目前，沒有比疫情更好的理由來制定業(yè)務(wù)連續(xù)性(BC，Business Continuity) 計(jì)劃。對(duì)于組織而言， BC 計(jì)劃表明該組織致力于保護(hù)業(yè)務(wù)并保持其運(yùn)營，盡可能避免發(fā)生破壞性事件。

從審計(jì)的角度來看，BC 計(jì)劃對(duì)于執(zhí)行審計(jì)控制越來越重要。內(nèi)部和外部審計(jì)師比以往更熟悉BC計(jì)劃和DR計(jì)劃，因此對(duì)于 IT領(lǐng)導(dǎo)者來說，必須認(rèn)識(shí)到重要性。

經(jīng)驗(yàn)表明，制定BC和DR計(jì)劃會(huì)增加組織從破壞性事件中成功恢復(fù)并恢復(fù)運(yùn)營的可能性。只需知道在緊急情況下該做什么就可以大大提高組織成功恢復(fù)的機(jī)會(huì)，在應(yīng)對(duì) IT 基礎(chǔ)架構(gòu)中斷時(shí)尤其如此。

什么是 IT 業(yè)務(wù)連續(xù)性計(jì)劃?

業(yè)務(wù)連續(xù)性(BC，Business Continuity)計(jì)劃與災(zāi)難恢復(fù)(DR，Disaster Recovery) 計(jì)劃的不同之處在于BC側(cè)重于保護(hù)整個(gè)組織，將 IT 作為關(guān)鍵的支持資源，而 DR 計(jì)劃通常側(cè)重于保護(hù)整個(gè) IT 基礎(chǔ)架構(gòu)。

BC 計(jì)劃有幾個(gè)輸入，可提供有關(guān)業(yè)務(wù)運(yùn)作方式的數(shù)據(jù)。其中包括業(yè)務(wù)影響分析 ( BIA )、風(fēng)險(xiǎn)分析和已確定為關(guān)鍵任務(wù)的業(yè)務(wù)元素的恢復(fù)策略定義。

BC 計(jì)劃中有什么?典型的 BC 計(jì)劃包括以下內(nèi)容：

• 關(guān)于 BC 計(jì)劃的目的、范圍和目標(biāo)的聲明;
• 確定組織的關(guān)鍵任務(wù)業(yè)務(wù)活動(dòng);
• 如果無法履行這些職能，可能會(huì)給組織帶來損失;
• 關(guān)鍵功能的風(fēng)險(xiǎn)、威脅和脆弱性以及防止其發(fā)生的措施;
• 應(yīng)對(duì)破壞性事件和恢復(fù)關(guān)鍵功能的策略和程序;
• 重要的內(nèi)部和外部聯(lián)系人的聯(lián)系人列表，即供應(yīng)商和政府機(jī)構(gòu);
• 關(guān)鍵記錄的清單，例如客戶記錄、硬拷貝文件和法律文件，以及它們的存儲(chǔ)位置;
• 關(guān)鍵業(yè)務(wù)資源的庫存，包括辦公設(shè)備、家具和系統(tǒng);
• 搬遷到其他空間時(shí)典型辦公區(qū)域的平面圖;
• 繼任計(jì)劃，以確保經(jīng)過適當(dāng)培訓(xùn)的員工能夠接替因健康、假期等原因無法工作的員工的職責(zé);
• 與媒體打交道的預(yù)案;
• 與銀行、保險(xiǎn)公司和公用事業(yè)等關(guān)鍵組織互動(dòng)的程序;
• 響應(yīng)事件初始階段的預(yù)案，也稱為事件響應(yīng);
• 從事件響應(yīng)過渡到業(yè)務(wù)恢復(fù)的程序;
• 將員工從災(zāi)難模式轉(zhuǎn)變?yōu)樯虡I(yè)模式的程序;
• 確保 IT 資源正常運(yùn)行的程序;
• 恢復(fù)正常業(yè)務(wù)運(yùn)營的程序;
• 準(zhǔn)備總結(jié)從事件中吸取的教訓(xùn)的事后報(bào)告的程序。

BC 計(jì)劃的衡量指標(biāo)

