指南

如何使用ISO 22301实施BCMS

实施符合ISO 22301的业务连续性管理体系(BCMS)指南。BIA、连续性策略、计划和演练。

ISO 22301规定了业务连续性管理体系(BCMS)的要求。使组织能够准备、应对和恢复影响关键运营的中断。

分步操作

识别组织的关键活动、其依赖关系以及中断随时间推移的影响。为每项活动定义MTPD(最大可容忍中断期)和RTO(恢复时间目标)。

审计师建议： BIA应与流程负责人一起完成，而不仅仅是IT。关键性由业务定义，而不是技术。手动流程可能比自动化流程更关键。

识别可能中断关键活动的威胁：网络攻击、自然灾害、供应商故障、大流行。评估可能性和影响以确定处理优先级。

审计师建议： 不要局限于明显的风险。供应链是最被低估的中断来源。映射关键供应商依赖关系及其自身的连续性计划。

对每项关键活动，定义如何在中断期间维持运营。策略可能包括替代站点、系统冗余、备用供应商和远程工作。

审计师建议： 每种策略都有成本。向管理层展示策略成本与无计划中断的估计成本对比。这有助于预算批准。

记录响应、激活、应急操作和恢复程序。包括角色、紧急联系人、沟通树和激活标准。

审计师建议： 计划必须在压力下可用。如果超过20页，在危机中没有人会阅读。使用检查清单和流程图，而不是冗长的叙述。

进行定期演练(桌面演练、模拟和实际测试)以验证计划有效。记录结果、经验教训和已识别的改进。

审计师建议： 从桌面演练(低成本、低风险)开始，逐步过渡到更复杂的模拟。从未进行的演练意味着从未测试过的计划。

利用演练、实际事件和内部审计的结果更新计划和策略。管理评审必须至少每年评估BCMS的有效性。

审计师建议： 每次真实事件后，进行正式的事后分析。真实事件是最好的改进来源，但前提是要记录和分析。

DRP(灾难恢复计划)专注于IT恢复。BCP(业务连续性计划)涵盖整个业务运营，包括人员、流程和设施。DRP是BCP的一个组成部分。

至少每年一次，但建议关键活动每半年一次。在组织、基础设施或供应商发生重大变化后，需要额外的演练。

是的。两者共享高层结构(HLS)，ISO 27001在其附录A(A.5.29和A.5.30)中包含连续性控制措施。整合减少了文档和工作的重复。

72个工作小时内完成诊断。ISO方法论。与认证机构无关联。

Loading content…

关键要点

BIA是BCMS的核心：没有它，连续性策略缺乏基础。

未经演练测试的连续性计划只是一份文件：它不能保护组织。

供应链是大多数组织中最薄弱的环节。评估关键供应商的连续性。

计划必须简洁且可操作。在危机中，没有人会阅读50页的手册。

常见问题

DRP(灾难恢复计划)专注于IT恢复。BCP(业务连续性计划)涵盖整个业务运营，包括人员、流程和设施。DRP是BCP的一个组成部分。

至少每年一次，但建议关键活动每半年一次。在组织、基础设施或供应商发生重大变化后，需要额外的演练。

是的。两者共享高层结构(HLS)，ISO 27001在其附录A(A.5.29和A.5.30)中包含连续性控制措施。整合减少了文档和工作的重复。