· 公众号:业务连续性+ 原文链接 ↗

ISO 22301白皮书

  1. ISO 22301介绍 2012年,国际标准化组织(ISO)正式发布了 《ISO 22301: 2012 Societal security – Business continuity management system – Requirements》和《ISO 22313: 2012 Societal security – Business continuity management system – Guidance》,ISO 22301指明了建立和管理一个高效业务连续性管理体系的要求,ISO 22313则阐述了如何建立、实施、保持和改进组织的业务连续性管理体系。我国已等同采用ISO 22301和ISO 22313为国家标准。

各种类型的事件,从大规模的自然灾害和恐怖活动到技术事故和环境事件,都可能影响到组织,即使有时候这些事件发生的概率并不高,但一旦事件发生,仍可能会对组织产生重大影响,这使人们意识到公共和私营部门必须知道如何准备和应对意外和破坏性事件。ISO 22301帮助组织(无论其规模、业务和所处位置)对事件做好更充分地的准备,并更有信心应对各种类型的中断。

ISO 22301提供了一个框架,用于规划,建立,实施,运行,监控,评审,保持和持续改进业务连续性管理体系(BCMS)。它可以帮助组织为应对破坏性事件时进行预防,准备,响应和恢复。开发标准的ISO技术委员会秘书Stefan Tangen博士指出:“实施ISO 22301的组织将能够向立法者,监管机构,客户,潜在客户和其他相关方证明他们遵循BCM的良好实践”,“它也可以由需要向管理层报告的审计人员用于衡量组织的实践”。

ISO 22301将协助组织设计适合其需求并满足相关方要求的BCMS。这些要求由法律法规、行业环境、组织的产品和服务、规模和结构、流程以及相关方等因素确定。负责编写ISO 22301的项目负责人Dave Austin解释说:“为了更好地运作,ISO 22301需要组织彻底了解相关方的需要和期望。BCM不只是一个项目或制定“预案”,而是一个持续的管理过程,要求为关键人员在需要时提供适当的支持和结构。”

鉴于业务连续性在各个领域的重要作用,ISO 22301具有巨大的全球潜力。到目前为止,许多国家已采用ISO 22301作为国家标准。世界各地的企业都希望采用良好实践并获得该标准的认证。

ISO 22301系列标准 2014年,负责ISO 22301和ISO 22313的ISO/TC 223和ISO/TC 247和ISO/PC 284合并为ISO/TC 292, SIS(Swedish Standards Institute ,瑞典标准化研究院)被选为秘书处。目前,ISO/TC 292已发布和正在编写的业务连续性管理相关标准有:

• ISO 22301 :2012社会安全 - 业务连续性管理体系 - 要求 [正在修订 - 第2版],预计2019年发布; • ISO 22313 :2012 社会安全 - 业务连续性管理体系 - 指南 [正在修订 - 第2版],预计2019或2020年发布; • ISO/TS 22317 :2015 社会安全 - 业务连续性管理体系 - 业务影响分析指南; • ISO/TS 22318 :2015 社会安全 - 业务连续性管理体系 - 供应链连续性指南; • ISO/TS 22330 :2018 安全和韧性 - 业务连续性管理体系 - 业务连续性中人员方面的指导; • ISO/TS 22331 :2018 安全和韧性 - 业务连续性管理体系 - 业务连续性策略指南; • ISO/TS 22332 安全和韧性 - 业务连续性管理体系 - 业务连续性程序制定指南 [开发中] – 第1版]; • ISO/IEC/TS 17021-6 :2014符合性评估 - 管理体系审核和认证机构要求 - 第6部分:业务连续性管理体系审核和认证的能力要求。

业务连续性管理的PDCA模型 ISO 22301采用“策划(Plan)-实施(Do)-检查(Check)-改进(Action)”(PDCA)模型来策划、建立、实施、运行、监视、评审、保持和改进组织BCMS的有效性。

下图说明了BCMS如何把相关方的业务连续性需求和期望以及内外部问题作为输入,并通过必要的措施和过程,产生满足这些要求的连续性输出(如受控的业务连续性)。

配图

应用于BCMS过程的PDCA

策划 (建立) 建立和改进业务连续性管理相关的业务连续性方针、目标、控制措施、过程和程序,以提供与组织的总方针和目标相一致的结果 实施 (实施和运行) 实施和运行业务连续性的方针、控制措施、过程和程序 检查 (监视和评审) 对照业务连续性方针和目标,监视和评审业务连续性的绩效,并将结果报告管理者以供评审,确定和授权纠正和改进措施 改进 (保持和改进) 基于管理评审以及重新评审的业务连续性管理体系的范围、方针和目标的结果,采取纠正措施,以持续改进BCMS

