发布时间 : 星期三 文章BCM相关国际组织与国际法规简介V1.0更新完毕开始阅读af5c216d76c66137ef061914
2. BCM相关国际标准
2.1 英国BS25999标准
BS25999是由BSI发布的关于BCM的英国标准。本标准是由所有相关组织机构的参与者利用他们的学识、技术和业务持续管理(BCM)的实践经验而共同开发的。本标准提供了以业务持续管理最佳惯例为基础的管理体系。本标准试图为大多数工商业领域需要实施业务持续管理的组织机构提供一个统一的参考标准,该标准可用于工业、商业、公共和志愿部门中的各种大、中或小型组织机构。
该标准分为两部分,即BS25999-1:Code of practice for business continuity management(业务持续管理实用守则)和BS25999-2:A Specification for BCM(业务持续管理规范)。
2.1.1
BS25999-1 :业务持续管理实用守则
BS25999-1由BSI发布,并于2006年11月30日生效,该标准是用来取代由BSI于2003年发布的PAS56:The Guide to Business Continuity Management(2003)(业务持续管理指南)。在BS25999-1中详细描述了有关业务持续管理的过程、原则和术语。
BS25999-1共分为十章。 第一章:范围和适用性
本标准的目的是为了理解、开发、并在组织机构内部实施业务持续提供一个基础,为组织机构之间、以及组织机构与客户之间进行业务交往时提供信心。它还能使组织机构采用一致的、公认的方式来衡量其BCM能力。
本标准适用于负责业务运行或提供服务的任何人员,从最高管理层到组织机构各个层次的员工;从单一办公场所的组织机构到全球分布的大型机构;从专营商业机构和中小型企业到拥有数千名员工的大型组织机构。因此,本标准可用于任何人所负责的任何运行及其持续。
第二章:术语和定义
描述了本标准中所采用的术语及其定义。 第三章:BCM概述
阐明了什么是BCM及其与风险管理的关系,以及组织机构建立BCM的目的和好处,并给出了BCM生命周期的六个要素,如附图1所示。
附图1. BCM的生命周期
由附图1可见,本标准所给出的BCM生命周期与BCI的理论(参见3.2.4)是完全一致的。而且,以下各章的内容也是按照这六个要素分别进行描述的(这与BCI的最佳惯例中的六个步骤相对应)。
第四章:BCM指导方针
确定BCM的指导方针,提供清晰的BCM框架,以确保所有BCM活动都按照预定的和可控的方式进行和实施,从而使业务持续的能力满足不断变化的业务要求,并与组织机构的规模、复杂程度和性质相符合。
第五章:BCM规划管理
BCM规划管理是BCM完整过程的核心。高管层的参与是确保BCM过程的正确进行、并获得适当的支持、以及使BCM融入组织机构文化中的关键。
BCM规划管理包括三个步骤:职责分配;项目管理;持续不断地管理。 第六章:了解组织机构
从以下几个方面来了解组织机构:
识别组织机构的目标、利益相关者的义务、法定责任和组织机构的运行环境; 识别关键业务活动、资产及相关资源,包括组织机构以外用来支持组织机构的产品和服务所需提供的活动、资产及资源;
业务活动、资产及相关资源的失效随着时间推移的影响和后果;
确认和评估可能会使组织机构的关键产品、服务、及其所需支持活动和资源产生中断的已知威胁。同时,了解业务活动之间的相互关系以及对外部机构或其
他方面的依赖也是非常重要的。
了解组织机构的主要手段就是业务冲击分析(Business Impact Analysis)和风险评估(Risk Assessment)。
第七章:确定BCM策略
组织机构用于确定BCM策略的方法有:
提供适当的措施来降低事件发生的可能性或减小这些事件的潜在影响; 采取适当的恢复措施;
在事件发生期间和事件发生后为关键业务活动提供持续能力; 还应考虑其它非关键业务的其它活动。
通常由关键业务活动最大可容忍的中断时间,策略实施的成本,以及不采取措施的后果来选择最佳的策略。
第八章:制定和贯彻实施BCM响应计划
本章说明了计划编制的要求,以及事件响应和启动计划的流程。所有计划,不论是事件管理计划、业务持续计划或业务恢复计划,都应该简单明了,并应确保计划中具有明确职责的人员可以容易得到相关计划。对于小型的组织机构,可以只有一个计划,包括所有业务要求和全部操作内容;而对于大型的组织机构则可以有多个计划,每一计划应该确定相关恢复细节,并且可以包括事件响应、业务持续和恢复各阶段的单独文档。本章中还规定了事件响应的组织(IMT或CMT)及其职责。
第九章:BCM演练、维护和评审
BCM计划必须经过演练并得到不断地维护,否则就不能认为是可靠的。演练的实质就是对团队的合作、能力、信心和知识的检验。
新的灾难情景、新的业务类型、以及组织机构的变化都会引起BCM的改变,这就要求及时地维护和更新。本章中阐述了演练的方法(包括从简单到复杂、从部分到全部等各种形式),以及维护和评审的要求和计划安排。
第十章:将BCM融入到组织机构的文化中
要使BCM取得成功,必须使其成为组织机构的一部分。不论组织机构的规模大小或属于何种行业,在进行BCM过程的每一个阶段,都应将BCM融入组织机构的BCM文化中,以使其成为组织机构的核心价值观和有效管理的一部分。
在组织机构中发展BCM文化的关键要素是,高管层的领导;职责的分配;认知的提高;技能的培训;计划的演练。
2.1.2
BS25999-2:业务持续管理规范
BS25999-2由BSI发布,并于2007 年11月30日生效。该标准提供了业务持续管理系统(BCMS)的建立、实施与文档化的具体要求,包括建立组织机构
业务持续管理系统所需的客观和独立的审计要求,以及全面的业务持续管理措施。同时,本标准可作为对各种规模和复杂程度的组织机构进行业务持续能力认证的标准。
本标准通过建立和管理有效的业务持续管理体系 (BCMS),来确定业务持续规划,其重点为:
a) 理解业务持续的需求,以及建立业务持续指导方针和目标的必要性; b) 为管理组织机构的总体业务持续风险而采取的控制措施; c) 监控和评审BCMS的绩效;
d) 根据对目标的衡量结果持续地进行改进; 本标准采取的管理体系包括以下要素: a) 指导方针;
b) 人员及其指定的职责;
c) 一套管理流程,包括:1)指导方针,2)规划,3)贯彻实施,4)绩效评估,5)管理评审,6)改进;
d) 一系列作为审核依据的文件;
e) 与主题(业务持续)相关的具体过程,例如:业务冲击分析(BIA)、业务持续计划的制定,等等。
本标准所用的PDCA循环模型:
本标准采用“规划(Plan)- 实施(Do)- 检查(Check)- 处理(Act)”循环模型来建立、贯彻、执行、监控、演练、维护和改进组织机构有效的BCMS。
附图2说明了BCMS如何把相关部门的业务持续需求和期望作为输入,并通过必要的措施和流程,产生满足这些需求和期望的业务持续结果(如受控的业务持续)。