实现业务连续性和灾难恢复的合规性源自三个行动：可用的适当的标准，根据标准审查计划，并更新计划以符合标准。想像一个审计过程：灾难恢复和业务连续性标准代表了计划必须符合的控制措施。只要这些计划在很大程度上符合标准——在组织的政策和规划结构中，合规就有可能。

　　适当的标准

　　对于业务连续性(BC)，使用国际标准ISO 22301:2012,社会安全 - 业务连续性管理体系 - 要求;ISO 22313:2012,社会安全 - 业务连续性管理体系 - 指导;和美国标准NFPA 1600:2016 灾害/应急管理标准和业务连续性/运营计划连续性。其他业务连续性标准可用于特定的垂直市场，如银行、投资银行和信用合作社。

　　对于灾难恢复(DR)，使用 ISO/IEC 27031:2011, 信息技术 - 安全技术 - 信息和通信技术准备就业务连续性的准则，和美国联邦信息系统应急计划指南NIST SP 800-34。与BC一样，垂直市场也可以提供灾难恢复标准。

　　对于大多数组织，上述DR和业务连续性标准提供了确定合规性所需的所有信息。

　　根据标准审查计划

　　首先，将每个标准的内容与计划中的内容进行比较。确保您的计划确定解决标准中包含的问题的内容。如果您没有这些特定部分的内容，应该放在列表中以备以后的操作。

　　请注意，这些标准旨在为开发BC/DR计划提供框架和指导。他们通常不会为您提供样板计划，但您应该能够识别可帮助您完成计划中缺失部分的内容。

　　您还应阅读每个标准附带的术语表，以更好地了解所用的术语。

　　一旦您将计划映射到可用的标准之后，请检查您拥有的内容以及需要开发的内容。如果您目前没有BC / DR培训计划，您仍然可以注意到您的意图在适当的部分。一定要确保最终开发这些程序，因为审计人员会寻找有关其存在的证据。

　　更新计划以符合标准

　　一旦差距分析完成，应该更新您的计划，以弥补已确定的差距。标准可能会有适应您目的的措辞。您还可以参考用于计划开发的书籍和工具。

　　最后，确保您的计划与标准框架保持一致，至少从内容的角度来看。没有必要将您的计划映射到灾难恢复和业务连续性标准中列出的确切顺序，但如果不受任何公司授权的约束，您可以使用它们来为计划建模。

　　责任编辑：DJ编辑