O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Īss ievads ISO 22301 (for ISACA chapter meeting)

609 visualizações

Publicada em

Short intro into ISO 22301 basics in Latvian for local ISACA chapter meeting

Publicada em: Tecnologia, Negócios
  • Seja o primeiro a comentar

Īss ievads ISO 22301 (for ISACA chapter meeting)

  1. 1. ISO 22301Business Continuity ManagementSystemJuris Pūceanalytica.lvISACA sēde 2013.gada 17.aprīlī
  2. 2. Par ISO 22301• Business Continuity Management– Ietver visu organizāciju kopumā– Vadības iesaiste un pārskate– Kā visi ISO standarti būvēts pēc PDCA modeļa– Attiecas uz organizāciju (pielāgojas organizācijasspecifikai)– Iekšējais audits• Vēsture– 1997 – UK un ASV standarti, 1999 – gatavošanās Y2K,2002 – BCI publicē BCM vadlīnijas, 2006 – tiekpublicēts BS 25999-1 (balstoties uz PAS56)
  3. 3. ISO 22301 satursSadaļa Ietvars1 Mērogs2 Atsauces uz normatīvajiem aktiem3 Termini un definīcijas4 Vispārējās prasības5 Vadības iesaiste (Politika, Lomu un atbildību sadalījums)6 Plānošana (Mērķi un plāni to sasniegšanai, Darbības kā tiek pārvaldītasproblēmas)7 Atbalsts (resursi, kompetences, komunikācija, dokumentācija)8 Darbināšana (darbības plānošana, sagatavošanās, plānošana, rīcībanoteiktos gadījumos, pārbaudes/testi, pārskatīšana)9 Darbības izvērtēšana (monitorēšana un mērījumi, iekšējais audits,vadības pārskati)10 Uzlabošana (neatbilstības un koriģējošās darbības, pastāvīga uzlabošana)
  4. 4. Standarta specifika• Regulāra nepārtrauktības testēšana– Nav specifisku testu prasību ir prasība regularitātei• Regulāra efektivitātes analīze– Piesaistot arī iesaistītās trešās puses• Risku vadība papildinās ar kopēju BIA (kautgan tai tāpat tur būtu jābūt)• Business recovery vs Disaster recovery
  5. 5. Standarta specifika• Jāspēj demonstrēt, ka ir analizēta arī ārējā videun tās ietekmes faktori– Nav svarīga specifiska metodoloģija– Daļa no risku analīzes• Biznesa nepārtrauktības plāni– Atbilstoši jomām var būt vairāki– Vienota formāta/principa– Ikgadēja pārskatīšana– Ārējās un iekšējās komunikācijas nozīme
  6. 6. SVARĪGĀKĀS KOMPONENTES
  7. 7. Atstātā iespaida analīze (BusinessImpact Analysis)ProcesiKatramprocesamnoteikt tāsvarīgumuBCMkontekstāInformācijasresursiKatramresursamnoteikt tāiesaistikritiskajosprocesosAtjaunošanāsRPO unRTOnoteikšana
  8. 8. Stratēģijas izvēle• Standarts prasa atspoguļot stratēģijas izvēlesprocesu (ka tāds vispār ir bijis)• Neprasa konkrētu metodoloģiju• Piemēri– Atjaunošanās ar saviem resursiem– Hot site/Cold site– Piegādes un darbības nodrošināšanas līgumi– Noteiktu pakalpojumu darbībaspārtraukšana/aizkavēšana
  9. 9. Darbības nepārtrauktības plānakomponentes• Plāna kopsavilkums (mērogs, mērķi, pieņēmumi)• Atbildības un lomas, lēmumu pieņemšanas kapacitātes• Izziņošana, iedarbināšana un eskalācija• BCM komanda• Kontaktinformācija• Darbu saraksts (checklists)• Atbalsta infromācija• Kritiskās darbības (plāns, RPO un RTO mērķi)• Atjaunojamie resursi un atjaunošanas vieta• Paraugi dokumentiem un formām
  10. 10. Apmācības un testēšana• Vismaz reizi gadā rekomendēts testēt• Testēšanai nebūtu jāaptur normāla biznesafunkcionēšana• Mērķis ir atrast vājos punktus, izlabot untestēt atkārtoti• Var testēt visu plānu (Disaster drill) vaiatsevišķas komponentes (component testing,module testing, linked testing)
  11. 11. Sasaiste ar IT jautājumiem• IT darbības nepārtrauktības plānošana ir daļano organizācijas kopējās nepārtrauktībasplānošanas– ISO 27001, ISO 17799 -> izrietoši LR MK765.noteikumi valsts informācijas sistēmām (Valstsinformācijas sistēmu vispārējās drošības prasības)netieši ietver šādu norādi– Bez organizācijas izvirzītām prioritātēm parinformācijas sistēmu drošību atbildīgajiem irneiespējami plānot IT darbības nepārtrauktību
  12. 12. CITI STANDARTI UN SAISTĪBA ARCITIEM DOKUMENTIEM
  13. 13. Atsauces citos standartos• LVS ISO/IEC 27001– A.14 kontroļu grupa izvirza prasības darbībasnepārtrauktības plānošanai– ISO 27031 (Guidelines for information andcommunication technology readiness for businesscontinuity)• ISO 28000 (Piegādes ķēdes drošība)
  14. 14. © ISO/IEC 2005 – All rights reserved 27conform to the rules for evidence laid down in the relevantjurisdiction(s).A.14 Business continuity managementA.14.1 Information security aspects of business continuity managementObjective: To counteract interruptions to business activities and to protect critical business processes from theeffects of major failures of information systems or disasters and to ensure their timely resumption.A.14.1.1Including informationsecurity in the businesscontinuity managementprocessControlA managed process shall be developed and maintained for businesscontinuity throughout the organization that addresses the informationsecurity requirements needed for the organization’s businesscontinuity.A.14.1.2 Business continuity and riskassessmentControlEvents that can cause interruptions to business processes shall beidentified, along with the probability and impact of such interruptionsand their consequences for information security.A.14.1.3Developing andimplementing continuityplans including informationsecurityControlPlans shall be developed and implemented to maintain or restoreoperations and ensure availability of information at the required leveland in the required time scales following interruption to, or failure of,critical business processes.A.14.1.4 Business continuity planningframeworkControlA single framework of business continuity plans shall be maintainedto ensure all plans are consistent, to consistently addressinformation security requirements, and to identify priorities for testingand maintenance.A.14.1.5Testing, maintaining and re-assessing businesscontinuity plansControlBusiness continuity plans shall be tested and updated regularly toensure that they are up to date and effective.4.28.4.3 (BIA, Riski)8.5.5. BC plāni8.4 Plānošana8.6.1 PārbaudesISO 22301
  15. 15. Citi standarti un metodoloģijas• BS 25999-1 (Britu standarts)• SS 540 (Singapūras standarts) – Darbības nepārtrauktība• SOX prasība• ISO 22399 – vadlīnijas gatavībai incidentiem un darbībasturpināšanai• ISO 24762 – ICT Disaster recovery• NIST 800-34 – Vadlīnijas kā saprast mērķus un porcesusinformācijas sistēmu nepārtrauktības plānošanā• NFPA 1600 (National Fire Protection Association) – kāpārvaldīt nepārtrauktību un izvērtēt esošās programmas
  16. 16. PALDIES

×