Äritegevuse järjepidevuse ja katastroofitaaste poliitika

Äritegevuse järjepidevuse ja katastroofitaaste poliitika kehtestab kohustuslikud kontrollimeetmed, protsessid ja vastutused organisatsiooni kriitiliste äriprotsesside ja infosüsteemide ning IKT-teenuste säilitamiseks või taastamiseks häirivate intsidentide ajal ja pärast neid. See pakub struktureeritud raamistikku elu kaitsmiseks, operatiivse stabiilsuse tagamiseks, õiguslike ja kliendikohustuste täitmiseks ning organisatsiooni maine kaitsmiseks, lõimides vastupidavuse ennetava planeerimise ja valideeritud taastevõimekuse kaudu. See poliitika kehtib kõigile organisatsiooniüksustele, infosüsteemidele, äriprotsessidele, kogu personalile ning sisseostetud teenustele, mida peetakse kriitiliseks või oluliseks ärimõju hindamiste (BIA) tulemuste alusel. Kohaldamisala on terviklik, hõlmates nii looduslikke kui ka inimtekkelisi häireid, nagu küberrünnakud, taristu rikked, andmekeskuse katkestused, pandeemiad ja tarnija teenuse katkestused. See seab baasoote äritegevuse järjepidevuse plaanide (BCP) ja katastroofitaaste plaanide (DRP) planeerimiseks, pidevaks testimiseks ja pidevaks täiustamiseks, tagades regulatiivsete, lepinguliste ja tööstusstandardite kohustuste täitmise. Poliitika peamised eesmärgid hõlmavad äritegevuse järjepidevuse tagamist eelnevalt määratletud ja testitud protseduuride kaudu, võimalike operatiivsete, maine- ja õiguslike mõjude minimeerimist ning õigeaegse taaste tagamist määratletud taasteaja ja taastepunkti eesmärkide (RTO ja RPO) piires. See määrab selged volitused ja aruandekohustuse kogu ettevõttes: tippjuhtkond, äritegevuse järjepidevuse ja IT-katastroofitaaste juhid, osakonnajuhatajad, infoturbejuhid ning kriisireageerimise meeskond omavad määratletud rolle strateegia, planeerimise, elluviimise ning teabevahetuse ja sidusrühmade teavitamise jaoks. Poliitika nõuab ühtse äritegevuse järjepidevuse juhtimissüsteemi (BCMS) loomist kooskõlas ISO 22301 ja infoturbe juhtimissüsteemi (ISMS) (ISO/IEC 27001) nõuetega. See nõuab iga-aastast BIA-d kõigile kriitilistele üksustele, BCP/DRP-de väljatöötamist ja heakskiitmist ning täpse dokumentatsiooni, eskalatsioonikanalite ja kontaktloendite hooldamist. Plaanid peavad sisaldama manuaalseid tööümberkorraldusi, alternatiivse asukoha aktiveerimist, kriisikommunikatsiooni ja tarneahela varuplaanide strateegiaid. Regulaarne testimine, sh iga-aastased vastupidavuse hindamised, lauaharjutused ja simuleeritud ülevõtud, on kohustuslik kontrollimeetmete tõhususe, sõltuvuste ja valmisoleku hindamiseks. Poliitika käsitleb ka järjepidevuse planeerimise integreerimist turvalisuse ja intsidentidele reageerimisega, tagades, et taastamise ajal ei tehta järeleandmisi infoturbe kontrollimeetmetes. Määratletud on erandite haldus, riskide hindamine ja eskaleerimisprotokollid, samas kui vastavuse seire ja distsiplinaarmeetmed mittejärgimise korral tagavad poliitika jõustamise ja vastavuse. See poliitika on rangelt kooskõlas juhtivate ülemaailmsete standardite ja regulatiivsete raamistikega, toetades hoolsuskohustust operatiivse vastupidavuse ja auditeeritavuse tagamisel õiguslike või lepinguliste kohustuste täitmiseks.