业务连续性管理关键过程(基于ISO 22301) ISO 22301 指明了建立和管理一个高效业务连续性管理体系的要求 , ISO 22313则阐述了如何建立、实施、保持和改进组织的业务连续性管理体系,二者保持了完全相同的结构 。下面先给出PDCA模型与第4章到第10章之间的对应关系,然后再分别简要介绍。

PDCA组成部分 与PDCA组成部分对应的章节 策划 (建立) 第4章(组织环境)阐述了组织做什么以确保满足BCMS要求,并考虑所有相关的外部和内部因素,包括: ━━相关方的需求和期望; ━━法律法规责任; ━━BCMS所要求的范围 第5章(领导力)阐述了管理者在证明承诺、确定方针、建立角色、职平和授权方面的关键作用 第6章(策划)描述建立整体BCMS的战略目标和指导原则所需的措施。为业务影响分析,风险评估(8.2)和业务连续性策略(8.3)建立环境 第7章(支持)确定支持BCMS所需的关键要素,即资源、能力、意识、沟通和存档信息。 实施 (实施和运行) 第8章(实施)确定为达成业务连续性目标所需的业务连续性管理(BCM)要素 检查 (监视和评审) 第9章(绩效评价)通过绩效测量和评价提供BCMS改进基础 改进 (保持和改进) 第10章(改进)包括通过绩效评估识别针对不符合所采取的纠正措施

第4章组织环境 确定与组织宗旨相关、并影响其达成BCMS预期结果的能力的内外部问题,如: • 组织的活动(业务)、职能、服务、产品、伙伴关系、供应链、与相关方的关系以及破坏性事件的潜在影响; • 业务连续性方针与组织目标和其他方针之间的联系,包括其总体风险管理策略; • 组织的风险偏好; • 有关相关方的需求和期望; • 适用的法律、法规和组织同意的其他要求; • 确定BCMS的范围,同时考虑组织的战略目标、关键产品和服务、风险容忍度,以及任何监管、合同或相关方的义务也是本条款的一部分。

第5章领导力 最高管理层需要展示其对BCMS的持续承诺。通过领导和行动,管理层可以创造一种环境,在这种环境中,不同的角色充分参与,管理体系与组织的目标协同并有效地运行。最高管理层负责: • 确保BCMS与组织的战略方向相适应; • 将BCMS要求整合到组织的业务流程中; • 为BCMS提供必要的资源; • 传达有效的业务持续性管理的重要性; • 确保BCMS达到预期的结果;指导和支持持续改进; • 建立和沟通业务连续性方针; • 确保BCMS目标和计划的建立; • 确保为相关角色分配职责并授权。

第6章策划 这是关键的一步,因为它涉及到从整体上建立战略目标和指导原则。BCMS的目标是表达组织两方面的意图:处置所识别的风险和/或遵守组织必需满足的要求。因此,业务连续性目标必须: • 与业务连续性方针相一致; • 考虑组织达成其目标可接受的产品和服务的最低水平; • 可测量; • 考虑适用的要求; • 可监测和酌情更新。

第7章支持 有效BCMS的日常管理依赖于为每个任务使用适当的资源,还包括:有相关培训(可证明)、得到支持服、有意识和沟通的能干人员;适当管理的存档信息的支持;组织的内外部沟通都必须包括业务连续性,如沟通的方式、内容和时要;在本章中还指明了对存档信息创建、更新和控制方面的要求。

第8章实施 在BCMS规划完成后,组织必须把它实施并运行起来。本章内容包括:

业务影响分析 (BIA):使组织能够识别支持其关键产品和服务的关键业务、业务之间的互依赖性,以及以最低可接受水平运营业所必需的资产和资源。

风险评估 (Risk Assessment):ISO 22301建议参考ISO 31000标准来实施风险评估,目标是建立、实施和维护一个正式文档化的风险评估过程,用以系统地识别、分析和评价破坏性事件对组织的风险。

配图

业务影响分析与风险评估

业务连续性策略 (Business Continuity Strategy):在由BIA和风险评估确立需求后,可以制定策略以确定使组织保护和恢复关键业务的安排(基于组织的风险容忍度和确定的恢复时间目标)。经验和良好实践表明,尽早准备组织业务连续性策略将确保BCM活动符合并支持组织的总体业务战略。业务连续性策略应该是机构公司战略的组成部分。

