拉丁美洲67%的业务连续性计划在过去12个月内未经测试。我们根据ISO 22301评估BCP成熟度,执行模拟演练,并根据发现交付改进计划。
组织有文件化的业务连续性计划,但从未执行过真实的模拟演练。恢复时间目标(RTO)和恢复点目标(RPO)是理论性的,未经验证。与关键供应商和供应链的依赖关系未被映射。员工不了解在中断期间的角色。
在实际中断(网络攻击、自然灾害、关键供应商故障)期间,组织发现计划不起作用时已为时已晚。实际恢复时间超过合同承诺的时间。由于缺乏协调,运营损失成倍增加。如果BCP没有定期测试的证据,保险公司可能拒绝理赔。
我们根据ISO 22301要求评估现有BCP,设计和主持模拟演练(根据成熟度级别进行桌面推演、功能性或全面演练),衡量实际RTO和RPO与声明值的差异,并交付包含优先改进计划的差距报告。对于拥有关键供应链的组织,我们纳入关键供应商韧性评估。
我们建议从桌面推演开始,负责人根据虚构场景逐步演练计划。这可以识别最明显的差距,而无需承担完整功能演练的运营风险。一旦主要差距得到纠正,再进展到实际程序激活的功能模拟。
ISO 22301要求在计划间隔和发生重大变化时进行测试。最佳实践是至少每半年一次桌面推演和每年一次功能演练。关键行业(金融、卫生、能源)的组织应每6个月进行功能演练,每年进行一次全面演练。
ISO 27001包含控制A.5.30(ICT业务连续性准备),为信息系统建立基本的连续性要求。ISO 22301是涵盖所有关键流程(不仅是技术流程)的完整业务连续性标准。依赖技术运营的组织两者都需要:ISO 27001用于安全控制,ISO 22301用于全面的运营韧性。