業(yè)務連續(xù)性管理體系(BusinessContinuityManagement,簡稱:BCM)國際最新標準ISO22301由國際標準化組織(ISO)于2012年5月15日全新發(fā)布。作為它的前身,國際公認的由BSI發(fā)布的BCM標準BS25999將于2012年9月正式被ISO22301取代。
隨著企業(yè)信息化的發(fā)展和企業(yè)數(shù)據(jù)大集中的實施,企業(yè)IT系統(tǒng)和業(yè)務的連續(xù)性受到越來越多的關注,尤其是對于,銀行、保險、證券、電力、能源、交通等領域關系國計民生的關鍵信息系統(tǒng),如果沒有進行災難備份或業(yè)務連續(xù)性管理(BCM)體系建設,在遭受突發(fā)災難時后果不堪設想。業(yè)務連續(xù)性管理正是一個整體的管理過程,它能鑒別威脅組織潛在的影響,并且提供構建彈性機制的管理架構,以及確保有效反應的能力,以保護它的關鍵利益相關方的利益、聲譽、品牌以及創(chuàng)造價值的活動”。
1.建立業(yè)務連續(xù)性管理體系的必要性
ISO22301:2012《公共安全一業(yè)務連續(xù)性管理體系-要求》將幫助所有的組織,無論其規(guī)模大小、地域或開展的活動如何,在處理任何類型的風險時能更好地應對并更具信心。
在任何時候事故都能使組織的業(yè)務中斷,采用ISO22301標準將保證組織能夠應對事故并保證其業(yè)務的持續(xù)運行。事故發(fā)生有多種類型,從嚴重的自然災害和恐怖主義活動到與技術相關的事故和環(huán)境事故。然而,許多事故雖然小,但能產生嚴重的影響,這在任何時候都與業(yè)務連續(xù)性管理緊密相關。
目前,業(yè)務連續(xù)性管理已經引起全球的關注,無論是公共或私有部門的組織都必須了解如何準備和應對意外的破壞性的事故發(fā)生。ISO22301標準為業(yè)務連續(xù)性管理體系(BCMS)的策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進提供了框架。當破壞性的事故發(fā)生時,該標準將有助于組織的防護、準備、響應和恢復。
實施ISO22301標準的組織將能夠向立法部門、執(zhí)法部門、消費者和潛在消費者以及其他的利益相關方證明,他們滿足了BCM良好規(guī)范的要求。同時,該新標準也可用于組織內部按照良好規(guī)范進行內部檢查,并通過內審員出具管理報告。
ISO22301將幫助組織在設計BCMS時適宜地滿足自身的要求和滿足其利益相關方的要求,這些要求涉及:法律法規(guī)、組織和行業(yè)因素、組織的產品和服務、組織的規(guī)模和結構、組織的過程和其利益相關方。為了使組織更好地運行,ISO22301標準要求組織應完全理解其要求,而不僅僅是一個項目或制定"一項計劃"。BCM是一個連續(xù)的管理過程,需要有能力的人員來運作,當需要時,應提供適當?shù)闹С帧?/span>
企業(yè)如果沒有建立與運行BCMS,面對災難性的事件時將會措手不及。沒有建立與運行業(yè)務連續(xù)性管理體系的企業(yè)在遭受災難性的事件時,將會面臨以下(但不限于)嚴重的后果:
客戶流失;
聲譽受損;
資金損失;
可能倒閉。
2. ISO22301:2012的主要特點有:
1) 標準規(guī)定了業(yè)務連續(xù)性管理體系(BCMS)要求。BCMS的采用和取得對標準實施的認證,證明企業(yè)已做好準備,可以應對災難性??事件的發(fā)生并且應該能夠持續(xù)保持現(xiàn)狀;
2) 標準中規(guī)定的要求具有廣泛的適用性,可以適用于任何類型或規(guī)模的企業(yè),無論其位置在哪里;
3) 可以將危機和災難性事件造成的財務影響最小化。
ISO22301管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃,使企業(yè)對潛在的災難加以辨別分析,幫助其確定可能發(fā)生的沖擊對企業(yè)的運作造成的威脅,并提供一個有效的管理機制來阻止或抵消這些威脅,減少災難事件給企業(yè)帶來損失。
ISO22301擁有很高的國際認可度,它強調制定目標、監(jiān)測表現(xiàn)和指標、對企業(yè)的管理層提出了更加清晰的期望值,對業(yè)務連續(xù)性計劃的制定提出了更高的要求。
在當今經濟全球化的背景下,面對巨大的商業(yè)和社會變化,以及各種不確定因素的挑戰(zhàn),業(yè)務連續(xù)性管理(BCM)的目的和價值需要不斷地被反復評估,以幫助人們應對這些挑戰(zhàn)。幸運的是,很多以前并未重視BCM的企業(yè)已經開始將BCM納入他們的視野之中,并且將BCM作為一個切實可靠的策略,用以保護企業(yè)的利益相關方的權益,同時將危機和災難性事件造成的負面影響降低至最小。
為了更好地向企業(yè)闡釋BCM的重要性,BSI發(fā)布了有助于企業(yè)應對重大業(yè)務中斷的五點建議,以確保其準備好應對任何可能的社會、政治和經濟事件的威脅。這些建議包括:
1)確保高管層不間斷地參與和投入業(yè)務連續(xù)性管理工作。高管層對企業(yè)的觀察最為全面,他們的支持將確保業(yè)務連續(xù)性在整個企業(yè)內引起重視。
2)不要忽視演練和測試,在未發(fā)生實際事件的情況下,這將是找出計劃漏洞的******方式,使您的客戶不會通過媒體/社交網(wǎng)絡獲知這些消息!