业务连续性程序 (Business Continuity Procedures):组织应记录程序(包括必要的安排),以确保业务的连续性和对破坏性事件的管理。这些程序必须: • 建立适当的内部和外部沟通协定; • 具体说明在中断期间要采取的步骤; • 灵活应对非预期威胁和变化的内外部状况; • 重点关注那些可能会破坏运营的事件的影响; • 基于已阐明假设和互依赖性分析制定;并 • 通过实施适当的缓解策略有效地最小化后果。

演练和测试 (exercising and testing):为确保业务连续性程序与其业务连续性目标一致,组织应定期对其进行测试。演练和测试是验证业务连续性计划和程序的过程,以确保所选策略能够在管理层商定的时间范围内提供响应和恢复结果。

第9章绩效评价 一旦BCMS实施,ISO 22301要求对管理体系进行持续监视并定期评审以改进其运行: • 监视组织的业务连续性方针、目标和目标满足的程度; • 测量保护其优先活动的过程、程序和功能的绩效; • 监视对ISO 22301和业务连续性目标的遵从情况; • 监视在按计划时间内审中发现的BCMS缺陷绩效的历史证据;并在按计划时间进行的管理评审中进行评估。

第10章改进 持续改进可以被定义为全组织为改进保护过程和控制的有效性(达到目标)和效率(最佳成本/收益比)而采取的所有行动,以给组织及其相关方带来更多的收益。组织可以通过使用业务连续性方针、目标、审计结果、被监测事件的分析、指标、纠正和预防措施以及管理评审,不断改进其管理体系的有效性。

与ISO/IEC 27001的联系 许多信息安全专业人员都是通过ISO 27001最早了解到业务连续性管理的。事实上,ISO/IEC 27001:2005中条款A.14-业务连续性管理提出了5项要求,由于发布早、影响大,有相当一部分组织在进行ISO 27001认证时建立了业务连续性预案。在ISO 22301:2012推出后,专业咨询机构更是提出ISO 22301可用于直接遵守ISO 27001:2005条款A.14-业务连续性管理的目标。有专家进一步指出,在亚洲和中欧,对信息安全的重视推动了业务连续性管理在当地的普及和发展。

但是,业务连续性管理本身是一个很大的框架,涉及到自然灾害、意外意事、设备故障和故意行为等引发的多类事件,不仅仅与信息资产相关;同时,在ISO内部,业务连续性管理和信息安全管理归属于不同的技术委员会;为解决这两者之间的交叉和可能产生的混淆,随着ISO 27001:2013的推出,其中的条款A.17-业务连续性管理的信息安全方面提出了4项要求,ISO 27001:2013的重点在于信息安全连续性,强调在这个框架下的信息安全保持预定水平(换句话说,就是无论在什么情况下,信息安全要保持),其目标描述也更加落实。

ISO/IEC 27001:2005 ISO/IEC 27001:2013 A.14业务连续性管理 A.17业务连续性管理的信息安全方面 A.14.1 业务连续性管理的信息安全方面 A.17.1 信息安全的连续性 目标:防止业务活动中断,保护关键业务过程免受系统重大失误或灾难的影响,并确保它们及时恢复 目标:应将信息安全连续性纳入组织业务连续性管理之中 A.14.1.1 在业务连续性管理过程中包含信息安全 控制 应为贯穿于组织的业务连续性开发和保持一个管理过程,以解决组织的业务连续性管理所需的信息安全要求 A.17.1.1 规划信息安全连续性 控制 组织应确定在不利情况(如危机或灾难)下,对信息安全及信息安全管理连续性的要求 A.14.1.2 业务连续性和风险评估 控制 应识别能引起业务过程中断的事态,连同这种中断发生的概率和影响,以及它们对信息安全所造成的后果 A.17.1.2 实施信息安全连续性 控制 组织应建立、文件化、实现并维护过程、规程和控制,以确保在不利情况下信息安全连续性达到要求的级别 A.14.1.3 制定和实施包含信息安全的连续性计划 控制 应制定和实施计划来保持或恢复运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性 A.17.1.3 验证、评审和评价信息安全连续性 控制 组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的 A.14.1.4 业务连续性计划框架 控制 应保持一个唯一的业务连续性计划框架,以确保所有计划是一致的,能够协调地解决信息安全要求,并为测试和维护确定优先级 A.17.2 冗余 目标:确保信息处理设施的可用性 A.14.1.5 测试、维护和再评估业务连续性计划 控制 业务连续性计划应定期测试和更新,以确保其及时性和有效性 A.17.2.1 信息处理设施的可用性 控制 信息处理设施应当实现冗余,以满足可用性要求 ISO 27001:2005和ISO 27001:2013关于业务连续性管理方面要求的对比

