ISO/TS 22330:2018 Security and resilience — Business continuity management systems — Guidelines for people aspects of business continuity

Antworten
This document gives guidelines for the planning and development of policies, strategies and procedures for the preparation and management of people affected by an incident.
This includes:
  • preparation through awareness, analysis of needs, and learning and development;
  • coping with the immediate effects of the incident (respond);
  • managing people during the period of disruption (recover);
  • continuing to support the workforce after returning to business as usual (restore).
The management of people relating to civil emergencies or other societal disruption is out of the scope of this document.
Quelle: ISO 22330:2018

ISO 44001:2017 Collaborative business relationship management systems — Requirements and framework

Antworten

ISO 44001:2017 specifies requirements for the effective identification, development and management of collaborative business relationships within or between organizations.

ISO 44001:2017 is applicable to private and public organizations of all sizes, from large multinational corporations and government organizations, to non-profit organizations and micro/small businesses.

Application of ISO 44001:2017 can be on several different levels, e.g.

· a single application (including operating unit, operating division, single project or programme, mergers and acquisitions);

· an individual relationship (including one-to-one relationships, alliance, partnership, business customers, joint venture);

· multiple identified relationships (including multiple partner alliances, consortia, joint ventures, networks, extended enterprise arrangements and end-to-end supply chains);

· full application organization-wide for all identified relationship types.

Quelle: ISO

ISO/TS 22317:2021

Antworten

Titel:

Security and resilience – Business continuity management systems – Guidelines for business impact analysis

Herausgeber:

ISO (ISO/TC 292 Security and resilience)

Veröffentlichung / Aktualisierung:

2021-11

Beschreibung:

ISO-Standard zur DurchfĂŒhrung einer Business Impact Analyse

Abstract:

ISO/TS 22317:2021 provides guidance for an organization to establish, implement, and maintain a formal and documented business impact analysis (BIA) process. This Technical Specification does not prescribe a uniform process for performing a BIA, but will assist an organization to design a BIA process that is appropriate to its needs.

ISO/TS 22317:2021 is applicable to all organizations regardless of type, size, and nature, whether in the private, public, or not-for-profit sectors. The guidance can be adapted to the needs, objectives, resources, and constraints of the organization.

It is intended for use by those responsible for the BIA process.

Zertifizierung:

Zertifizierung des BCM nach ISO 22301 möglich

Bezug:

Beuth Verlag

Inhaltsverzeichnis

ISO 28000:2007-9

Specification for security management systems for the supply chain

Foreword ……………………………………………………………………………………iv

Introduction …………………………………………………………………………………v

1 Scope ……………………………………………………………………………………..1

2 Normative references ………………………………………………………………………..1

3 Terms and definitions ……………………………………………………………………….1

4 Security management system elements …………………………………………………………..3
4.1 General requirements ………………………………………………………………………3
4.2 Security management policy …………………………………………………………………4
4.3 Security risk assessment and planning ……………………………………………………….4
4.4 Implementation and operation ……………………………………………………………….7
4.5 Checking and corrective action …………………………………………………………….10
4.6 Management review and continual improvement …………………………………………………12

ISO 9001:2000 ……………………………………………………………………………….13

Bibliography ………………………………………………………………………………..16

ISO/TR 31004:2013

Titel:

Risk management — Guidance for the implementation of ISO 31000

Inhalt:

ISO/TR 31004:2013 provides guidance for organizations on managing risk effectively by implementing ISO 31000:2009. It provides:

  • a structured approach for organizations to transition their risk management arrangements in order to be consistent with ISO 31000, in a manner tailored to the characteristics of the organization;
  • an explanation of the underlying concepts of ISO 31000;
  • guidance on aspects of the principles and risk management framework that are described in ISO 31000.

ISO/TR 31004:2013 can be used by any public, private or community enterprise, association, group or individual.

ISO/TR 31004:2013 is not specific to any industry or sector, or to any particular type of risk, and can be applied to all activities and to all parts of organizations.

Bezug:

ISO

ISO 27014:2013

Titel:

ISO/IEC 27014:2013

Information technology — Security techniques — Governance of information security

Beschreibung:

ISO/IEC 27014:2013 provides guidance on concepts and principles for the governance of information security, by which organizations can evaluate, direct, monitor and communicate the information security related activities within the organization.

ISO/IEC 27014:2013 is applicable to all types and sizes of organizations

Bezug:

ISO

ISO/IEC TR 27015:2012

Information technology — Security techniques — Information security management guidelines for financial services

A new ISO/IEC technical report aims to provide additional support to the financial industry to set up an appropriate information security management system for the provisioning of their financial services while giving more confidence to their customers.

ISO/IEC TR 27015:2012 provides information security guidance complementing and in addition to information security controls defined in ISO/IEC 27002:2005 for initiating, implementing, maintaining, and improving information security within organizations providing financial services.

Bezug: ISO

ISO 27005

Titel:

ISO 27005:2011  Information technology — Security techniques — Information security risk management

Herausgeber:

ISO

Veröffentlichung:

Juni 2008, Revision 2011

Beschreibung:

ISO 27005 gibt Guidelines fĂŒr das Risikomanagement in der Informationssicherheit und konkretisiert die Anforderungen des ISO 27001 an den Risk Management-Prozess.

“ISO/IEC 27005:2011 provides guidelines for information security risk management.

It supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.

Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of ISO/IEC 27005:2011.

ISO/IEC 27005:2011 is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that could compromise the organization’s information security.”

Zertifizierung:

Zertifizierung nach ISO 27001

Bezug:

ISO

ISO/IEC 27002

Titel:

ISO/IEC 27002 Sicherheitsverfahren – Leitfaden fĂŒr das Informationssicherheits-Management

Herausgeber:

ISO

Veröffentlichung:

September 2008

Beschreibung:

Der Standard beschreibt Methoden und Verfahren zur Herstellung, EinfĂŒhrung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27002:2008 wurde aus dem britischen Standard BS 7799-1:1999 entwickelt.

Zu den beschriebenen Überwachungsbereichen gehört auch das Business Continuity Management (Abschnitt 14):

“In der gesamten Organisation sollte ein gelenkter Prozess zur Sicherstellung des GeschĂ€ftsbetriebs entwi-ckelt und aufrechterhalten werden, der die fĂŒr die Sicherstellung des GeschĂ€ftsbetriebs (Business Continuity) erforderlichen Informationssicherheitsanforderungen in der Organisation behandelt.”

Wesentliche Elemente:

  • Verstehen der Risiken, denen die Organisation ausgesetzt ist, und deren Wahrscheinlichkeit und zeitliche Auswirkung, sowie eine Identifikation und Feststellung der PrioritĂ€ten kritischer GeschĂ€ftsprozesse;
  • Identifikation aller organisationseigenen Werte (Assets), die zu kritischen GeschĂ€ftsprozessen gehören;
  • Verstehen der Auswirkungen, die InformationssicherheitsvorfĂ€lle wahrscheinlich auf das GeschĂ€ft haben werden (es ist wichtig, dass Lösungen gefunden werden, die kleinere Auswirkungen genauso behandeln wie grĂ¶ĂŸere, die die Existenz derOrganisation bedrohen könnten) und Festlegung der Organisationsziele fĂŒr informationsverarbeitende Anlagen;
  • ErwĂ€gung, eine geeignete Versicherung abzuschließen, die Teil des gesamten Prozesses zur Sicherstellung des GeschĂ€ftsbetriebs und auch Teil des betrieblichen Risikomanagements sein könnte;
  • Identifikation von zusĂ€tzlichen vorbeugenden und Schadensmildernden Maßnahmen und Überlegungen zu deren Umsetzung;
  • Identifikation von ausreichenden finanziellen, organisatorischen, technischen und umfeldbedingten Res-sourcen, um die identifizierten Informationssicherheitsanforderungen zu erfĂŒllen;
  • Garantie der Sicherheit von Personen und des Schutzes von informationsverarbeitenden Einrichtungen und Anlagewerten der Organisation;
  • Formulierung und Dokumentation von PlĂ€nen zur Sicherstellung des GeschĂ€ftsbetriebs, die die Informa-tionssicherheitsanforderungen in Übereinstimmung mit der vereinbarten Strategie zur Sicherstellung des GeschĂ€ftsbetriebs behandeln;
  • regelmĂ€ĂŸige Tests und Aktualisierungen der etablierten PlĂ€ne und Prozesse;
  • Sicherstellung, dass die Sicherstellung des GeschĂ€ftsbetriebs in die Prozesse und Strukturen der Orga-nisation integriert wird; die Verantwortung fĂŒr die Koordination des Prozesses zur Sicherstellung des Ge-schĂ€ftsbetriebs sollte auf eine angemessene Ebene in der Organisation ĂŒbertragen werden .

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 27001

Titel:

ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements

Herausgeber:

ISO

Veröffentlichung:

erstmals 2005, letzte Ausgabe 2008

Beschreibung:

Der Standard definiert die Anforderungen fĂŒr Herstellung, EinfĂŒhrung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems.

Die ISO/IEC 27001:2005 wurde aus dem britischen Standard BS 7799-2:2002 entwickelt.

Zu den explizit genannten Anforderungen gehört auch das Business Continuity Management (Abschnitt A.14).

Anforderungen:

  • Including information security in the business continuity management process
  • Business continuity and risk assessment
  • Developing and implementing continuity plans including information security
  • Business continuity planning framework
  • Testing, maintaining and re-assessing business continuity plans

Zu den genannten Anforderungen sind jeweils controls definert.

Zertifizierung:

Zertifizierung nach ISO/IEC 27001 möglich

Bezug:

ISO

ISO/IEC 20000-1:2011

Titel:
Information technology — Service management — Part 1: Service management system requirements

Beschreibung:

ISO/IEC 20000 ist die Standardisierungsnorm fĂŒr ITIL (IT Infrastructure Library).

Die Norm besteht aus

  • ISO/IEC20000-1 – requirements
  • ISO/IEC20000-2 – code of practice.

“ISO/IEC 20000-1:2011 is a service management system (SMS) standard. It specifies requirements for the service provider to plan, establish, implement, operate, monitor, review, maintain and improve an SMS. The requirements include the design, transition, delivery and improvement of services to fulfil agreed service requirements.”

ISO 20000 beschreibt IT-Prozesse.

In der Service Delivery Group sind folgende Prozesse beschrieben:

  • Capacity Management
  • Service Continuity & Availability Management
  • Service Level Management
  • Service Reporting
  • Information Security Management
  • Budgeting & Accounting for Services.

Hier finden sich die fĂŒr BCM und ITSCM relevanten Prozesse.

Zertifizierung:

Eine Zertifizierung nach ISO/IEC 20000-1:2011 ist möglich

Verweis:

ISO