業(yè)務(wù)連續(xù)性管理體系(BusinessContinuityManagement,簡(jiǎn)稱:BCM)國(guó)際最新標(biāo)準(zhǔn)ISO22301由國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2012年5月15日全新發(fā)布。作為它的前身,國(guó)際公認(rèn)的由BSI發(fā)布的BCM標(biāo)準(zhǔn)BS25999將于2012年9月正式被ISO22301取代。
隨著企業(yè)信息化的發(fā)展和企業(yè)數(shù)據(jù)大集中的實(shí)施,企業(yè)IT系統(tǒng)和業(yè)務(wù)的連續(xù)性受到越來(lái)越多的關(guān)注,尤其是對(duì)于,銀行、保險(xiǎn)、證券、電力、能源、交通等領(lǐng)域關(guān)系國(guó)計(jì)民生的關(guān)鍵信息系統(tǒng),如果沒(méi)有進(jìn)行災(zāi)難備份或業(yè)務(wù)連續(xù)性管理(BCM)體系建設(shè),在遭受突發(fā)災(zāi)難時(shí)后果不堪設(shè)想。業(yè)務(wù)連續(xù)性管理正是一個(gè)整體的管理過(guò)程,它能鑒別威脅組織潛在的影響,并且提供構(gòu)建彈性機(jī)制的管理架構(gòu),以及確保有效反應(yīng)的能力,以保護(hù)它的關(guān)鍵利益相關(guān)方的利益、聲譽(yù)、品牌以及創(chuàng)造價(jià)值的活動(dòng)”。
1.建立業(yè)務(wù)連續(xù)性管理體系的必要性
ISO22301:2012《公共安全一業(yè)務(wù)連續(xù)性管理體系-要求》將幫助所有的組織,無(wú)論其規(guī)模大小、地域或開(kāi)展的活動(dòng)如何,在處理任何類(lèi)型的風(fēng)險(xiǎn)時(shí)能更好地應(yīng)對(duì)并更具信心。
在任何時(shí)候事故都能使組織的業(yè)務(wù)中斷,采用ISO22301標(biāo)準(zhǔn)將保證組織能夠應(yīng)對(duì)事故并保證其業(yè)務(wù)的持續(xù)運(yùn)行。事故發(fā)生有多種類(lèi)型,從嚴(yán)重的自然災(zāi)害和恐怖主義活動(dòng)到與技術(shù)相關(guān)的事故和環(huán)境事故。然而,許多事故雖然小,但能產(chǎn)生嚴(yán)重的影響,這在任何時(shí)候都與業(yè)務(wù)連續(xù)性管理緊密相關(guān)。
目前,業(yè)務(wù)連續(xù)性管理已經(jīng)引起全球的關(guān)注,無(wú)論是公共或私有部門(mén)的組織都必須了解如何準(zhǔn)備和應(yīng)對(duì)意外的破壞性的事故發(fā)生。ISO22301標(biāo)準(zhǔn)為業(yè)務(wù)連續(xù)性管理體系(BCMS)的策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)提供了框架。當(dāng)破壞性的事故發(fā)生時(shí),該標(biāo)準(zhǔn)將有助于組織的防護(hù)、準(zhǔn)備、響應(yīng)和恢復(fù)。
實(shí)施ISO22301標(biāo)準(zhǔn)的組織將能夠向立法部門(mén)、執(zhí)法部門(mén)、消費(fèi)者和潛在消費(fèi)者以及其他的利益相關(guān)方證明,他們滿足了BCM良好規(guī)范的要求。同時(shí),該新標(biāo)準(zhǔn)也可用于組織內(nèi)部按照良好規(guī)范進(jìn)行內(nèi)部檢查,并通過(guò)內(nèi)審員出具管理報(bào)告。
