第一次接触业务连续性管理,还是好多年前了。当时业务连续性这个领域,应该是刚在国内兴起。所以几乎很难找到相关资料,没有相关的书籍,在网络上的资料也很少。
后面因为做一个有关业务连续的方案,没办法只能去找一些博士论文作为参考。再后面,爱立信来当时所在的公司审核,第一眼我之前做的业务连续性方案,特别的惊讶,好奇问道,你们为什么做了这个,还说去他们其他供应商那里都没有做这个。因为当时那个业务连续性的方案,涉及到很多资源的投入,还有很多培训计划,也需要找外部资源,也因此爱立信审核人员,当即表示要见公司的最高管理者,他们大概以为公司高层管理层很重视业务连续性吧。
就算到今天,能够把ISO 22301说清楚的,估计人也不多。在写ISO 22301标准解读的文章之前,我也已经阅读了不少书籍。在那些书籍中,存在问题也不少。比如,CCAA某专家组长,兼CCAA培训讲师的某位专家出版的相关书籍,竟然把ISO 22301风险评估理解成信息安全风险评估,把他等同于ISO/IEC 27001中的信息安全风险评估,这样错的太离谱了,结果误人子弟,甚至导致很多审核员在审核时,审核ISO 22301风险评估之时,去审核信息安全风险评估的资料。
这个资料也同样可以用五个“最”来描述:最全面,最详尽,最清晰,最精准,最通俗易懂。
每篇文章包含四个部分,分别是【标准理解】、【行动要点】、【输出文档】和【审核要点】。
(1)概述
(2)1 范围
(3)4 组织环境/4.1 理解组织及其环境
(4)4 组织环境/4.2 理解相关方的需求和期望
(5)4 组织环境/4.3 确定业务连续性管理体系的范围
(6)4 组织环境/4.4 业务连续性管理体系
(7)5 领导作用/5.1 领导和承诺
(8)5 领导作用/5.2 方针
(9)5 领导作用/5.3 角色、职责和权限[付费]
(10)6 策划/6.1 应对风险和机遇的措施[付费]
(11)6 策划/6.2 业务连续性目标及其实现的策划[付费]
(12)6 策划/6.3 业务连续性管理体系变更的策划[付费]
(13)7 支持/7.1 资源[付费]
(14)7 支持/7.2 能力[付费]
(15)7 支持/7.3 意识[付费]
(16)7 支持/7.4 沟通[付费]
(17)7 支持/7.5 文件化信息[付费]
(18)8 运行/8.1 运行的策划和控制[付费]
(19)8 运行/8.2 业务影响分析和风险评估/8.2.1 总则[付费]
(20)8 运行/8.2 业务影响分析和风险评估/8.2.2 业务影响分析[付费]
(21)8 运行/8.2 业务影响分析和风险评估/8.2.3 风险评估[付费]
(22)8 运行/8.3 业务连续性策略和解决方案/8.3.1 总则[付费]
(23)8 运行/8.3 业务连续性策略和解决方案/8.3.2 识别策略和解决方案[付费]
(24)8 运行/8.3 业务连续性策略和解决方案/8.3.3 选择策略和解决方案[付费]
(25)8 运行/8.3 业务连续性策略和解决方案/8.3.4 资源要求[付费]
(26)8 运行/8.3 业务连续性策略和解决方案/8.3.5 实施解决方案[付费]
(27)8 运行/8.4 业务连续性计划和程序/8.4.1 总则[付费]
(28)8 运行/8.4 业务连续性计划和程序/8.4.2 事件响应机制[付费]
(29)8 运行/8.4 业务连续性计划和程序/8.4.3 预警和沟通[付费]
(30)8 运行/8.4 业务连续性计划和程序/8.4.4 业务连续性计划[付费]
(31)8 运行/8.4 业务连续性计划和程序/8.4.5 恢复[付费]
(32)8 运行/8.5 演练规划[付费]
(33)8 运行/8.6 业务连续性文件和能力评价[付费]
(34)9 绩效评价/9.1 监视、测量、分析和评价[付费]
(35)9 绩效评价/9.2 内部审核[付费]
(36)9 绩效评价/9.3 管理评审[付费]
(37)10 改进/10.1 不符合和纠正措施[付费]
(38)10 改进/10.2 持续改进[付费]
