Стандарт подготовлен техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).
Данный документ заменил предыдущую редакцию ISO/IEC 27031:2011, о которой см. мой пост https://rusrim.blogspot.com/2011/03/isoiec-270312011.html . Эта редакция была адаптирована в России как ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», http://protect.gost.ru/document.aspx?control=7&baseC=6&page=83&month=5&year=2014&search=&id=184904 .
Что представляет собой стандарт ISO/IEC 27031?
Стандарт ISO/IEC 27031 содержит рекомендации по обеспечению готовности информационно-коммуникационных технологий (ИКТ) к поддержке непрерывности деловой деятельности. Он описывает концепцию обеспечения готовности ИКТ, которая согласована с более широкими целями и задачами усилий по обеспечению непрерывности деловой деятельности, и помогает организациям предотвращать, реагировать и восстанавливаться после связанных с ИКТ чрезвычайных ситуаций, которые способны повлиять на критически-важную оперативную деятельность.
В чём важность стандарта ISO/IEC 27031?
В современном цифровом мире, организации очень сильно полагаются на ИКТ-системы в ходе оперативной деятельности, при оказании услуг и в плане поддержания доверия заинтересованных сторон. Перебои в работе этих систем, - возникающие по различным причинам, от кибератак до системных сбоев - могут повлечь за собой очень серьезные последствия. Стандарт ISO/IEC 27031 помогает организациям повышать жизнеспособность ИКТ, интегрируя планирование обеспечения готовности ИКТ в практики обеспечения непрерывности деловой и информационной безопасности. Стандарт помогает обеспечить возможность восстановления ИКТ-сервисов в согласованные сроки, защищая тем самым операции, репутацию и доверие клиентов. ИКТ-готовность охватывает не только внутренние системы, но также распространяется и на зависимости от услуг третьих сторон, таких как поставщики облачных услуг.
Польза от стандарта
Стандарт ISO/IEC 27031:
- Поддерживает бесперебойную деловую деятельность во время перебоев в работе ИКТ;
- Повышает согласованность между стратегиями в области ИКТ, безопасности и обеспечения непрерывности деловой деятельности;
- Сокращает время на восстановление и потери данных вследствие инцидентов;
- Повышает жизнеспособность организации и способствует укреплению доверия заинтересованных сторон;
- Плавно интегрируется с практиками, описанными в стандартах ISO/IEC 27001 и ISO 22301 (это стандарты требований к системам менеджмента информационной безопасности и непрерывности деловой деятельности – Н.Х.).
… В настоящем документе описываются концепции и принципы обеспечения готовности информационно-коммуникационных технологий (ИКТ) к поддержке непрерывности деловой деятельности. Стандарт содержит концептуальную структуру методов и процессов для выявления и отбора подлежащих улучшению аспектов готовности ИКТ организации к поддержке непрерывности деловой деятельности.
Данный документ способствует достижению для ИКТ следующих целей в области обеспечения непрерывности деловой деятельности:
- минимальная цель обеспечения непрерывности деловой деятельности (minimum business continuity objective, MBCO),
- цель в отношении точки восстановления (recovery point objective, RPO),
- цель в отношении времени восстановления (recovery time objective, RTO) как часть планирования для ИКТ поддержки непрерывности деловой деятельности.
Данный документ применим в организациях любого типа и размера.
В данном документе описывается, каким образом ИКТ-подразделения планируют и готовятся вносить свой вклад в цели по обеспечению жизнеспособности организации.
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Структура данного стандарта
6. Интеграция готовности ИКТ к поддержке непрерывности деловой деятельности (ICT readiness for business continuity, IRBC) в менеджмент обеспечения непрерывности деловой деятельности (BCM)
7. Деловые ожидания в отношении готовности ИКТ к поддержке непрерывности деловой деятельности (IRBC)
8. Определение предпосылок для усилий по обеспечению готовности ИКТ к поддержке непрерывности деловой деятельности
9. Определение стратегий обеспечения готовности ИКТ к поддержке непрерывности деловой деятельности
10. Определение плана обеспечения непрерывности деятельности для ИКТ
11. Тестирование, учения и аудит
12. Окончательное формулирование минимальной цели обеспечения непрерывности деловой деятельности (MBCO)
13. Обязанности высшего руководства в отношении оценки готовности ИКТ к поддержке непрерывности деловой деятельности (IRBC)
Приложение A: Сопоставление целей RTO и RPO с деловыми целями при восстановлении работоспособности ИКТ
Приложение B: Отчетность о рисках при анализе видов и последствий отказов (Failure Mode Effect Analysis, FMEA)
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/27031
https://www.iso.org/obp/ui/en/#!iso:std:80975:en
Комментариев нет:
Отправить комментарий