Tổng quan

Tiêu chuẩn ISO / IEC 27031: 2011

Giới thiệu

Trong những năm qua, công nghệ thông tin và truyền thông (ICT) đã trở thành một phần không thể thiếu của nhiều hoạt động, là yếu tố của cơ sở hạ tầng quan trọng trong tất cả các lĩnh vực tổ chức, dù là nhà nước, tư nhân hay tự nguyện. Sự gia tăng của Internet và các dịch vụ mạng điện tử khác cũng như khả năng ngày nay của các hệ thống và ứng dụng, cũng có nghĩa là các tổ chức ngày càng phụ thuộc hơn vào cơ sở hạ tầng CNTT-TT đáng tin cậy, an toàn và bảo mật.

Trong khi đó, nhu cầu về quản lý liên tục trong kinh doanh (BCM), bao gồm chuẩn bị sẵn sàng sự cố, lập kế hoạch khắc phục thảm họa, quản lý và ứng phó khẩn cấp, đã được công nhận và hỗ trợ với các lĩnh vực kiến ​​thức, chuyên môn và tiêu chuẩn cụ thể được phát triển và ban hành trong những năm gần đây, bao gồm Tiêu chuẩn quốc tế BCM do ISO / TC 223 phát triển.

CHÚ THÍCH: ISO / TC 223 đang trong quá trình phát triển Tiêu chuẩn quốc tế về quản lý tính liên tục trong kinh doanh có liên quan ( ISO 22301 ).

Sự cố của các dịch vụ ICT, bao gồm cả việc xảy ra các vấn đề bảo mật như xâm nhập hệ thống và nhiễm phần mềm độc hại, sẽ ảnh hưởng đến tính liên tục của hoạt động kinh doanh. Do đó, việc quản lý ICT và tính liên tục có liên quan và các khía cạnh bảo mật khác tạo thành một phần quan trọng của các yêu cầu về tính liên tục của doanh nghiệp. Hơn nữa, trong phần lớn các trường hợp, các chức năng kinh doanh quan trọng đòi hỏi tính liên tục của doanh nghiệp thường phụ thuộc vào ICT. Sự phụ thuộc này có nghĩa là sự gián đoạn đối với CNTT-TT có thể tạo thành rủi ro chiến lược đối với danh tiếng của tổ chức và khả năng hoạt động của tổ chức.

Sẵn sàng cho CNTT-TT là một thành phần thiết yếu đối với nhiều tổ chức trong việc thực hiện quản lý tính liên tục của doanh nghiệp và quản lý an ninh thông tin. Là một phần của việc triển khai và vận hành hệ thống quản lý an toàn thông tin (ISMS) được quy định trong ISO / IEC 27001 và hệ thống quản lý tính liên tục trong kinh doanh (BCMS), điều quan trọng là phát triển và thực hiện kế hoạch sẵn sàng cho các dịch vụ ICT để giúp đảm bảo hoạt động kinh doanh liên tục.

Do đó, BCM hiệu quả thường phụ thuộc vào sự sẵn sàng CNTT-TT hiệu quả để đảm bảo rằng các mục tiêu của tổ chức có thể tiếp tục được đáp ứng trong thời gian có sự gián đoạn. Điều này đặc biệt quan trọng vì hậu quả của sự gián đoạn đối với CNTT-TT thường có thêm sự phức tạp là vô hình và / hoặc khó phát hiện.

Để một tổ chức đạt được Sẵn sàng CNTT-TT cho Doanh nghiệp liên tục (IRBC), tổ chức cần phải đưa ra một quy trình có hệ thống để ngăn chặn, dự đoán và quản lý sự gián đoạn CNTT-TT và các sự cố có khả năng làm gián đoạn các dịch vụ CNTT-TT. Điều này có thể đạt được tốt nhất bằng cách áp dụng các bước theo chu kỳ Plan-Do-Check-Act (PDCA) như một phần của hệ thống quản lý trong ICT IRBC. Bằng cách này, IRBC hỗ trợ BCM bằng cách đảm bảo rằng các dịch vụ ICT có khả năng phục hồi khi thích hợp và có thể được phục hồi về mức xác định trước trong khoảng thời gian được tổ chức yêu cầu và đồng ý.

Bảng 1 - Chu trình Kế hoạch - Thực hiện - Kiểm tra - Hành động trong IRBC

Nếu một tổ chức đang sử dụng ISO / IEC 27001 để thiết lập ISMS và / hoặc sử dụng các tiêu chuẩn liên quan để thiết lập BCMS, thì việc thiết lập IRBC nên xem xét các quy trình hiện có hoặc dự kiến ​​liên kết với các tiêu chuẩn này. Mối liên kết này có thể hỗ trợ việc thành lập IRBC và cũng tránh bất kỳ quy trình kép nào cho tổ chức. Hình 1 tóm tắt sự tương tác của IRBC và BCMS.

Trong việc lập kế hoạch và thực hiện IRBC, một tổ chức có thể tham khảo ISO / IEC 24762: 2008 trong việc lập kế hoạch và cung cấp các dịch vụ khắc phục thảm họa CNTT-TT, bất kể các dịch vụ đó có được cung cấp bởi một nhà cung cấp thuê ngoài hay nội bộ cho tổ chức hay không.

Hình 1 - Tích hợp IRBC và BCMS

1 Phạm vi

Tiêu chuẩn này mô tả các khái niệm và nguyên tắc về sự sẵn sàng của công nghệ thông tin và truyền thông (ICT) cho sự liên tục của hoạt động kinh doanh, đồng thời cung cấp một khuôn khổ các phương pháp và quy trình để xác định và chỉ rõ tất cả các khía cạnh (như tiêu chí hoạt động, thiết kế và thực hiện) để cải tiến tổ chức Sẵn sàng cho CNTT-TT để đảm bảo hoạt động kinh doanh liên tục. Nó áp dụng cho bất kỳ tổ chức nào (tư nhân, chính phủ và phi chính phủ, không phân biệt quy mô) đang phát triển chương trình sẵn sàng CNTT-TT cho hoạt động kinh doanh liên tục (IRBC) và yêu cầu các dịch vụ / cơ sở hạ tầng CNTT-TT của mình sẵn sàng hỗ trợ hoạt động kinh doanh trong trường hợp xuất hiện các sự kiện và sự cố, và các gián đoạn liên quan, có thể ảnh hưởng đến tính liên tục (bao gồm cả bảo mật) của các chức năng kinh doanh quan trọng.

Phạm vi của tiêu chuẩn này bao gồm tất cả các sự kiện và sự cố (bao gồm cả liên quan đến bảo mật) có thể có tác động đến cơ sở hạ tầng và hệ thống ICT. Nó bao gồm và mở rộng các hoạt động xử lý và quản lý sự cố an toàn thông tin, lập kế hoạch và dịch vụ sẵn sàng cho CNTT-TT.

2 Tài liệu tham khảo

Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

• ISO / IEC TR 18044: 2004 1) Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý sự cố an toàn thông tin
• ISO / IEC 27000 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO / IEC 27001 Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu
• ISO / IEC 27002 Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về quản lý an toàn thông tin
• ISO / IEC 27005 Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý rủi ro an toàn thông tin

Xem Preview Tiêu chuẩn ISO / IEC 27031: 2011

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.