IT 基礎(chǔ)架構(gòu)是大多數(shù)業(yè)務(wù)關(guān)鍵功能的基礎(chǔ)，因此在制定 BC 計(jì)劃時(shí)，IT 應(yīng)該做的第一件事就是映射技術(shù)資源和業(yè)務(wù)功能之間的關(guān)系。BIA 最重要的輸出之一是識(shí)別支持關(guān)鍵任務(wù)功能的 IT 資源，因?yàn)樗a(chǎn)生了兩個(gè)指標(biāo)：恢復(fù)時(shí)間目標(biāo) ( RTO ) 和恢復(fù)點(diǎn)目標(biāo) ( RPO )。

• RTO ：定義了在組織遭受損失之前禁用特定業(yè)務(wù)功能所需的最長時(shí)間。對(duì)于 IT 而言，這意味著在業(yè)務(wù)受損之前禁用特定系統(tǒng)和資源的最長時(shí)間。RTO 和 RPO的一般經(jīng)驗(yàn)法則是：時(shí)間框架越短，實(shí)現(xiàn)該指標(biāo)的潛在投資就越大。
• RPO ：對(duì)當(dāng)前數(shù)據(jù)、數(shù)據(jù)庫和其他資源的最后備份時(shí)間而言也很重要。例如，客戶個(gè)人數(shù)據(jù)可能對(duì)組織的業(yè)務(wù)至關(guān)重要。此類數(shù)據(jù)應(yīng)比其他資源更頻繁地備份，并確?？梢跃S持低 RPO(即 1 小時(shí)或 5 分鐘以下)需要投資于更復(fù)雜的數(shù)據(jù)鏡像或復(fù)制技術(shù)，以及增加數(shù)據(jù)存儲(chǔ)容量。

BC相關(guān)的標(biāo)準(zhǔn)和規(guī)范

下表列出了一些較相關(guān)的 ISO 標(biāo)準(zhǔn)。適用的法規(guī)將取決于個(gè)別公司及其服務(wù)的行業(yè)。例如，銀行和金融部門都有解決 BC 和彈性問題的法規(guī)。這些組織可以決定遵守那些特定的基準(zhǔn)來代替全球標(biāo)準(zhǔn)。關(guān)鍵目標(biāo)是實(shí)現(xiàn)并證明符合一項(xiàng)或多項(xiàng)相關(guān)標(biāo)準(zhǔn)和法規(guī)。

下表是由許多組織制定的美國標(biāo)準(zhǔn)、法規(guī)和良好實(shí)踐的部分列表，其中包括 ASIS International、國家消防協(xié)會(huì)、聯(lián)邦金融機(jī)構(gòu)考試委員會(huì)、ISACA、金融業(yè)監(jiān)管局、聯(lián)邦緊急事務(wù)管理局和 NIST . Disaster Recovery Journal不斷更新其普遍接受的 BC 實(shí)踐，而NIST 特別出版物 800 系列標(biāo)準(zhǔn)是 IT 指導(dǎo)的良好來源。

實(shí)現(xiàn)符合 BC 和彈性標(biāo)準(zhǔn)的步驟

以下步驟說明了公司如何實(shí)現(xiàn)和證明合規(guī)性，通過表明組織如何滿足特定標(biāo)準(zhǔn)規(guī)定的要求的文件來確認(rèn)合規(guī)性。大多數(shù)標(biāo)準(zhǔn)被組織成章、節(jié)、小節(jié)和其他大綱格式。公司可以通過選擇特定部分然后描述如何實(shí)現(xiàn)合規(guī)來簡化流程。

1. 獲得管理層的批準(zhǔn)以開始標(biāo)準(zhǔn)合規(guī)流程，并說明合規(guī)將如何使組織受益。

2. 建立一個(gè)團(tuán)隊(duì)，包括多個(gè)相關(guān)部門的代表，例如 BC/彈性、風(fēng)險(xiǎn)管理、IT、行政、財(cái)務(wù)、內(nèi)部審計(jì)和人力資源。

3. 研究相關(guān)標(biāo)準(zhǔn)、法規(guī)和良好實(shí)踐文件，并確定哪些文件與組織最相關(guān)。獲取這些文檔的當(dāng)前版本。

4. 向團(tuán)隊(duì)成員簡要介紹所選標(biāo)準(zhǔn)，以便他們對(duì)要求有基本的了解。如果可能，請(qǐng)?jiān)趦?nèi)部審計(jì)上投入更多時(shí)間，因?yàn)閷?shí)際上它可能是最終評(píng)估和證明已實(shí)現(xiàn)合規(guī)性的單位。

5. 如果內(nèi)部審計(jì)無法參與合規(guī)活動(dòng)，請(qǐng)考慮與外部專業(yè)人員簽約。尋找已通過特定 BC/彈性標(biāo)準(zhǔn)(例如ISO 22301:2019 )審核員認(rèn)證的供應(yīng)商。提供此類認(rèn)證的兩個(gè)組織是國際災(zāi)難恢復(fù)研究所和國際組織彈性聯(lián)盟。或者，檢查 BC 咨詢公司，看看他們是否有獲得標(biāo)準(zhǔn)審核員認(rèn)證的員工。

6. 將所選標(biāo)準(zhǔn)映射到現(xiàn)有的 BC/彈性計(jì)劃，并確定哪些計(jì)劃不合規(guī)。

7. 制定計(jì)劃以更新 BC/彈性計(jì)劃以解決不合規(guī)問題，并執(zhí)行該計(jì)劃。

8. 安排內(nèi)部審計(jì)或有經(jīng)驗(yàn)的第三方評(píng)估修訂后的 BC/彈性計(jì)劃，并確認(rèn)不合規(guī)問題已得到解決。向高級(jí)管理層簡要介紹該評(píng)估的結(jié)果，并詢問他們是否希望進(jìn)行正式的合規(guī)審計(jì)。

9. 如果高級(jí)管理層需要，安排正式審計(jì)。該審核的結(jié)果將正式記錄對(duì)相關(guān)標(biāo)準(zhǔn)和法規(guī)的遵守情況。

一旦認(rèn)為組織已實(shí)現(xiàn)其目標(biāo)，執(zhí)行定期評(píng)估和/或?qū)徲?jì)以確保保持合規(guī)性。

ISO 22332 標(biāo)準(zhǔn)

2021 年 5 月，ISO 發(fā)布了 ISO 22332:2021 安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)，制定業(yè)務(wù)連續(xù)性計(jì)劃和程序以解決此問題的指南。新標(biāo)準(zhǔn)是 ISO 223XX 系列 BC 標(biāo)準(zhǔn)的一部分。

ISO 22332:2021 標(biāo)準(zhǔn)來自較早的標(biāo)準(zhǔn)，例如ISO 22301:2019安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)ISO 22313:2020 安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)ISO 使用指南22301，并擴(kuò)展了 BC 計(jì)劃的細(xì)節(jié)。

ISO/TS 22332為規(guī)劃和制定政策、戰(zhàn)略和程序提供指南和框架，以幫助準(zhǔn)備和管理受事件影響的人員。包含以下內(nèi)容：

• 活動(dòng)前準(zhǔn)備：意識(shí)、需求分析以及學(xué)習(xí)和發(fā)展。

人員流程的一個(gè)關(guān)鍵部分是了解您的組織及其人員。這可以與人力資源部合作完成，因?yàn)樗鼡碛凶钤敿?xì)的員工信息。ISO/TS 22330:2018 業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)為上述活動(dòng)提供了指導(dǎo)，并可用作清單以確保現(xiàn)有的BC/DR 計(jì)劃更詳細(xì)地解決人員問題。在上述問題中，需求分析可能是最重要的。在這里您可以檢查員工的家庭成員和有特殊健康要求的員工等問題。您提前了解潛在的員工問題越多，您的恢復(fù)可能就越好，尤其是從人員的角度來看。

• 響應(yīng)階段：處理事件的直接影響。

當(dāng)面臨緊急情況時(shí)，人們會(huì)以不同的方式做出反應(yīng)。這就是為什么在選擇應(yīng)急響應(yīng)團(tuán)隊(duì)成員時(shí)，重要的是要記住，人們在面對(duì)真正的緊急情況時(shí)可能會(huì)以完全不同的方式做出反應(yīng)，而不是在他們參加培訓(xùn)演習(xí)時(shí)。在演習(xí)中，人們可能會(huì)冷靜地、完全掌控地履行職責(zé)。然而，在現(xiàn)場活動(dòng)中，這些人可能會(huì)僵住并沒有反應(yīng)，或者可能會(huì)驚慌失措并盡快逃離現(xiàn)場。在真正的事件發(fā)生之前，幾乎不可能知道人們會(huì)如何反應(yīng)。這是定期舉行 BCDR 計(jì)劃演練和應(yīng)急響應(yīng)計(jì)劃演練的一個(gè)很好的理由。

• 恢復(fù)階段：在活動(dòng)期間管理人員。

注意到人們應(yīng)對(duì)緊急情況的上述現(xiàn)實(shí)，ISO/TS 22332 提供了如何處理各種情況的指南。這些可能包括員工受傷時(shí)該怎么做，如何幫助對(duì)事件有創(chuàng)傷反應(yīng)的員工以及如何與家人和其他人溝通。雖然每個(gè)破壞性事件都不同，但對(duì)人們的影響是一項(xiàng)重大挑戰(zhàn)。

• 修復(fù)階段：恢復(fù)正常營業(yè)后對(duì)員工的持續(xù)支持。

即使災(zāi)難已得到解決并已投入資源以幫助加快恢復(fù)正常業(yè)務(wù)，仍可能需要做更多工作來幫助員工。受傷的員工及其護(hù)理需要得到解決。情緒不佳的員工可能需要咨詢和專業(yè)幫助。這些和其他類型的活動(dòng)后活動(dòng)在新標(biāo)準(zhǔn)中得到解決。

ISO 22332 建議組織在三個(gè)層面制定 BC 計(jì)劃：

• 戰(zhàn)略計(jì)劃提供了組織在破壞性事件期間必須采取的步驟的高級(jí)視圖。
• 戰(zhàn)術(shù)計(jì)劃涵蓋 BC 計(jì)劃響應(yīng)活動(dòng)的整體管理和執(zhí)行。
• 運(yùn)營計(jì)劃基于部門級(jí)別，并圍繞特定業(yè)務(wù)單位要求設(shè)計(jì)，如制造設(shè)施或?qū)嶒?yàn)室以及各個(gè)行政部門。

ISO 22332 標(biāo)準(zhǔn)還涉及 BC 計(jì)劃的組成部分：要執(zhí)行的程序或行動(dòng);文件和文件控制指南;計(jì)劃維護(hù);意識(shí)和培訓(xùn);并計(jì)劃監(jiān)測和審查活動(dòng)。

例如，標(biāo)準(zhǔn)的第 7 節(jié)“業(yè)務(wù)連續(xù)性計(jì)劃和程序的內(nèi)容”提供了 BC 計(jì)劃的基本大綱，從目的、目標(biāo)和假設(shè)開始。然后，它提供了典型 BC 計(jì)劃中涉及的關(guān)鍵活動(dòng)的詳細(xì)信息，包括以下內(nèi)容：

• 激活和組建BC團(tuán)隊(duì);
• 定義團(tuán)隊(duì)角色;
• 確定活動(dòng)期間要執(zhí)行的任務(wù);
• 與其他計(jì)劃鏈接，例如技術(shù) DR 計(jì)劃;
• 與各種玩家交流;
• 擱置計(jì)劃;
• 建立聯(lián)系信息;
• 分發(fā)計(jì)劃。

其他標(biāo)準(zhǔn)涵蓋準(zhǔn)備 ISO BC 計(jì)劃的基本活動(dòng)，例如業(yè)務(wù)影響分析和風(fēng)險(xiǎn)分析。一個(gè)相對(duì)較新的標(biāo)準(zhǔn) ISO 22331:2018 安全性和彈性——業(yè)務(wù)連續(xù)性管理系統(tǒng)——業(yè)務(wù)連續(xù)性戰(zhàn)略指南解釋了組織在制定 BC 計(jì)劃時(shí)必須解決哪些業(yè)務(wù)戰(zhàn)略。

應(yīng)用 ISO 22332 標(biāo)準(zhǔn)

ISO 22332 的目的是確定應(yīng)包含在計(jì)劃中的活動(dòng)，通常按發(fā)生的邏輯順序進(jìn)行。雖然組織可以將這些 BC 活動(dòng)納入計(jì)劃，但計(jì)劃的作者必須制定所涉及的具體分步程序。

該標(biāo)準(zhǔn)為 BC 計(jì)劃提供了熟悉的結(jié)構(gòu)，并且有時(shí)將某些活動(dòng)(例如管理媒體)分組到其他活動(dòng)桶中。然后，計(jì)劃作者的工作就是決定是否需要將標(biāo)準(zhǔn)中嵌入的活動(dòng)分解為單獨(dú)定義的操作。

兩種特殊情況 ISO 22332

ISO 22332 標(biāo)準(zhǔn)包括對(duì)兩種常見災(zāi)難情景的指導(dǎo)：流行病和網(wǎng)絡(luò)攻擊。由于新冠持續(xù)影響以及網(wǎng)絡(luò)和勒索軟件攻擊的增加，該標(biāo)準(zhǔn)的第 8 節(jié)提供了管理這兩種情況的步驟。

下圖中的框架描述了 ISO 22332 標(biāo)準(zhǔn)如何定位于實(shí)現(xiàn)組織和運(yùn)營彈性。

該標(biāo)準(zhǔn)確定了組織為實(shí)現(xiàn)響應(yīng)、恢復(fù)、恢復(fù)和恢復(fù)的 BC 目標(biāo)而應(yīng)執(zhí)行的活動(dòng)。彈性組織執(zhí)行這些活動(dòng)是為了有效地適應(yīng)和處理可能威脅業(yè)務(wù)流程、人員、技術(shù)和設(shè)施的破壞性事件。

如何達(dá)到 ISO 22332 的合規(guī)性

ISO 22301 標(biāo)準(zhǔn)通常用作審核 BC 計(jì)劃時(shí)的基準(zhǔn)，因?yàn)樗_定了進(jìn)入 BC 計(jì)劃的許多控制活動(dòng)。ISO 22332 提供了有關(guān)計(jì)劃內(nèi)部內(nèi)容和結(jié)構(gòu)的附加信息，并且可以在準(zhǔn)備 BC 計(jì)劃審核時(shí)作為補(bǔ)充控制文件。

組織還可以使用 ISO 22332 來評(píng)估現(xiàn)有 BC 計(jì)劃的內(nèi)容完整性。當(dāng)使用這兩個(gè)標(biāo)準(zhǔn)作為審核的一部分時(shí)，基本審核結(jié)構(gòu)使用 ISO 22301，每個(gè)審核類別中的細(xì)節(jié)使用 ISO 22332。

FFIEC 業(yè)務(wù)連續(xù)性手冊

美國聯(lián)邦金融機(jī)構(gòu)審查委員會(huì)的 2019 年版業(yè)務(wù)連續(xù)性管理手冊可以作為幫助指導(dǎo)金融和非金融組織的 BC 計(jì)劃的工具。在準(zhǔn)備業(yè)務(wù)連續(xù)性審計(jì)時(shí)，本手冊為各種審計(jì)活動(dòng)提供了詳細(xì)指南。

2019 年版的聯(lián)邦金融機(jī)構(gòu)考試委員會(huì) (FFIEC) 手冊中有四個(gè)附錄。這與包含 10 個(gè)附錄的 2015 年版業(yè)務(wù)連續(xù)性規(guī)劃相比大幅縮減。FFIEC 將其中許多附錄納入了整個(gè)手冊文本，但關(guān)于考試程序的附錄 A 在 2019 年手冊中完好無損。這些指南與準(zhǔn)備業(yè)務(wù)連續(xù)性審計(jì)有關(guān)。

如果一個(gè)組織不在金融市場并且不受 FFIEC 審查，業(yè)務(wù)連續(xù)性管理仍然可以作為一個(gè)有用的指南。遵循手冊中的程序可以確保業(yè)務(wù)連續(xù)性活動(dòng)符合一般標(biāo)準(zhǔn)，并為意外審計(jì)做好準(zhǔn)備。

業(yè)務(wù)連續(xù)性審計(jì)

在進(jìn)行業(yè)務(wù)連續(xù)性審計(jì)之前，組織必須采取一些準(zhǔn)備步驟。如果使用業(yè)務(wù)連續(xù)性管理作為指南，手冊的附錄 A 將作為這些審計(jì)活動(dòng)的基礎(chǔ)。

組織可以將附錄 A 中的幾乎每個(gè)項(xiàng)目都視為審計(jì)要求，因此需要收集信息?；谑謨员竟?jié)的重要預(yù)審核活動(dòng)包括：

1. 確定要審核的內(nèi)容。

2. 收集相關(guān)文檔，例如計(jì)劃、報(bào)告、業(yè)務(wù)影響分析 (BIA)、風(fēng)險(xiǎn)評(píng)估、政策和程序以及事后報(bào)告。

3. 確定將參與審計(jì)以回答審計(jì)員問題并提供額外信息的主題專家。

4. 確定沒有證據(jù)的領(lǐng)域，或者收集有用的證據(jù)，或者準(zhǔn)備解釋為什么沒有證據(jù)。

5. 準(zhǔn)備一個(gè)會(huì)議室或其他安靜的區(qū)域供審核員工作。這可能包括電話、白板、鉛筆、鋼筆和紙片，以及足夠的桌子空間和椅子。

十三個(gè)目標(biāo)包括業(yè)務(wù)連續(xù)性管理附錄 A 中描述的檢查程序。這些目標(biāo)可以構(gòu)成業(yè)務(wù)連續(xù)性審計(jì)的基礎(chǔ)。非金融行業(yè)可能會(huì)發(fā)現(xiàn)某些程序比其他程序更適用，但仍應(yīng)能夠在手冊提供的指導(dǎo)下形成可靠的審計(jì)計(jì)劃。

目標(biāo) 1：確定考試的適當(dāng)范圍和目標(biāo)。本節(jié)查找各種文件和報(bào)告、在開始審計(jì)之前與高級(jí)管理層面談的結(jié)果，以及新威脅和漏洞的識(shí)別。

目標(biāo) 2：確定董事會(huì)和高級(jí)管理層是否促進(jìn)業(yè)務(wù)連續(xù)性的有效治理。這部分需要證明高級(jí)管理層和董事會(huì)在業(yè)務(wù)連續(xù)性中的作用、其支持水平及其對(duì) BC 計(jì)劃的承諾。

目標(biāo) 3：確定董事會(huì)和高級(jí)管理層是否使用審計(jì)或其他獨(dú)立審查職能來檢查和驗(yàn)證 BC 計(jì)劃。

這個(gè)目標(biāo)決定了以前的業(yè)務(wù)連續(xù)性審計(jì)活動(dòng)(如果有的話)以及活動(dòng)的結(jié)果。

目標(biāo) 4：確定管理層是否制定了適當(dāng)且可重復(fù)的BIA 流程。

該目標(biāo)尋找業(yè)務(wù)影響分析發(fā)展的證據(jù)，以及結(jié)果是否用于改進(jìn) BC 運(yùn)營。

目標(biāo) 5：確定管理層是否進(jìn)行風(fēng)險(xiǎn)評(píng)估。

該目標(biāo)尋找風(fēng)險(xiǎn)評(píng)估的證據(jù)，以識(shí)別和減輕潛在的風(fēng)險(xiǎn)、威脅和漏洞。

目標(biāo) 6：確定組織的風(fēng)險(xiǎn)管理策略是否旨在實(shí)現(xiàn)彈性。

在這個(gè)目標(biāo)中，審計(jì)人員將在組織內(nèi)尋找彈性和可恢復(fù)能力的證據(jù)，例如多個(gè)數(shù)據(jù)中心、多個(gè)辦公室、基于云的數(shù)據(jù)備份和各種技術(shù)控制，以確保關(guān)鍵系統(tǒng)得到保護(hù)。

