清单

ISO 22301准备清单

包含20个检查点的验证清单，用于评估贵组织在ISO 22301:2019业务连续性要求方面的准备状态。

此清单评估贵组织业务连续性管理体系(BCMS)相对于ISO 22301:2019要求的成熟度。每个检查项均引用相应的规范条款以便追溯。

验证要点

已识别与业务连续性相关的内部和外部问题[4.1]

已确定相关方及其要求，包括法律和法规要求[4.2]

BCMS范围已定义，考虑了关键活动和相互依赖关系[4.3]

最高管理层已发布业务连续性政策并展示对BCMS的积极承诺[5.2]

已分配BCMS的角色、职责和权限[5.3]

已进行业务影响分析(BIA)，识别关键活动、MTPD和恢复目标(RTO/RPO)[8.2.2]

已识别和评估可能影响关键活动的中断风险[8.2.3]

已确定关键活动连续性所需的资源[8.2.2]

已定义针对已识别中断风险的策略和处理措施[8.3]

存在针对BIA中识别的关键活动的文件化业务连续性计划[8.4.1]

计划定义了事件响应结构，包括激活、升级和沟通[8.4.2]

已建立与内部和外部相关方的危机沟通程序[8.4.3]

计划包含已分配负责人和定义的激活顺序的恢复程序[8.4.4]

按计划的时间间隔进行连续性计划的演练和测试[8.5]

演练结果已记录并产生计划改进措施[8.5]

按计划的时间间隔进行BCMS内部审计[9.2]

最高管理层按计划的时间间隔评审BCMS，包括BIA和演练结果[9.3]

记录不符合项并实施纠正措施，验证其有效性[10.1]

关键推荐可选

ISO 22301建立了一个超越孤立应急计划的综合管理体系(BCMS)。它包括业务影响分析(BIA)、系统性中断风险评估、恢复策略、定期演练和持续改进。

BIA是组织识别其关键活动、确定最大可容忍中断时间(MTPD)并建立恢复时间目标(RTO)和恢复点目标(RPO)的过程。它是整个BCMS的基础。

ISO 22301要求按计划的时间间隔以及发生重大变更时进行演练，但未定义固定频率。建议的做法是每个关键连续性计划至少每年一次。

可以。两个标准都采用ISO高层结构(HLS)。ISO 27001包含与信息安全相关的业务连续性控制A.5.30。同时实施两个标准的组织可以统一风险评估、内部审计和管理评审。

72个工作小时内完成诊断。ISO方法论。与认证机构无关联。

Loading content…

常见问题

ISO 22301建立了一个超越孤立应急计划的综合管理体系(BCMS)。它包括业务影响分析(BIA)、系统性中断风险评估、恢复策略、定期演练和持续改进。

BIA是组织识别其关键活动、确定最大可容忍中断时间(MTPD)并建立恢复时间目标(RTO)和恢复点目标(RPO)的过程。它是整个BCMS的基础。

ISO 22301要求按计划的时间间隔以及发生重大变更时进行演练，但未定义固定频率。建议的做法是每个关键连续性计划至少每年一次。