ISO 22340:2024 企业保护性安全架构和框架指南介绍
国际标准化组织ISO于2024年11月1日正式发布了《ISO 22340:2024 安全与韧性 – 企业保护性安全架构和框架指南》(该标准封面见下图)。
该标准提供了企业保护性安全架构和保护性安全政策、流程以及控制类型的框架,旨在减轻和管理整个保护性安全领域的安全风险,包括:安全治理;人员安全;信息安全;网络安全;物理安全。该标准适用所有组织。
该标准旨在满足组织的整体需求,以基于风险管理原则并与组织利益战略性对齐的方式来制定和整合其保护性安全控制。它详细介绍了企业架构和整合框架,在这个框架内可以协调各种与安全相关的政策、流程和实践(下图为该标准的目录)。
该标准明确了什么是保护性安全,它意味着什么、如何实施,以及如何衡量其效益,这对无论哪个行业的管理人员都是有帮助的。对于许多组织来说,这一点尤为重要,因为它们在各种安全措施上花费了大量资源,而这些措施不一定得到全面的协同和相互协调。
整体而言,该标准:
- 提供了组织及其管理人员如何实施和管理协调一致的保护性安全安排;
- 展示了一个至关重要的理念,即有效的安全管理是基于对风险的理解和风险管理原则的应用,以及安全控制(保护组织资产)的形式和实施对于组织长期成功至关重要。安全是一种业务推动因素,而不是组织的间接成本;
- 定义并详细说明了保护性安全的要素,概述了企业保护性安全治理模型,并定义了实现保护性安全结果所需的角色和责任;
- 展示了建立和保持支持积极安全行为的组织文化的重要性:所有人员和相关方都对安全结果有共同的主人翁意识;所有人都被授权并有能力为组织的安全利益行事,并为组织的安全进行投资;
- 概述了持续改进对组织保护性安全的重要性。
下面摘录一些标准中的示图和表格供参考,需要该标准的朋友可去知识星球查看。
原文发表于公众号”业务连续性+” | 原文链接