ISO作为风险信息的主导源头,为许多领域的机构提供了数据、分析、决策支持方面的服务,覆盖保险、金融、房地产、健康服务、机构、人力资源和风险管理。ISO通过先进技术的应用收集、分析、开发并传递信息,以帮助客户评价和管理风险,并在保险精算、保险偿付、消防、诈骗预防、灾难和天气风险、可预见性模型、数据管理、经济预测、社会和技术趋势以及其他领域积累了大量的技术。
无论是火灾、地震,或者流行病,企业和其他组织在任何时候都有可能成为灾难的受害者。为应付突发事件、维护企业利益、声誉、品牌优势和价值,ISO / IEC制定了一个新的国际标准来帮助企业降低风险,并能及时应对危机。
ISO/IEC 24762:2008,《信息技术-安全技术-信息和通信技术灾难恢复服务指南》旨在为信息通信技术和恢复措施提供指南。在发生危机的时候,该标准通过解决信息安全和业务连续性管理的可用性来支持信息安全管理系统的运作。
业务连续性计划包括企业为其将来在全国性、地区性或地方性中有可能遇到的危机作好准备,以保持其持续开展核心业务、维持长期稳定性的能力。
根据ISO/IEC 24762:2008,业务连续性管理是任何整体性风险管理不可分割的一部分,包括:
■确定可能对一个组织的商业运作造成不利影响的潜在威胁以及相关的风险。
■为商业运作恢复提供一个框架。
■为有效应对灾害提供设施、流程、紧急工作组名单等。
通过这一新标准,企业能够复原对其主营业务至关重要的信息通信技术基础设施,这将其业务连续性管理提供有效措施,并制定信息安全管理措施(以有效地保护信息的机密性、完整性和可用性)。
ISO / IEC 24762:2008的项目编辑表示,该标准从信息安全和通信的角度考虑了当今的科技发展,以尽量减少危机形势下的损失为主要目的。他强调,标准中的应急安排既有助于减少灾害期间的轻微故障,更能将灾害期间并在相当长的恢复时期内确保信息和服务的可用性, 因为现在世界各地的组织更容易受恐怖主义的威胁以及自然灾害、海盗和其他灾害的影响。
该标准包括实施、测试和执行方面的灾难恢复指南,并适用于“内部”和“外包”两种信息和通信技术方面的物质设施和服务的提供。它为下述内容提供了指南:
■为灾难恢复(如利用公共广播系统来提醒工作人员离开大厦或规定所有电子门可以从内手动打开)实施、运行、监督和保持必要的设施和服务。
■为组织的信息通信技术系统提供应急和恢复支持。
■外包信息通信技术服务提供者应该拥有的能力和他们应该遵循的准则,以提供基本的安全作业环境,并促进组织恢复工作。
■选择一个恢复站点(如考虑环境稳定,良好的基础设施等因素)。
■信息通信技术服务提供商不断提高他们的信息通信技术服务的要求。
ISO / IEC 24762:2008是ISO和IEC 的联合技术委员会ISO/IEC JTC1制订的措施。该标准可以辅助其他两个ISO/IEC联合标准,为信息安全方面的业务连续性管理提供控制目标,以进一步降低风险,包括ISO / IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》、ISO / IEC 27002:2005《信息技术-安全技术-信息安全管理的实务守则》。