Открыть сервис

ISO 27031

ISO 27031 — это международный стандарт, разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который устанавливает руководящие принципы для обеспечения готовности информационно-коммуникационных технологий (ИКТ) к обеспечению непрерывности бизнеса. Полное название документа — «Информационные технологии — Методы обеспечения безопасности — Руководство по готовности ИКТ к обеспечению непрерывности бизнеса» (Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity). Стандарт входит в семейство стандартов ISO/IEC 27000, посвящённых управлению информационной безопасностью, и служит практическим дополнением к общей системе менеджмента непрерывности бизнеса (BCMS), описанной в ISO 22301.

История и контекст разработки

Разработка ISO 27031 была инициирована в ответ на рост зависимости организаций от информационных технологий и необходимость минимизировать ущерб от сбоев в работе ИКТ. Основой для стандарта послужил британский национальный стандарт BS 25777:2008, который, в свою очередь, возник из более ранних рекомендаций по управлению непрерывностью ИТ-услуг. Первое издание ISO 27031 было опубликовано в 2011 году, а актуальная версия (второе издание) вышла в 2015 году. Документ разрабатывался подкомитетом SC 27 (Методы обеспечения безопасности) объединённого технического комитета ISO/IEC JTC 1.

Цель и область применения

Основная цель ISO 27031 — предоставить организациям систематический подход к планированию, разработке, внедрению, эксплуатации, мониторингу, анализу и улучшению готовности ИКТ к обеспечению непрерывности бизнеса. Стандарт предназначен для всех типов организаций — независимо от их размера, формы собственности или отрасли — которые зависят от информационных систем для выполнения критически важных бизнес-процессов.

Область применения включает:

Стандарт не заменяет собой общую систему менеджмента непрерывности бизнеса (ISO 22301) или систему управления информационной безопасностью (ISO/IEC 27001), а дополняет их, фокусируясь исключительно на ИКТ-компоненте.

Ключевые разделы и методология

ISO 27031 построен на циклической модели Plan-Do-Check-Act (PDCA), адаптированной для ИКТ. Структура стандарта разделена на несколько основных разделов.

1. Планирование готовности ИКТ (Раздел 6)

Организация должна установить политику готовности ИКТ к обеспечению непрерывности бизнеса. Этот этап включает:

2. Внедрение и эксплуатация (Раздел 7)

На этом этапе разработанные стратегии реализуются в виде конкретных решений:

3. Мониторинг, тестирование и аудит (Раздел 8)

Стандарт требует регулярной проверки эффективности мер готовности:

4. Улучшение (Раздел 9)

Результаты мониторинга и аудита используются для корректирующих и предупреждающих действий. Организация должна фиксировать все выявленные несоответствия и предпринимать шаги по их устранению, пересматривая при необходимости политики и планы.

Взаимосвязь с другими стандартами

ISO 27031 является частью более широкой экосистемы стандартов управления непрерывностью и безопасностью:

Таким образом, внедрение ISO 27031 позволяет закрыть известный разрыв между общим управлением непрерывностью бизнеса и операционным управлением ИТ-инфраструктурой.

Применение в России

Российским аналогом ISO 27031 является национальный стандарт ГОСТ Р ИСО/МЭК 27031-2013, который был принят в 2013 году и введён в действие с 1 июня 2014 года. Текст стандарта является аутентичным переводом оригинального документа. В России рекомендации ISO 27031 (как международного, так и национального стандарта) часто используются организациями, проходящими аудит на соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных» и другим нормативным актам в области информационной безопасности. Однако применение стандарта носит рекомендательный характер, за исключением случаев, когда он указан в техническом задании или контракте.

Критика и ограничения

Несмотря на практическую ценность, ISO 27031 критикуется за определённые недостатки:

Интересные факты

Источники:

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →