业务连续性管理体系(BCMS)是组织整体管理体系的一个部分,用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。其核心是以信息技术为基础,保障企业业务持续运行,跨越了风险管理、灾难恢复、紧急时间管理、安全管理、知识管理、危机通信和公共关系等多个学科。能够提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响,保证企业良好发展。
1
问
业务连续性管理是什么
答
业务连续性管理的概念起源于上世纪70年代,与计算机技术的发展密不可分,随着计算机技术在各行各业的广泛应用,业务连续性管理活动在业务运营过程中的重要性被逐渐意识到,并发展成为一门学科。政府和立法部门则从降低社会破坏性事故方面的作用对该学科予以肯定。
业务持续性管理(Business ContinuityManagement)即BCM,是一个整体的管理流程,将业务运作所面临的风险控制在低水平,以及在业务运作中断后立即恢复业务运作的业务管理流程。业务连续性管理一般包括启动、需求分析、战略规划和实施以及运作管理四阶段。
2
问
业务连续性管理中常见问题有哪些
答
类别1:企业并未意识到业务连续性的重要性,并未制定相应的计划。
类别2:一是理解上错误,将应急响应预案错误理解为业务连续性计划,或者是范围理解错误,只针对关键的原辅料供应商进行了管理,比如对于关键原辅料要求有2家供应商。二是是模板化,比如采用了标准化的模板作为企业内部的业务连续性计划(从网上找的模板),并未根据企业的实际情况进行编制。
类别3:企业编制了简单的业务连续性计划,但未进行业务影响分析以识别关键的业务流程、活动等,也并未进行风险评估以识别潜在的威胁、或者未进行业务连续性有效性的验证。
3
问
如何实施ISO22301
答
具体实施时,将分为10个步骤进行实施:
1、启动调研
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
2、风险评估
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
3、业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
4、容灾策略制定
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
5、容灾技术方案设计
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
6、容灾设施资源及 IT 系统建设或整改
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,终达到容灾的实际要求。
7、业务连续性计划及灾难恢复计划的制定与维护
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
8、容灾系统运行维护
运行业务连续性计划,包括日常管理和演练等,并建立相应的管理制度。
9、演练及测试
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。
10、审核
培训内审员,进行内部审核,并在适当时机邀请外部审核机构对业务连续性管理体系进行审核。
4
问
ISO22301认证依据是什么
答
认证依据为ISO22301:2019《安全性和弹性 业务连续性管理体系 要求》,2019年10月发布,是ISO22301修订。
2006年,ISO/PAS22399:2007《事故应对和连续性管理》指南文件成功发布。2012年,ISO22301:2012发布,作为真正的国际性标准,参考了澳大利亚、法国、德国、日本、朝鲜、新加坡、瑞典、泰国、英国和美国的重要建议。我国于2013年等同采用发布了《公共安全业务连续性管理体系 要求》国家标准(GB/T30146-2013),并于2014年5月1日起实施。目前,全球的企业在通过的第三方认证向相关方展示其业务连续性的管理能力。
5
问
ISO22301的适用对象有哪些
答
ISO22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造佳企业应急预案的必备选择。
以金融行业为例,目前我国中小型银行和其他金融机构,在业务连续性管理上与存在不小差距,急需要得到提升,保证金融业务连续性成为金融机构不断增强服务品质并实现业务转型的关键。
6
问
企业办理ISO22301申请所需材料清单
答
包括但不限于:
1、企业法人营业执照
2、临时场所清单
3、适用法律法规清单;
4、取得相关法律法规规定的行政许可文件
5、业务影响分析报告、风险报告和业务连续性计划;
6、BCMS系统文件,包括:政策、目标、范围、组织为过程运行和沟通而维护的信息,必须提供:组织概况、组织结构(组织结构图)、人员情况和职能部门,工艺路线图/工艺流程图/工艺说明(应明确描述关键工艺和特殊工艺)及相关工艺文件;
7、管理体系认证申请。