ISO 22301:2019 — обзор изменений

ISOКак и было запланировано, в 2019 году ISO выпустил новую версию стандарта 22301:2019 «Security and resilience — Business continuity management systems — Requirements». Напомню, предыдущая была выпущена 7 лет назад, в 2012 году. Не сказать, чтобы изменений было много, но они есть. Как раз, по ощущениям, на 118 швейцарских франков. Продолжить чтение «ISO 22301:2019 — обзор изменений»

Учиться, учиться и еще раз учиться :)

Обучение27 февраля, в среду, в Сетевой Академии Ланит будет проходить очередной курс по управлению непрерывностью бизнеса для руководителей C-уровня. Как обычно, будем говорить об основных принципах и подходах в управлении непрерывностью бизнеса — как правильно «продать» проект руководству компании, как определить стратегию управления непрерывностью бизнеса, как управлять проектом по созданию комплексной системы управления непрерывностью бизнеса. На практических занятиях будем проводить анализ воздействия на бизнес, оценку рисков, разработку основных элементов стратегии. По сравнению с курсами прошлого года будем больше говорить про новые стандарты ISO 22301 и 22313, на что надо обращать внимание, если вы хотите строить вашу систему с прицелом на последующую сертификацию.

Следующий курс будет только в конце апреля, так что еще есть возможность успеть.

Рамки системы менеджмента непрерывности бизнеса — как не ошибиться в самом начале

По итогам обучения на курсах ведущего аудитора BSI по ISO 22301 я осознал, насколько категоричен подход BSI к определению рамок системы менеджмента непрерывности бизнеса, и к возникновению каких проблем это может привести при дальнейшей сертификации.

Достаточно многие компании при построении своей системы менеджмента непрерывности бизнеса используют подход Business Continuity Institute, изложенный в BCI Good Practice Guidelines (последняя на сегодня версия — от 2010 года). Продолжить чтение «Рамки системы менеджмента непрерывности бизнеса — как не ошибиться в самом начале»

Сертификация по ISO 22301 — набираем темпы

Еще одна сертификация по ISO 22301 произошла в конце июля. Сертифицировалась британская консалтинговая компания — Needhams 1834, специализирующаяся как раз на непрерывности бизнеса. В реестре сертификатов BSI я ее не нашел, поэтому, скорее всего, сертификация прошла в другом органе (если узнаю в каком — напишу).

Достаточно познавательно почитать, как Andrew MacLeod описывает процесс перехода от BS 25999 к ISO 22301.

Первая сертификация по ISO 22301

BSI объявил о первой сертификации на соответствие ISO 22301 (сертификат #BCMS 536886, выданный испанскому банку BankInter).

Согласно реестру BSI, в рамки сертификации вошли: «processes of identification, authentication and signing on financial operations; their electronic evidence through the Internet; the mainframe banking operational information system; and the Equities Electronic Trading Infrastructure for its Tres Cantos and Alcobendas sites.»

Что немного удивило, по ощущениям — как-то все больше про ИТ. Честно говоря, от сертификации на 22301 я уж точно ждал большего акцента на непрерывность бизнеса в целом. География тоже неоднозначна — если посмотреть на карту офисов банка, то очевидно, что, например в Мадриде у него на порядок больше офисов, чем в соседнем  Алькобендасе, где у него, возможно, ЦОД.

До свидания, BS 25999

Наконец, опубликован и доступен для приобретения долгожданный BS ISO 22301:2012 «Societal security. Business continuity management systems. Requirements». Стандарт приходит на замену BS 25999-2:2007, который, тем не менее, остается действительным.

Стандарты — нужны ли они нам?

Очень интересная аналитика от Forrester и Disaster Recovery Journal попалась на глаза. Организации весьма уважаемые, поэтому статистике (в целом) я склонен верить. Респондентам задавали вопрос, в какой степени перечисленные стандарты повлияли на управление непрерывностью бизнеса в их организациях, и просили проставить оценку от 1 («никак», темно-синий), до 4 («в значительной степени», салатовый).

И получается, что добрая  половина организаций при разработке своих программ управления непрерывностью бизнеса вообще не использовала рекомендации ведущих стандартов — BS 25999,  NFPA 1600, ISO 27001. Правда, что странно, это то, что 6% успели «в значительной мере» воспользоваться стандартом ISO 22301, который еще даже не утвержден.

Пребываю в некоторой растерянности. Ибо стандарты реально хорошие… Но статистика вещь упрямая. Задумался. Попытался вспомнить хотя бы одну организацию, которая бы не пользовалась рекомендациями стандартов ни сама, ни опосредованно, через привлекаемых консультантов. Не вспомнил.

Может быть, кто-то из читателей сможет привести контрпример, и объяснит, почему?