目標(biāo) 7：確定組織的 BC 計(jì)劃是否包括通信協(xié)議。

該目標(biāo)尋找與各種政府和非政府組織(例如監(jiān)管機(jī)構(gòu)、執(zhí)法部門、應(yīng)急響應(yīng)人員以及州和地方政府機(jī)構(gòu))進(jìn)行定期溝通的證據(jù)。

目標(biāo) 8：評(píng)估組織的企業(yè)范圍 BC 活動(dòng)的適當(dāng)性。

該目標(biāo)詳細(xì)介紹了 BC 計(jì)劃的各個(gè)要素，以確保它們是完整的，并為各種活動(dòng)提供程序。

目標(biāo) 9：確定 BC 計(jì)劃是否包括培訓(xùn)和宣傳活動(dòng)。

審核員將尋找應(yīng)急小組成員、正式員工和高級(jí)管理人員培訓(xùn)計(jì)劃的證據(jù)。他們還將尋找計(jì)劃的證據(jù)，以使員工了解 BC 計(jì)劃的重要性及其在計(jì)劃中的角色。

目標(biāo) 10：確定演練和測試計(jì)劃足以使管理層對(duì)組織能夠?qū)崿F(xiàn)其 BC 目標(biāo)感到滿意。

在此目標(biāo)中，審計(jì)師將檢查演習(xí)和測試活動(dòng)的證據(jù)、演習(xí)后報(bào)告以及演習(xí)結(jié)果已導(dǎo)致整體 BC 計(jì)劃改進(jìn)的證據(jù)。

目標(biāo) 11：確定管理層是否持續(xù)衡量 BC 計(jì)劃的進(jìn)展和評(píng)估其有效性，并使用這些信息來改進(jìn) BC 過程。

該活動(dòng)檢查管理層是否審查和更新 BC 計(jì)劃，以使該計(jì)劃與當(dāng)前的業(yè)務(wù)運(yùn)營保持一致。它還尋找有助于維護(hù)和改進(jìn) BC 計(jì)劃的活動(dòng)的證據(jù)。

目標(biāo) 12：確定董事會(huì)已建立對(duì)業(yè)務(wù)連續(xù)性管理報(bào)告的期望。

該目標(biāo)驗(yàn)證高級(jí)管理層期望定期報(bào)告 BC 計(jì)劃活動(dòng)，例如人員配置的變化、BIA 和 RA 的更新以及最近的演習(xí)結(jié)果。

目標(biāo) 13：討論糾正措施并交流調(diào)查結(jié)果。

作為最終目標(biāo)，此步驟涉及報(bào)告審計(jì)發(fā)現(xiàn)、實(shí)施糾正措施的計(jì)劃以及準(zhǔn)備工作底稿，包括包含所有審計(jì)發(fā)現(xiàn)和分析的文件。

FFIEC vs ISO 22332

從根本上說，這兩個(gè)文件都提供了業(yè)務(wù)連續(xù)性管理系統(tǒng) (BCMS) 或計(jì)劃組成部分的詳細(xì)概述。ISO 標(biāo)準(zhǔn)更高級(jí)別，因?yàn)樗付?BCMS 的要求，而聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì) (FFIEC) 標(biāo)準(zhǔn)為準(zhǔn)備 BC 計(jì)劃提供了更多可操作的細(xì)節(jié)。ISO 標(biāo)準(zhǔn)適用于所有類型的業(yè)務(wù)，而 FFIEC 標(biāo)準(zhǔn)針對(duì)銀行和其他金融機(jī)構(gòu)進(jìn)行了優(yōu)化，盡管它也可以有效地用于非金融應(yīng)用。

參考資料：

·https://www.techtarget.com/searchcio/tip/Everything-CIOs-need-to-know-about-IT-business-continuity-plans

·https://searchcompliance.techtarget.com/tip/Use-ISO-22332-to-improve-business-continuity-plans?

·https://www.techtarget.com/searchdisasterrecovery/tip/Use-disaster-recovery-standards-to-guide-pandemic-planning

·https://searchcompliance.techtarget.com/tip/Understanding-BC-resilience-standards-and-how-to-comply

·https://www.techtarget.com/searchdisasterrecovery/tip/Prepare-for-a-business-continuity-audit-with-the-FFIEC-handbook?