ISO作為風(fēng)險(xiǎn)信息的主導(dǎo)源頭,為許多領(lǐng)域的機(jī)構(gòu)提供了數(shù)據(jù)、分析、決策支持方面的服務(wù),覆蓋保險(xiǎn)、金融、房地產(chǎn)、健康服務(wù)、機(jī)構(gòu)、人力資源和風(fēng)險(xiǎn)管理。ISO通過(guò)先進(jìn)技術(shù)的應(yīng)用收集、分析、開(kāi)發(fā)并傳遞信息,以幫助客戶評(píng)價(jià)和管理風(fēng)險(xiǎn),并在保險(xiǎn)精算、保險(xiǎn)償付、消防、詐騙預(yù)防、災(zāi)難和天氣風(fēng)險(xiǎn)、可預(yù)見(jiàn)性模型、數(shù)據(jù)管理、經(jīng)濟(jì)預(yù)測(cè)、社會(huì)和技術(shù)趨勢(shì)以及其他領(lǐng)域積累了大量的技術(shù)。
無(wú)論是火災(zāi)、地震,或者流行病,企業(yè)和其他組織在任何時(shí)候都有可能成為災(zāi)難的受害者。為應(yīng)付突發(fā)事件、維護(hù)企業(yè)利益、聲譽(yù)、品牌優(yōu)勢(shì)和價(jià)值,ISO / IEC制定了一個(gè)新的國(guó)際標(biāo)準(zhǔn)來(lái)幫助企業(yè)降低風(fēng)險(xiǎn),并能及時(shí)應(yīng)對(duì)危機(jī)。
ISO/IEC 24762:2008,《信息技術(shù)-安全技術(shù)-信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南》旨在為信息通信技術(shù)和恢復(fù)措施提供指南。在發(fā)生危機(jī)的時(shí)候,該標(biāo)準(zhǔn)通過(guò)解決信息安全和業(yè)務(wù)連續(xù)性管理的可用性來(lái)支持信息安全管理系統(tǒng)的運(yùn)作。
業(yè)務(wù)連續(xù)性計(jì)劃包括企業(yè)為其將來(lái)在全國(guó)性、地區(qū)性或地方性中有可能遇到的危機(jī)作好準(zhǔn)備,以保持其持續(xù)開(kāi)展核心業(yè)務(wù)、維持長(zhǎng)期穩(wěn)定性的能力。
根據(jù)ISO/IEC 24762:2008,業(yè)務(wù)連續(xù)性管理是任何整體性風(fēng)險(xiǎn)管理不可分割的一部分,包括:
■確定可能對(duì)一個(gè)組織的商業(yè)運(yùn)作造成不利影響的潛在威脅以及相關(guān)的風(fēng)險(xiǎn)。
■為商業(yè)運(yùn)作恢復(fù)提供一個(gè)框架。
■為有效應(yīng)對(duì)災(zāi)害提供設(shè)施、流程、緊急工作組名單等。
通過(guò)這一新標(biāo)準(zhǔn),企業(yè)能夠復(fù)原對(duì)其主營(yíng)業(yè)務(wù)至關(guān)重要的信息通信技術(shù)基礎(chǔ)設(shè)施,這將其業(yè)務(wù)連續(xù)性管理提供有效措施,并制定信息安全管理措施(以有效地保護(hù)信息的機(jī)密性、完整性和可用性)。
ISO / IEC 24762:2008的項(xiàng)目編輯表示,該標(biāo)準(zhǔn)從信息安全和通信的角度考慮了當(dāng)今的科技發(fā)展,以盡量減少危機(jī)形勢(shì)下的損失為主要目的。他強(qiáng)調(diào),標(biāo)準(zhǔn)中的應(yīng)急安排既有助于減少災(zāi)害期間的輕微故障,更能將災(zāi)害期間并在相當(dāng)長(zhǎng)的恢復(fù)時(shí)期內(nèi)確保信息和服務(wù)的可用性, 因?yàn)楝F(xiàn)在世界各地的組織更容易受恐怖主義的威脅以及自然災(zāi)害、海盜和其他災(zāi)害的影響。
該標(biāo)準(zhǔn)包括實(shí)施、測(cè)試和執(zhí)行方面的災(zāi)難恢復(fù)指南,并適用于“內(nèi)部”和“外包”兩種信息和通信技術(shù)方面的物質(zhì)設(shè)施和服務(wù)的提供。它為下述內(nèi)容提供了指南:
■為災(zāi)難恢復(fù)(如利用公共廣播系統(tǒng)來(lái)提醒工作人員離開(kāi)大廈或規(guī)定所有電子門(mén)可以從內(nèi)手動(dòng)打開(kāi))實(shí)施、運(yùn)行、監(jiān)督和保持必要的設(shè)施和服務(wù)。
■為組織的信息通信技術(shù)系統(tǒng)提供應(yīng)急和恢復(fù)支持。
■外包信息通信技術(shù)服務(wù)提供者應(yīng)該擁有的能力和他們應(yīng)該遵循的準(zhǔn)則,以提供基本的安全作業(yè)環(huán)境,并促進(jìn)組織恢復(fù)工作。
■選擇一個(gè)恢復(fù)站點(diǎn)(如考慮環(huán)境穩(wěn)定,良好的基礎(chǔ)設(shè)施等因素)。
■信息通信技術(shù)服務(wù)提供商不斷提高他們的信息通信技術(shù)服務(wù)的要求。
ISO / IEC 24762:2008是ISO和IEC 的聯(lián)合技術(shù)委員會(huì)ISO/IEC JTC1制訂的措施。該標(biāo)準(zhǔn)可以輔助其他兩個(gè)ISO/IEC聯(lián)合標(biāo)準(zhǔn),為信息安全方面的業(yè)務(wù)連續(xù)性管理提供控制目標(biāo),以進(jìn)一步降低風(fēng)險(xiǎn),包括ISO / IEC 27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、ISO / IEC 27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理的實(shí)務(wù)守則》。