ISO22301將幫助組織在設(shè)計(jì)BCMS時(shí)適宜地滿足自身的要求和滿足其利益相關(guān)方的要求,這些要求涉及:法律法規(guī)、組織和行業(yè)因素、組織的產(chǎn)品和服務(wù)、組織的規(guī)模和結(jié)構(gòu)、組織的過(guò)程和其利益相關(guān)方。為了使組織更好地運(yùn)行,ISO22301標(biāo)準(zhǔn)要求組織應(yīng)完全理解其要求,而不僅僅是一個(gè)項(xiàng)目或制定"一項(xiàng)計(jì)劃"。BCM是一個(gè)連續(xù)的管理過(guò)程,需要有能力的人員來(lái)運(yùn)作,當(dāng)需要時(shí),應(yīng)提供適當(dāng)?shù)闹С帧?/span>
企業(yè)如果沒(méi)有建立與運(yùn)行BCMS,面對(duì)災(zāi)難性的事件時(shí)將會(huì)措手不及。沒(méi)有建立與運(yùn)行業(yè)務(wù)連續(xù)性管理體系的企業(yè)在遭受災(zāi)難性的事件時(shí),將會(huì)面臨以下(但不限于)嚴(yán)重的后果:
客戶流失;
聲譽(yù)受損;
資金損失;
可能倒閉。
2. ISO22301:2012的主要特點(diǎn)有:
1) 標(biāo)準(zhǔn)規(guī)定了業(yè)務(wù)連續(xù)性管理體系(BCMS)要求。BCMS的采用和取得對(duì)標(biāo)準(zhǔn)實(shí)施的認(rèn)證,證明企業(yè)已做好準(zhǔn)備,可以應(yīng)對(duì)災(zāi)難性??事件的發(fā)生并且應(yīng)該能夠持續(xù)保持現(xiàn)狀;
2) 標(biāo)準(zhǔn)中規(guī)定的要求具有廣泛的適用性,可以適用于任何類(lèi)型或規(guī)模的企業(yè),無(wú)論其位置在哪里;
3) 可以將危機(jī)和災(zāi)難性事件造成的財(cái)務(wù)影響最小化。
ISO22301管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃,使企業(yè)對(duì)潛在的災(zāi)難加以辨別分析,幫助其確定可能發(fā)生的沖擊對(duì)企業(yè)的運(yùn)作造成的威脅,并提供一個(gè)有效的管理機(jī)制來(lái)阻止或抵消這些威脅,減少災(zāi)難事件給企業(yè)帶來(lái)?yè)p失。
ISO22301擁有很高的國(guó)際認(rèn)可度,它強(qiáng)調(diào)制定目標(biāo)、監(jiān)測(cè)表現(xiàn)和指標(biāo)、對(duì)企業(yè)的管理層提出了更加清晰的期望值,對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的制定提出了更高的要求。
在當(dāng)今經(jīng)濟(jì)全球化的背景下,面對(duì)巨大的商業(yè)和社會(huì)變化,以及各種不確定因素的挑戰(zhàn),業(yè)務(wù)連續(xù)性管理(BCM)的目的和價(jià)值需要不斷地被反復(fù)評(píng)估,以幫助人們應(yīng)對(duì)這些挑戰(zhàn)。幸運(yùn)的是,很多以前并未重視BCM的企業(yè)已經(jīng)開(kāi)始將BCM納入他們的視野之中,并且將BCM作為一個(gè)切實(shí)可靠的策略,用以保護(hù)企業(yè)的利益相關(guān)方的權(quán)益,同時(shí)將危機(jī)和災(zāi)難性事件造成的負(fù)面影響降低至最小。
為了更好地向企業(yè)闡釋BCM的重要性,BSI發(fā)布了有助于企業(yè)應(yīng)對(duì)重大業(yè)務(wù)中斷的五點(diǎn)建議,以確保其準(zhǔn)備好應(yīng)對(duì)任何可能的社會(huì)、政治和經(jīng)濟(jì)事件的威脅。這些建議包括:
1)確保高管層不間斷地參與和投入業(yè)務(wù)連續(xù)性管理工作。高管層對(duì)企業(yè)的觀察最為全面,他們的支持將確保業(yè)務(wù)連續(xù)性在整個(gè)企業(yè)內(nèi)引起重視。
2)不要忽視演練和測(cè)試,在未發(fā)生實(shí)際事件的情況下,這將是找出計(jì)劃漏洞的******方式,使您的客戶不會(huì)通過(guò)媒體/社交網(wǎng)絡(luò)獲知這些消息!
