Üzletmenet-folytonossági és katasztrófa-helyreállítási szabályzat

Az Üzletmenet-folytonossági és katasztrófa-helyreállítási szabályzat meghatározza azokat a kötelező kontrollokat, folyamatokat és felelősségeket, amelyek a szervezet kritikus üzleti működésének és IKT-szolgáltatásainak fenntartását vagy helyreállítását biztosítják zavaró információbiztonsági incidensek során és azt követően. Strukturált keretrendszert nyújt az élet védelméhez, az operatív stabilitás biztosításához, a jogi és ügyfélvállalások teljesítéséhez, valamint a szervezeti reputáció védelméhez, a reziliencia beágyazásával proaktív tervezés és validált helyreállítási képességek révén. A szabályzat valamennyi szervezeti egységre, információs rendszerre, üzleti folyamatra, munkatársra és harmadik fél szolgáltatóra vonatkozik, amelyek a Business Impact Assessments (BIA) eredményei alapján kritikusnak vagy alapvetőnek minősülnek. A hatókör átfogó, és kiterjed a természeti és ember okozta zavarokra, például kibertámadásokra, infrastruktúrahibákra, adatközpont-kiesésekre, pandémiákra és beszállítói szolgáltatáskimaradásokra. Meghatározza az üzletmenet-folytonossági tervek (BCP-k) és katasztrófa-helyreállítási tervek (DRP-k) tervezésének, folyamatos tesztelésének és folyamatos fejlesztésének alapvető elvárásait, biztosítva a szabályozási, szerződéses és iparági szabványokból eredő kötelezettségek teljesítését. A szabályzat fő céljai közé tartozik az üzleti működés folytonosságának garantálása előre meghatározott és tesztelt eljárásokkal, a lehetséges operatív, reputációs és jogi hatások minimalizálása, valamint az időben történő helyreállítás biztosítása a meghatározott helyreállítási idő- és pontcélok (RTO-k és RPO-k) szerint. Egyértelmű elszámoltathatóságot rendel a vállalaton belül: a felső vezetés, az üzletmenet-folytonossági és IT-katasztrófa-helyreállítási vezetők, az osztályvezetők, az információbiztonsági vezetők és a válságreagáló csapat mind meghatározott szerepkörökkel rendelkeznek a stratégia, tervezés, végrehajtás és kommunikáció terén. A szabályzat előírja egy egységes üzletmenet-folytonosság-irányítási rendszer (BCMS) létrehozását az ISO 22301 és az Information Security Management System (ISMS) követelményeivel összhangban. Megköveteli az éves BIA elvégzését valamennyi kritikus egységre, a BCP-k/DRP-k kidolgozását és jóváhagyását, valamint a pontos dokumentáció, eszkalációs folyamatok és kapcsolattartási listák fenntartását. A terveknek tartalmazniuk kell manuális kerülőmegoldásokat, alternatív helyszín aktiválását, válságkommunikációt és ellátási lánc vészforgatókönyv-stratégiákat. A rendszeres tesztelés – beleértve az éves rezilienciaértékeléseket, asztali gyakorlatokat és szimulált átkapcsolásokat – kötelező a hatékonyság, a függőségek és a felkészültségi kockázati pozíció felülvizsgálatához. A szabályzat kitér a folytonossági tervezés biztonsággal és incidensreagálással való integrációjára is, biztosítva, hogy a helyreállítás során ne sérüljenek az információbiztonsági kontrollok. Meghatározza a kivételkezelés, a kockázatértékelés és az eszkalációs protokollok rendjét, míg a folyamatos megfelelés-monitorozás és a fegyelmi intézkedések a nem megfelelés esetére biztosítják a szabályzat érvényesítését. A szabályzat szigorúan összhangban van a vezető globális szabványokkal és szabályozási keretrendszerekkel, támogatva az operatív reziliencia terén a kellő gondosságot és az auditálhatóságot jogi vagy szerződéses kötelezettségek teljesítéséhez.