与其它业务连续性管理标准的联系 ISO 22301:2012正式发布后,已为许多国家采纳为国际标准,但仍有一些相关的标准在不同领域发挥着自己的作用,下面简要介绍一下ISO 27031:2011,ISO 24726:2008,NFPA 1600:2015。

ISO/IEC 27031:2011 Information technology – Security techniques - Guidelines for information and communication technology readiness for business continuity(业务连续性的ICT准备指 南),描述了业务连续性中信息和通信技术 (ICT) 准备的概念和原则,并提供了一个方法和流程框架来识别和指明为提高组织 的ICT 准备度确保业务连续性的所有方面(如绩效标准、设计和实施)。它适用于任何组织(私营,政府和非政府组织,无论规模大小)为业务连续性规 划(IRBC)发展其ICT准 备度,并要求其 ICT服务/ 基础设施在可能影响其关键业务功能的连续性(包括安全性)的事件中或相关的中断中随时准备支持业务运营。该标准发 布于2011年3月,取代了BS 25777, 在今年的评审中被确定将进行修订。

ISO/IEC 24762:2008 Information technology — Security techniques — Guidelines for information and communications technology disaster recovery services(灾难恢复服务ICT指南),为灾难恢复服务(作为业务连续性的一部分)提供了ICT的指南,适用于物理设施和服务“内部”或“外包”的ICT服务提供方。ISO/IEC 24762:2008规定了: 实施、运行、监测和维护 ICT DR服务和设施方面的要求;为组织恢复工作提供基本的安全运营环境和设施,ICT DR外包服务提供方应具备的能力及应遵循的实践;恢复场地选择指导;ICT DR服务提供方持续改进ICT DR服务的指南。该标准最初源于SS 507(新加坡国家标准,可认证的标准,最新版发布于2015年),2008年发布,2014年废止。

NFPA 1600:2016 Standard on Disaster/Emergency Management and Business Continuity/Continuity of Operations Programs(灾难/应急管理和业务连续性/运营连续性规划指南),1995年首次发布,目前已成为西半球的主要标准,许多美国公司使用NFPA 1600作为其全球灾难恢复/应急/业务连续性计划的基础。NFPA 1600广泛应用于地方、区域、国家、国际和全球的公共、非营利、非政府和私营组织,美国受恐怖袭击事件国家调查委员会(9/11委员会)认可NFPA 1600为国家准备标准(National Preparedness Standard®),被美国国土安全部采纳为应急准备的自愿共识标准。

ISO/IEC 27031面向最终用户,用更高层级的框架描述作为组织业务连续性规划组成部分的IT DR活动,适用于全组织的ICT部分;ISO/IEC 24762面向灾难恢复服务提供方,更详细地描述了IT DR服务方应解决的技术问题,适用于“内部”或“外包”的灾难恢复提供方。与ISO 22301相比,NFPA 1600更加详细,在不使用其他参考的情况下实现业务连续性可能更容易,同时,由于它的许多要求比ISO 22301更全面,因此它可能更适合中型和大型组织。

与其它管理体系的集成 在ISO–High Level Structure (Annex SL)推出后,多管理体系的集成变得更为容易。事实上,ISO 22301:2012是最早按照ISO Guide 83(Annex SL的前身)编写的国际标准之一。

Annex SL: 通用结构 Annex SL是ISO创建的高层结构,用于为所有管理体系标准提供通用的高层级结构、相同的核心文本以及通用术语和定义。它的目的是使组织更容易遵从多个管理体系标准。

Annex SL的核心文本有十个高层级章节: 1. 范围:范围界定管理体系的预期结果。该结果是行业特定的,应与组织环境(第4章)相一致。 2. 规范性引用文件:提供与特定标准相关的参考标准或出版物的细节。 3. 术语和定义:通用术语和核心定义。 4. 组织环境(包含4节): 4.1 了解组织及其环境 4.2 了解相关方的需求和期望 4.3 确定管理体系范围 4.4 管理体系 5. 领导力(包含3节): 5.1 领导力和承诺 5.2 方针 5.3 组织的角色、职责和授权 6. 策划(包含2节): 6.1 应对风险和机会的措施 6.2 管理体系目标和实施计划 7. 支持(包含5节): 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 存档信息 8. 实施(包含1节): 8.1 可操作的策划和控制 9. 绩效评价(包含3节): 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10. 改进(包含2节) 10.1 不符合和纠正措施 10.2 持续改进 Annex SL共有45个“应”(shall)语句”形成84项要求。在这个通用的结构化框架之外,特定标准可增加相应的要求。