3)開(kāi)展徹底的風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析,包括分析所有外部和內(nèi)部的依存關(guān)系,尤其是深入分析企業(yè)的供應(yīng)鏈。
4)實(shí)施系統(tǒng)化的業(yè)務(wù)連續(xù)性方案,確保BCM的優(yōu)勢(shì)。
5)遵循國(guó)際良好實(shí)踐—BCM良好實(shí)踐方案由數(shù)百位專(zhuān)家?guī)椭贫?,其效用已在全球范圍?nèi)獲得了驗(yàn)證和認(rèn)可,可為企業(yè)節(jié)省從頭開(kāi)始制定方案的時(shí)間和精力。
ISO22301是符合新的ISO管理體系標(biāo)準(zhǔn)編寫(xiě)格式的第一個(gè)標(biāo)準(zhǔn)。這將有助于對(duì)標(biāo)準(zhǔn)內(nèi)容的理解,并保證與其他管理體系,如ISO9001(質(zhì)量管理體系)、ISO14001(環(huán)境管理體系)和ISO/IEC27001(信息安全管理體系)的一致性。ISO22301是用于BCM的管理體系標(biāo)準(zhǔn),適用于所有規(guī)模和類(lèi)型的組織第三方認(rèn)證以及自我評(píng)價(jià)。這些組織將能夠獲得符合該標(biāo)準(zhǔn)要求的全球承認(rèn)的證書(shū),從而向立法部門(mén)、執(zhí)法部門(mén)、顧客、潛在顧客和其他利益相關(guān)方證明,他們滿足了BCM良好規(guī)范要求。ISO22301標(biāo)準(zhǔn)也能使業(yè)務(wù)連續(xù)性經(jīng)理向最高管理者表明,已經(jīng)滿足了國(guó)際標(biāo)準(zhǔn)要求。為了幫助用戶更好地理解標(biāo)準(zhǔn),該新標(biāo)準(zhǔn)對(duì)BCM關(guān)鍵要素作了簡(jiǎn)要介紹。
在每一個(gè)企業(yè),業(yè)務(wù)的連續(xù)性都有重要的作用,ISO22301標(biāo)準(zhǔn)在全世界有具大的潛力。目前許多國(guó)家已經(jīng)開(kāi)始采用ISO22301標(biāo)準(zhǔn),如新加坡和英國(guó),他們用ISO22301替代了現(xiàn)行的國(guó)家標(biāo)準(zhǔn)。這表明該標(biāo)準(zhǔn)用戶基礎(chǔ)潛力巨大并可取得預(yù)期收益。ISO22301是ISO/TC223公共安全技術(shù)委員會(huì)所制定的系列標(biāo)準(zhǔn)之一,例如:稱之為ISO22313的補(bǔ)充文件正在制定,這個(gè)ISO22313標(biāo)準(zhǔn)包括實(shí)施ISO22301標(biāo)準(zhǔn)的指南,以對(duì)ISO22301的每一個(gè)要求提供更為詳細(xì)的指導(dǎo)。
企業(yè)業(yè)務(wù)連續(xù)性管理體系建設(shè)與運(yùn)行的常見(jiàn)問(wèn)題
一、人員意識(shí)和認(rèn)識(shí)方面
總體上人們對(duì)于小概率大影響的事件偏向于過(guò)分樂(lè)觀。尤其是華人的社會(huì)文化特點(diǎn)是比較忌諱談?wù)摗疤鞛?zāi)人禍”這些我們不太認(rèn)為可能發(fā)生在自己身上的事件。這種意識(shí)反映在認(rèn)識(shí)方面就是要么認(rèn)為風(fēng)險(xiǎn)絕對(duì)不可能發(fā)生,要么設(shè)定業(yè)務(wù)絕對(duì)不可以中斷(MTPD=0和RPO=0)的不合理或不現(xiàn)實(shí)持續(xù)目標(biāo)。
二、實(shí)施驅(qū)動(dòng)力方面
我國(guó)的主要經(jīng)濟(jì)實(shí)體是國(guó)有企業(yè),而國(guó)有企業(yè)的最大特點(diǎn)就是國(guó)家負(fù)責(zé)一切(老外語(yǔ):Thestatelooksaftereverything)。這樣企業(yè)實(shí)施BCM的動(dòng)力并不大。政府不得不加大重點(diǎn)行業(yè)(金融、電信、電力、民航、鐵路、海關(guān)、稅務(wù)等)在BCM方面的立法強(qiáng)度,強(qiáng)調(diào)企業(yè)的經(jīng)濟(jì)行為和社會(huì)責(zé)任雙重角色。否則最后的結(jié)果就是政府承擔(dān)責(zé)任并買(mǎi)單。
三、實(shí)施策略方面
許多人認(rèn)為業(yè)務(wù)持續(xù)管理(BCM)就是容災(zāi)(DRP)。而且許多單位容易忽略本地設(shè)施的保護(hù)和管理來(lái)進(jìn)一步提高IT服務(wù)的可用性和可靠性。最后業(yè)務(wù)持續(xù)管理就變成了建立同城異地災(zāi)備中心的代名詞。這種從資源(IT基礎(chǔ)設(shè)施)投入到業(yè)務(wù)需求的反向而非整體性規(guī)劃的最終結(jié)果往往是投入巨大但效果很差。
四、維護(hù)運(yùn)行方面
“重建設(shè),輕運(yùn)維”這是大家對(duì)業(yè)務(wù)持續(xù)管理現(xiàn)狀的共識(shí)。殊不知業(yè)務(wù)持續(xù)管理很重要的工作就是通過(guò)日常的持續(xù)維護(hù)和不斷演練,才能實(shí)現(xiàn)“有備無(wú)患”而不是“有備無(wú)換”。