Verslo tęstinumo ir atkūrimo po katastrofos politika

Verslo tęstinumo ir atkūrimo po katastrofos politika nustato privalomas kontrolės priemones, procesus ir atsakomybes, skirtas organizacijos kritinėms verslo operacijoms ir IRT paslaugoms palaikyti arba atkurti sutrikdančių incidentų metu ir po jų. Ji suteikia struktūrizuotą sistemą, skirtą apsaugoti gyvybę, užtikrinti operacinį stabilumą, laikytis teisinių ir klientų įsipareigojimų bei apsaugoti organizacijos reputaciją, įtvirtinant atsparumą per proaktyvų planavimą ir validuotas atkūrimo galimybes. Ši politika taikoma visiems organizaciniams vienetams, informacinėms sistemoms, verslo procesams, personalui ir trečiųjų šalių paslaugoms, kurios laikomos kritinėmis ar esminėmis, remiantis verslo poveikio analizės (BIA) rezultatais. Taikymo sritis yra išsami ir apima tiek gamtinius, tiek žmogaus sukeltus sutrikimus, tokius kaip kibernetinės atakos, infrastruktūros gedimai, duomenų centro sutrikimai, pandemijos ir tiekėjų paslaugų pertrūkiai. Politika nustato bazinius lūkesčius dėl Verslo tęstinumo planų (BCP) ir Atkūrimo po katastrofos planų (DRP) planavimo, nuolatinio testavimo ir nuolatinio tobulinimo, užtikrinant, kad būtų įvykdyti reglamentavimo, sutartiniai ir pramonės standartų įsipareigojimai. Pagrindiniai politikos tikslai apima verslo operacijų tęstinumo užtikrinimą per iš anksto apibrėžtas ir išbandytas procedūras, galimo operacinio, reputacinio ir teisinio poveikio mažinimą bei savalaikio atkūrimo užtikrinimą pagal apibrėžtus atkūrimo laiko ir atkūrimo taško tikslus (RTO ir RPO). Politika priskiria aiškią atskaitomybę visoje įmonėje: aukščiausioji vadovybė, verslo tęstinumo ir IT atkūrimo po katastrofos vadovai, departamentų vadovai, informacijos saugumo pareigūnai ir krizių reagavimo komanda turi apibrėžtus vaidmenis strategijai, planavimui, vykdymui ir komunikacijai. Politika numato vieningos Verslo tęstinumo valdymo sistemos (BCMS) sukūrimą pagal ISO 22301 ir ISO/IEC 27001 reikalavimus. Ji reikalauja kasmetinės BIA visiems kritiniams vienetams, BCP/DRP parengimo ir patvirtinimo, taip pat tikslios dokumentacijos, eskalavimo srautų ir kontaktų sąrašų palaikymo. Planai turi apimti rankinius apėjimus, alternatyvios vietos aktyvavimą, krizių komunikaciją ir tiekimo grandinės nenumatytų atvejų strategijas. Reguliarus testavimas, įskaitant kasmetinius atsparumo vertinimus, stalo pratybas ir imituotus perjungimus į atsarginę aplinką, yra privalomas, siekiant peržiūrėti veiksmingumą, priklausomybes ir pasirengimo laikyseną. Politika taip pat apima tęstinumo planavimo integravimą su saugumu ir reagavimu į incidentus, užtikrinant, kad atkūrimo metu nebūtų kompromituojamos informacijos saugos kontrolės priemonės. Apibrėžti išimčių valdymas, rizikos įvertinimas ir eskalavimo protokolai, o atitikties stebėsena ir drausminės priemonės už politikos nesilaikymą užtikrina vykdymo užtikrinimą ir atitiktį. Ši politika yra griežtai suderinta su pagrindiniais pasauliniais standartais ir reglamentavimo sistemomis, palaikant deramo patikrinimo reikalavimus operaciniam atsparumui ir audituojamumui pagal teisines ar sutartines prievoles.