BS 25999业务连续管理 (BCM)
BS 25999业务连续管理 (BCM)
业务连续性管理体系(BusinessContinuityManagement,简称:BCM)国际最新标准ISO22301由国际标准化组织(ISO)于2012年5月15日全新发布。作为它的前身,国际公认的由BSI发布的BCM标准BS25999将于2012年9月正式被ISO22301取代。
随着企业信息化的发展和企业数据大集中的实施,企业IT系统和业务的连续性受到越来越多的关注,尤其是对于,银行、保险、证券、电力、能源、交通等领域关系国计民生的关键信息系统,如果没有进行灾难备份或业务连续性管理(BCM)体系建设,在遭受突发灾难时后果不堪设想。业务连续性管理正是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力,以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。
1.建立业务连续性管理体系的必要性
ISO22301:2012《公共安全一业务连续性管理体系-要求》将帮助所有的组织,无论其规模大小、地域或开展的活动如何,在处理任何类型的风险时能更好地应对并更具信心。
在任何时候事故都能使组织的业务中断,采用ISO22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型,从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而,许多事故虽然小,但能产生严重的影响,这在任何时候都与业务连续性管理紧密相关。
目前,业务连续性管理已经引起全球的关注,无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性的事故发生。ISO22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时,该标准将有助于组织的防护、准备、响应和恢复。
实施ISO22301标准的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明,他们满足了BCM良好规范的要求。同时,该新标准也可用于组织内部按照良好规范进行内部检查,并通过内审员出具管理报告。
ISO22301将帮助组织在设计BCMS时适宜地满足自身的要求和满足其利益相关方的要求,这些要求涉及:法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关方。为了使组织更好地运行,ISO22301标准要求组织应完全理解其要求,而不仅仅是一个项目或制定"一项计划"。BCM是一个连续的管理过程,需要有能力的人员来运作,当需要时,应提供适当的支持。
企业如果没有建立与运行BCMS,面对灾难性的事件时将会措手不及。没有建立与运行业务连续性管理体系的企业在遭受灾难性的事件时,将会面临以下(但不限于)严重的后果:
客户流失;
声誉受损;
资金损失;
可能倒闭。
2. ISO22301:2012的主要特点有:
1) 标准规定了业务连续性管理体系(BCMS)要求。BCMS的采用和取得对标准实施的认证,证明企业已做好准备,可以应对灾难性??事件的发生并且应该能够持续保持现状;
2) 标准中规定的要求具有广泛的适用性,可以适用于任何类型或规模的企业,无论其位置在哪里;
3) 可以将危机和灾难性事件造成的财务影响最小化。
ISO22301管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业的运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。
ISO22301拥有很高的国际认可度,它强调制定目标、监测表现和指标、对企业的管理层提出了更加清晰的期望值,对业务连续性计划的制定提出了更高的要求。
在当今经济全球化的背景下,面对巨大的商业和社会变化,以及各种不确定因素的挑战,业务连续性管理(BCM)的目的和价值需要不断地被反复评估,以帮助人们应对这些挑战。幸运的是,很多以前并未重视BCM的企业已经开始将BCM纳入他们的视野之中,并且将BCM作为一个切实可靠的策略,用以保护企业的利益相关方的权益,同时将危机和灾难性事件造成的负面影响降低至最小。
为了更好地向企业阐释BCM的重要性,BSI发布了有助于企业应对重大业务中断的五点建议,以确保其准备好应对任何可能的社会、政治和经济事件的威胁。这些建议包括:
1)确保高管层不间断地参与和投入业务连续性管理工作。高管层对企业的观察最为全面,他们的支持将确保业务连续性在整个企业内引起重视。
2)不要忽视演练和测试,在未发生实际事件的情况下,这将是找出计划漏洞的******方式,使您的客户不会通过媒体/社交网络获知这些消息!
3)开展彻底的风险评估和业务影响分析,包括分析所有外部和内部的依存关系,尤其是深入分析企业的供应链。
4)实施系统化的业务连续性方案,确保BCM的优势。
5)遵循国际良好实践—BCM良好实践方案由数百位专家帮助制定,其效用已在全球范围内获得了验证和认可,可为企业节省从头开始制定方案的时间和精力。
ISO22301是符合新的ISO管理体系标准编写格式的第一个标准。这将有助于对标准内容的理解,并保证与其他管理体系,如ISO9001(质量管理体系)、ISO14001(环境管理体系)和ISO/IEC27001(信息安全管理体系)的一致性。ISO22301是用于BCM的管理体系标准,适用于所有规模和类型的组织第三方认证以及自我评价。这些组织将能够获得符合该标准要求的全球承认的证书,从而向立法部门、执法部门、顾客、潜在顾客和其他利益相关方证明,他们满足了BCM良好规范要求。ISO22301标准也能使业务连续性经理向最高管理者表明,已经满足了国际标准要求。为了帮助用户更好地理解标准,该新标准对BCM关键要素作了简要介绍。
在每一个企业,业务的连续性都有重要的作用,ISO22301标准在全世界有具大的潜力。目前许多国家已经开始采用ISO22301标准,如新加坡和英国,他们用ISO22301替代了现行的国家标准。这表明该标准用户基础潜力巨大并可取得预期收益。ISO22301是ISO/TC223公共安全技术委员会所制定的系列标准之一,例如:称之为ISO22313的补充文件正在制定,这个ISO22313标准包括实施ISO22301标准的指南,以对ISO22301的每一个要求提供更为详细的指导。
企业业务连续性管理体系建设与运行的常见问题
一、人员意识和认识方面
总体上人们对于小概率大影响的事件偏向于过分乐观。尤其是华人的社会文化特点是比较忌讳谈论“天灾人祸”这些我们不太认为可能发生在自己身上的事件。这种意识反映在认识方面就是要么认为风险绝对不可能发生,要么设定业务绝对不可以中断(MTPD=0和RPO=0)的不合理或不现实持续目标。
二、实施驱动力方面
我国的主要经济实体是国有企业,而国有企业的最大特点就是国家负责一切(老外语:Thestatelooksaftereverything)。这样企业实施BCM的动力并不大。政府不得不加大重点行业(金融、电信、电力、民航、铁路、海关、税务等)在BCM方面的立法强度,强调企业的经济行为和社会责任双重角色。否则最后的结果就是政府承担责任并买单。
三、实施策略方面
许多人认为业务持续管理(BCM)就是容灾(DRP)。而且许多单位容易忽略本地设施的保护和管理来进一步提高IT服务的可用性和可靠性。最后业务持续管理就变成了建立同城异地灾备中心的代名词。这种从资源(IT基础设施)投入到业务需求的反向而非整体性规划的最终结果往往是投入巨大但效果很差。
四、维护运行方面
“重建设,轻运维”这是大家对业务持续管理现状的共识。殊不知业务持续管理很重要的工作就是通过日常的持续维护和不断演练,才能实现“有备无患”而不是“有备无换”。
