NORMA ISO 24762


Norma ISO 24762 (Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services) zawiera wskazówki dotyczące technologii informacyjnych i komunikacyjnych oraz usług niezbędnych do przywrócenia stanu sprzed katastrofy, które powinny funkcjonować jako część zarządzania ciągłością biznesu.W tej normie określono, w jaki sposób można wspomóc działanie systemu zarządzania bezpieczeństwem informaji w czasie kryzysu. Standard odwołuje się do aspektów zarządzania ciągłością działania związanych z bezpieczeństwem informacji i jej dostępnością.


Zgodnie z tym standardem zarządzanie ciągłością działania jest częscią ogólnego procesu zarządzania ryzykiem w organizacji i obejmuje:

 

  • zidentyfikowanie potencjalnych zagrożeń, które mogą spowodować znaczący wpływ na działania organizacji, wraz z określeniem powiązanych rodzajów ryzyka,
  • dostarczenie ram do uodporniania procesów biznesowych na zdarzenia kryzysowe,
  • dostarczenie zdolności, zasobów, procesów, sposobów postępowania w celu zapewnienia skutecznej reakcji na katastrofy i awarie.


Wdrażając ten standard organizacje będą zdolne do wprowadzenia mechanizmów ochronnych do ich infrastruktury teleinformacyjnej, która pozostaje istotna dla kluczowej działalności. Zostanie w ten sposób uzupełnione ich zarządzanie ciągłością działania (by lepiej radzić sobie z tymi rodzajami ryzyka, które mogą przerwać ich działalność) oraz zarządzanie bezpieczeństwem informacji (by skuteczniej chronić poufność, integralność i dostępność informacji).


Standard zawiera wskazówki dotyczące wdrożenia, testowania i realizacji poszczególnych elementów przywracania stanu sprzed katastrofy, a w szczególności są to wskazówki dotyczące:

 

  • wdrażania, funkcjonowania, monitorowania i utrzymywania niezbędnych zasobów i usług koniecznych do przywrócenia stanu sprzed katastrofy (np. wdrożenie systemu informowania pracowników o zagrożeniu lub wymaganie o możliwości ręcznego otwierania drzwi elektronicznych od wewnątrz),
  • mechanizmów przywrócenia stanu sprzed awarii systemów teleinformacyjnych organizacji,
  • wymagań, których spełniania należy oczekiwać od dostawców usług związanych z przywracaniem po katastrofie,
  • wyboru centrum awaryjnego (np. uwzględnianie takich czynników jak stabilność organizacji, dobra infrastruktura) i wymagań w stosunku do organizacji oferujących tego typu usługi.