Dejan Kosutic Един от най-големите мистерии в изпълнението на изискванията на ISO 27001 е приложение А, раздел A.17, което говори за управление на непрекъсваемостта на бизнеса. Как непрекъсваемостта на работата се отнася до сигурността на информацията, и защо е включена в ISO 27001? За съжаление ISO 27001 не предоставя много подробности, когато става въпрос за непрекъсваемостта на работата.
За да се обърката повече, ISO 27001 говори за „аспекти на информационна сигурност при управление на непрекъсваемостта на работата“ – какво означава това? Това по същество означава, че една компания/организация трябва да позволи на информационната сигурност да продължи дейността си след инцидент. Обаче тъй като сигурност на информацията само по себе си (без основната дейност и ИТ процеси) няма смисъл, компаниите/организациите обикновено планират своята непрекъсваемост на работата за всички важни операции (бизнес и ИТ).
Колко близки са ISO 27001 и ISO 22301?
На първо място, информационната сигурност и непрекъсваемоста на работата имат едно много важно общо нещо – и двата стандарта защититават наличността на информацията – ето защо ISO 27001 е необходимо да включи контроли за непрекъсваемоста на работата в неговото приложение А.
ISO 22301 е водещ международен стандарт за непрекъсваемост на работата (вижте прегледа тук: Какво е ISO 22301?), и като всички ISO стандарти, той се основава на цикъл на план-прилагане-проверка-действие (Plan-Do-Check-Act cycle). Това означава, че практически той има практически същите управленски елементи като ISO 27001 и другите ISO стандарти: контрол на документите, вътрешен одит, корективни действия, преглед от ръководството, обучение и информираност и др.
Така че ако вече сте приложили всички тези елементи за ISO 27001, тогава вече сте напълно съвместим с ISO 22301 когато става въпрос за управлението на системата. Има и някои други елементи на ISO 27001, които са напълно съвместими с ISO 22301 – например, управление на риска – вижте тази статия за подробности: Може ли оценката на риска от ISO 27001 да се използва за ISO 22301?
Къде те са различни?
ISO 27001 е по скоро беден когато става въпрос за документиране на непрекъсваемостта на работата – като основа е достатъчно да напишете План за възстановяване след бедствия за да покриете A.17.1.2 контролата (която изисква прилагането на процедури за непрекъснатост) и контролата A.17.2.1 (която изисква достъпност на ИТ, по точно, ненужност). Вижте също: Списък от задължителни документи изисквани от ISO 27001 (преработка 2013).
От друга страна, както може да се очаква, ISO 22301 изисква изготвянето на повече документи, повечето, от които за елементите на непрекъсваемостта на работата/бизнеса:
- Политика за непрекъснатост на работата/бизнеса (виж също: Предназначението на политиката за непрекъсваемост на работата/бизнеса в съответсвие с ISO 22301.)
- Анализи за въздездействието върху работата/бизнеса (виж също: Как да приложим анализите на въздействието върху бизнеса в съответсвтие с ISO 22301)
- Стратегия за непрекъснатост на работата/бизнеса (виж също: Може ли стратегията за непрекъсваемост на работата/бизнеса да ви спести средства?)
- Планове за непрекъсваемост на работата/бизнеса (виж също: План за непрекъсваемост на работата/бизнеса: Как да го структурираме в съответсвие с ISO 22301?)
- Упражняване и тестване (виж също: Как да извършваме упражнения и тесване за непрекъснатост на работата/бизнеса в съответсвие с ISO 22301?)
И така, какво означава това на практика? Въпреки че ISO 27001 ви позволява да осъществите непрекъснатостта на вашия бизнес само с един документ; в действителност, ако искате да подготвите фирмата си правилно, ще ви трябват повече. И ISO 22301 ви дава кноу-хау.
Как да използвате ISO 22301 за ISO 27001
Според мен най-добрият начин да използвате това ноу-хау от ISO 22301 е да го приложите като подпроект на ISO 27001 – това означава, че трябва да внедрите своя ISO 27001, както сте планирали, а когато става дума за раздел А.17 трябва да приложите горепосочените основни елементи за непрекъсваемост на дейността от ISO 22301.
Всъщност, тъй като всички останали елементи на ISO 22301 са същите като в ISO 27001, Вие ще изпълнявате и двата стандарта по едно и също време. И най-доброто от всичко – това допълнително усилие е само 10% от цялото усилие за внедряване на ISO 27001.
Така че, вярно е, че можете да постигнете съответствие с раздел A.17 в ISO 27001, като напишете един документ – план за възстановяване след бедствие. Въпреки това, ISO 22301 ви дава възможност да направите много повече – да подготвите фирмата си да продължи да изпълнява всички свои важни операции, ако се появи истинско бедствие. Това струва ли допълнително усилие от 10%?
Разгледайте този безплатен уеб семинар ISO 27001 и ISO 22301: Защо е по-добре да ги приложим заедно? което ще обясни сходствата на тези два стандарта по-подробно.
Благодарим на Йордан Първанов за превода на български език.