實(shí)現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的合規(guī)性源自三個(gè)行動(dòng):可用的適當(dāng)?shù)臉?biāo)準(zhǔn),根據(jù)標(biāo)準(zhǔn)審查計(jì)劃,并更新計(jì)劃以符合標(biāo)準(zhǔn)。想像一個(gè)審計(jì)過程:災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)代表了計(jì)劃必須符合的控制措施。只要這些計(jì)劃在很大程度上符合標(biāo)準(zhǔn)——在組織的政策和規(guī)劃結(jié)構(gòu)中,合規(guī)就有可能。
適當(dāng)?shù)臉?biāo)準(zhǔn)
對(duì)于業(yè)務(wù)連續(xù)性(BC),使用國(guó)際標(biāo)準(zhǔn)ISO 22301:2012,社會(huì)安全 - 業(yè)務(wù)連續(xù)性管理體系 - 要求;ISO 22313:2012,社會(huì)安全 - 業(yè)務(wù)連續(xù)性管理體系 - 指導(dǎo);和美國(guó)標(biāo)準(zhǔn)NFPA 1600:2016 災(zāi)害/應(yīng)急管理標(biāo)準(zhǔn)和業(yè)務(wù)連續(xù)性/運(yùn)營(yíng)計(jì)劃連續(xù)性。其他業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)可用于特定的垂直市場(chǎng),如銀行、投資銀行和信用合作社。
對(duì)于災(zāi)難恢復(fù)(DR),使用 ISO/IEC 27031:2011, 信息技術(shù) - 安全技術(shù) - 信息和通信技術(shù)準(zhǔn)備就業(yè)務(wù)連續(xù)性的準(zhǔn)則,和美國(guó)聯(lián)邦信息系統(tǒng)應(yīng)急計(jì)劃指南NIST SP 800-34。與BC一樣,垂直市場(chǎng)也可以提供災(zāi)難恢復(fù)標(biāo)準(zhǔn)。
對(duì)于大多數(shù)組織,上述DR和業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)提供了確定合規(guī)性所需的所有信息。
根據(jù)標(biāo)準(zhǔn)審查計(jì)劃
首先,將每個(gè)標(biāo)準(zhǔn)的內(nèi)容與計(jì)劃中的內(nèi)容進(jìn)行比較。確保您的計(jì)劃確定解決標(biāo)準(zhǔn)中包含的問題的內(nèi)容。如果您沒有這些特定部分的內(nèi)容,應(yīng)該放在列表中以備以后的操作。
請(qǐng)注意,這些標(biāo)準(zhǔn)旨在為開發(fā)BC/DR計(jì)劃提供框架和指導(dǎo)。他們通常不會(huì)為您提供樣板計(jì)劃,但您應(yīng)該能夠識(shí)別可幫助您完成計(jì)劃中缺失部分的內(nèi)容。
您還應(yīng)閱讀每個(gè)標(biāo)準(zhǔn)附帶的術(shù)語表,以更好地了解所用的術(shù)語。
一旦您將計(jì)劃映射到可用的標(biāo)準(zhǔn)之后,請(qǐng)檢查您擁有的內(nèi)容以及需要開發(fā)的內(nèi)容。如果您目前沒有BC / DR培訓(xùn)計(jì)劃,您仍然可以注意到您的意圖在適當(dāng)?shù)牟糠帧R欢ㄒ_保最終開發(fā)這些程序,因?yàn)閷徲?jì)人員會(huì)尋找有關(guān)其存在的證據(jù)。
更新計(jì)劃以符合標(biāo)準(zhǔn)
一旦差距分析完成,應(yīng)該更新您的計(jì)劃,以彌補(bǔ)已確定的差距。標(biāo)準(zhǔn)可能會(huì)有適應(yīng)您目的的措辭。您還可以參考用于計(jì)劃開發(fā)的書籍和工具。
最后,確保您的計(jì)劃與標(biāo)準(zhǔn)框架保持一致,至少從內(nèi)容的角度來看。沒有必要將您的計(jì)劃映射到災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)中列出的確切順序,但如果不受任何公司授權(quán)的約束,您可以使用它們來為計(jì)劃建模。
京公網(wǎng)安備 11010502049343號(hào)