3)開展徹底的風險評估和業(yè)務影響分析,包括分析所有外部和內部的依存關系,尤其是深入分析企業(yè)的供應鏈。
4)實施系統(tǒng)化的業(yè)務連續(xù)性方案,確保BCM的優(yōu)勢。
5)遵循國際良好實踐—BCM良好實踐方案由數(shù)百位專家?guī)椭贫ǎ湫в靡言谌蚍秶鷥全@得了驗證和認可,可為企業(yè)節(jié)省從頭開始制定方案的時間和精力。
ISO22301是符合新的ISO管理體系標準編寫格式的第一個標準。這將有助于對標準內容的理解,并保證與其他管理體系,如ISO9001(質量管理體系)、ISO14001(環(huán)境管理體系)和ISO/IEC27001(信息安全管理體系)的一致性。ISO22301是用于BCM的管理體系標準,適用于所有規(guī)模和類型的組織第三方認證以及自我評價。這些組織將能夠獲得符合該標準要求的全球承認的證書,從而向立法部門、執(zhí)法部門、顧客、潛在顧客和其他利益相關方證明,他們滿足了BCM良好規(guī)范要求。ISO22301標準也能使業(yè)務連續(xù)性經理向最高管理者表明,已經滿足了國際標準要求。為了幫助用戶更好地理解標準,該新標準對BCM關鍵要素作了簡要介紹。
在每一個企業(yè),業(yè)務的連續(xù)性都有重要的作用,ISO22301標準在全世界有具大的潛力。目前許多國家已經開始采用ISO22301標準,如新加坡和英國,他們用ISO22301替代了現(xiàn)行的國家標準。這表明該標準用戶基礎潛力巨大并可取得預期收益。ISO22301是ISO/TC223公共安全技術委員會所制定的系列標準之一,例如:稱之為ISO22313的補充文件正在制定,這個ISO22313標準包括實施ISO22301標準的指南,以對ISO22301的每一個要求提供更為詳細的指導。
企業(yè)業(yè)務連續(xù)性管理體系建設與運行的常見問題
一、人員意識和認識方面
總體上人們對于小概率大影響的事件偏向于過分樂觀。尤其是華人的社會文化特點是比較忌諱談論“天災人禍”這些我們不太認為可能發(fā)生在自己身上的事件。這種意識反映在認識方面就是要么認為風險絕對不可能發(fā)生,要么設定業(yè)務絕對不可以中斷(MTPD=0和RPO=0)的不合理或不現(xiàn)實持續(xù)目標。
二、實施驅動力方面
我國的主要經濟實體是國有企業(yè),而國有企業(yè)的最大特點就是國家負責一切(老外語:Thestatelooksaftereverything)。這樣企業(yè)實施BCM的動力并不大。政府不得不加大重點行業(yè)(金融、電信、電力、民航、鐵路、海關、稅務等)在BCM方面的立法強度,強調企業(yè)的經濟行為和社會責任雙重角色。否則最后的結果就是政府承擔責任并買單。
三、實施策略方面
許多人認為業(yè)務持續(xù)管理(BCM)就是容災(DRP)。而且許多單位容易忽略本地設施的保護和管理來進一步提高IT服務的可用性和可靠性。最后業(yè)務持續(xù)管理就變成了建立同城異地災備中心的代名詞。這種從資源(IT基礎設施)投入到業(yè)務需求的反向而非整體性規(guī)劃的最終結果往往是投入巨大但效果很差。
四、維護運行方面
“重建設,輕運維”這是大家對業(yè)務持續(xù)管理現(xiàn)狀的共識。殊不知業(yè)務持續(xù)管理很重要的工作就是通過日常的持續(xù)維護和不斷演練,才能實現(xiàn)“有備無患”而不是“有備無換”。