Позвоните нам 1-888-553-2256

Основы ISO 22301

Что такое ISO 22301?

Полное название этого стандарта ― ISO 22301:2012 Общественная безопасность – Системы управления непрерывностью бизнеса – Требования. Этот стандарт, написанный ведущими экспертами по непрерывности бизнеса, предлагает самую лучшую структуру для управления непрерывностью бизнеса на предприятии.

Одна из особенностей, которая отличает этот стандарт от других структур/стандартов по непрерывности бизнеса, заключается в том, что организация может пройти сертификацию с помощью аккредитованного органа по сертификации, а, значит, будет в состоянии доказать своим клиентам, партнёрам, владельцам и другим заинтересованным лицам своё соответствие требованиям.

Взаимосвязь с BS 25999-2

ISO 22301 заменил 25999-2. Эти два стандарта довольно похожи, но ISO 22301 может рассматриваться как обновлённая версия BS 25999-2. Чтобы понять различия между этими двумя стандартами, см. инфографику Сравнение ISO 22301 и BS 25999-2

 

Каковые преимущества непрерывности бизнеса?

При правильном внедрении, управление непрерывностью бизнеса снизит вероятность разрушительного инцидента. А если такой инцидент всё-таки произойдёт, то организация будет готова отреагировать на него соответствующим образом, тем самым, значительно снижая потенциальный ущерб от подобного инцидента.

Кто может внедрить этот стандарт?

Любая организация – большая или маленькая, коммерческая или некоммерческая, частная или государственная. Стандарт задуман таким образом, что его можно применять на предприятии любого размера и типа.

Как непрерывность бизнеса сочетается с общим управлением?

Непрерывность бизнеса является частью общей системы управления рисками в компании, чьи сферы переплетаются с управлением информационной безопасностью и ИТ-управлением.

What is ISO 22301 - business continuity RU

Примечание: Управление рисками является частью общей системы корпоративного управления.

Основные термины, используемые в стандарте

  • Система управления непрерывностью бизнеса является частью общей системы управления, которая гарантирует, что непрерывность бизнеса планируется, внедряется, используется и постоянно улучшается
  • Максимально допустимое время простоя – максимальное количество времени, в течение которого может быть нарушена активность без возникновения неприемлемых повреждений (также «Максимально допустимый период сбоя»)
  • Целевое время восстановления – заранее определённое время, в течение которого деятельность должна быть возобновлена или ресурсы должны быть восстановлены
  • Целевая точка восстановления – максимальная потеря данных, т.е. минимальный объём данных, который необходимо восстановить
  • Минимальная цель для непрерывности бизнеса – минимальный уровень услуг или продукции организации, который необходимо производить после возобновления её хозяйственной деятельности

Содержание ISO 22301

Стандарт включает такие разделы:

Введение
0.1 Основные положения
0.2 Модель «Планирование, реализация, контроль, корректировка»
0.3 Компоненты цикла «Планирование, реализация, контроль, корректировка» в этом международной стандарте
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Особенности организации
4.1 Понимание организации и её особенностей
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.3 Определение области применения системы управления
4.4 Система управления непрерывностью бизнеса
5 Ответственность руководства
5.1 Основные положения
5.2 Приверженность руководства
5.3 Политика
5.4 Организационные роли, обязанности и полномочия
6 Планирование
6.1 Действия, направленные на устранение рисков, и возможности
6.2 Цели непрерывности бизнеса и планы для их достижения
7 Поддержка
7.1 Ресурсы
7.2 Компетенции
7.3 Информирование
7.4 Коммуникация
7.5 Документированная информация
8. Функционирование
8.1 Оперативное планирование и контроль
8.2 Анализ последствий для деятельности и оценка рисков
8.3 Стратегия непрерывности бизнеса
8.4 Создание и внедрение процедур для обеспечения непрерывности бизнеса
8.5 Учения и испытания
9. Оценка эффективности
9.1 Контроль, измерение, анализ и оценка
9.2 Внутренний аудит
9.3 Анализ управления
10. Усовершенствование
10.1 Несоответствия и корректирующие действия
10.2 Постоянное усовершенствование
Библиография

Обязательная документация

Если организация хочет внедрить этот стандарт, то следующая документация является обязательной:

  • Перечень действующих правовых, нормативных и иных требований
  • Область применения системы управления непрерывностью бизнеса
  • Политика непрерывности бизнеса
  • Цели непрерывности бизнеса
  • Подтверждение компетенций персонала
  • Записи общения с заинтересованными сторонами
  • Анализ последствий для деятельности
  • Оценка рисков, включая готовность к риску
  • Структура реагирования на инциденты
  • Планы непрерывности бизнеса
  • Процедуры восстановления
  • Результаты предупреждающих действий
  • Результаты контроля и измерений
  • Результаты внутреннего аудита
  • Результаты анализа управления
  • Результаты корректирующих действий

Нажмите здесь, чтобы посмотреть подробное объяснение каждого обязательного документа.

Родственные стандарты

Другие стандарты, которые будут полезны при внедрении непрерывности бизнеса:

ISO/IEC 27031 – Руководство по готовности информационно-коммуникационных технологий для непрерывности бизнеса
PAS 200 – Управление кризисными ситуациями – Руководство и эффективная практика
PD 25666 – Руководство по тренировкам и тестированию программ по непрерывности и нештатным ситуациям
PD 25111 – Руководство по человеческому фактору обеспечения непрерывности бизнеса
ISO/IEC 24762 – Руководство по информационно-коммуникационным технологиям услуг аварийного восстановления
ISO/PAS 22399 – Руководство по обеспечению готовности к инцидентам и операционное управление непрерывностью
ISO/IEC 27001 – Системы управления информационной безопасностью – Требования

dejan-circle-new

Деян Кошутич
Ведущий эксперт
ISO 27001/ISO 22301

Есть вопросы по любому из шагов?

Побеседуйте бесплатно с нашими консультантами

НАЗНАЧЬТЕ БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ

Бесплатный калькулятор окупаемости инвестиций в безопасность

(in English)

Вы когда-нибудь сталкивались с ситуацией, когда Вам говорили, что Ваши меры безопасности обходятся слишком дорого? Или когда Вам было сложно объяснить Вашему руководству, какие последствия могут быть в случае инцидента? Доказывать оправданность инвестиций в безопасность ― дело непростое. Но наш калькулятор окупаемости инвестиций в безопасность поможет Вам. Он совершенно бесплатный.

УЗНАТЬ БОЛЬШЕ

НАШИ КЛИЕНТЫ

НАШИ ПАРТНЕРЫ

  • Advisera – Провайдер TPECS, сертифицированный Exemplar Global, по Единицам Компетенции IS, QM, EM, TL и AU.
  • ITIL® - зарегистрированная торговая марка AXELOS Limited. Используется по лицензии AXELOS Limited. Все права защищены.
  • DNV GL Business Assurance – один из ведущих провайдеров аккредитованной сертификации систем менеджмента.