельности и результаты анализа
- Методология оценки рисков
- Стратегия непрерывности бизнеса
- План непрерывности бизнеса, включающий план(-ы) реагирование на инциденты и план(-ы) восстановления
- Записи
Количество документов зависит от числа критических работ на предприятии. В организации с небольшим числом критических работ будет также и небольшое количество документов, связанных с анализом последствий для деятельности, оценкой рисков и планами по непрерывности бизнеса. А в компании большего размера и объём документации будет расширенный.
Другие родственные стандарты
В дополнение к BS 25999-2 и BS 25999-1 существует и «дополнительный» стандарт, который содержит больше подробностей того, как внедрять конкретные части BS 25999-2.
Другими полезными стандартами являются ISO 27001, который даёт непрерывность бизнеса в более широком контексте информационной безопасности, и ISO 27005, который даёт подробное описание процесса оценки рисков.
Деян Кошутич
Ведущий эксперт
ISO 27001/ISO 22301
Есть вопросы по любому из шагов?
Побеседуйте бесплатно с нашими консультантами
НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ
Бесплатный калькулятор окупаемости инвестиций в безопасность
(in English)
Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента.
НАШИ КЛИЕНТЫ
НАШИ ПАРТНЕРЫ
- Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
- ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
- DNV GL Business Assurance is one of the leading providers of accredited management systems certification.