当前,ISO 9001:2015,ISO 14001:2015,ISO 20000-1:2018,ISO 22000:2018,ISO 22301:2012,ISO/IEC 27001:2013,ISO 41001:2018,ISO 45001:2018,ISO 5001:2018和ISO 55001:2014等管理体系标准已按照Annex SL指定的格式编写(或修订),这将及大的促进这些不同的管理体系集成实施,帮助组织采用“联合审核”,以(合理)有限的精力和预算投入实现合规目标。

从“Societial Security 到 Security and Resilience” - ISO 22301的历史,现状和未来 ISO 22301和ISO 22313这两个标准都是于2012年首次发布,并在去年(2017年)的5年评审中被确定进行修订,很可能将在2019或2020年分别发布为:《ISO 22301: 20xx 安全和韧性 – 业务连续性管理体系 – 要求》(Security and resilience — Business continuity management systems — Requirements)和《ISO 22313: 20xx 安全和韧性 – 业务连续性管理体系 – 实施指南》(Security and resilience — Business continuity management systems – Guidance)。

细心的朋友可能已注意到,以上提及的标准中,原来的“Societal security”(社会安全,国标译为“公共安全”,有争议)全部替换为“Security and resilience”(安全和韧性),这主要是负责该标准的技术委员会已从ISO/TC 223转为ISO/TC 292,下面介绍一下这些变化。

ISO 22301的开发过程可谓“旷日持久”。2000年俄罗斯库尔斯克核潜艇在参加军事演习沉没到巴伦支海底是形成ISO/TC 223的主要推动力,事故发生后的救援行动证明了国际社会缺乏必要的工具在紧急情况下有效合作,俄罗斯标准组织GOST提出建立ISO/TC223标准的倡议。最初名为“民防”(Civil defense),委员会是为规范国际应急程序而设立的。不幸的是,这一举措并未有效推进。随着恐怖主义行动(包括9/11袭击纽约和华盛顿),以及当时的自然灾害激增,使得ISO对标准化在安全领域的作用进行了大规模的评估。2005年,委员会由SIS接管,瑞典标准协会和Ambassador Krister Kumlin被任命为主席。为了更好地反映其对威胁民间社会的破坏性事件采取更广泛措施的野心,ISO/TC223被更名为“Societal security”(社会安全)。委员会的范围广泛,涵盖人为或自然灾害发展的各个阶段。自2006年5月在斯德哥尔摩举行的第一次会议以来,ISO/TC 223的成员稳步增长。

Societal security(社会安全,不是social security,那是社会保障)是哥本哈根学派提出的一个概念,它指的是“一个社会在不断变化的条件和可能的或实际的威胁下保持其本质特征的能力”。欧洲社会安全研究小组(The European Societal Security Research Group)在瑞典民事应急机构(Swedish Civil Contingencies Agency)提供基金的支持下,汇集了一个跨学科的学者小组,其重点是扩大欧盟的安全作用。从欧洲以外的军事和民事任务,到欧洲内部的反恐、健康保障、食品安全和关键基础设施保护,欧盟成员国现在在多个新领域开展合作。这些合作旨在提高欧盟整体管理危机和保护个人免受伤害的能力。欧盟不断扩大的安全作用,在其他国家的语境中,被描述为“国土安全”(homeland security),而在欧洲,则是用“社会安全”(societal security)。

2013年,ISO开始讨论如何更好地协调安全领域的标准制定;2014年,ISO决定将ISO/TC 223,ISO/TC 247和ISO/PC 284合并为ISO/TC 292,致力于安全领域的标准化工作,以提高社会的安全和韧性。ISO/TC 292于2015年1月1日成立,SIS(Swedish Standards Institute ,瑞典标准化研究院)被选为秘书处,Åsa KYrk Gere女士被任命为主席。ISO/TC 292于3月9日至13日在日本盛冈举行了第一次全体会议。5月15日,它发布了第一个标准:“ISO 22322社会安全 - 应急管理 - 公共预警指南”。6月,采用“安全和韧性”的标题和范围。成立了6个工作组 来开展工作。公布了ISO 22324,ISO/TS 22317,ISO/TS 22318,ISO/TR 22351和ISO 18788。

重要参考 可参阅以下文章,更全面、深入地了解业务连续性和韧性(business continuity and resilience)领域的进展: 阅读与思考20180812·BCM & Resilience 更新

本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接