发布时间 : 星期三 文章BCM相关国际组织与国际法规简介V1.0更新完毕开始阅读af5c216d76c66137ef061914
中心到成为可用来帮助组织机构进行策略和业务规划的计划编制工具。
第二部分:BCM手册
概述了一个可由任何组织机构来制定的BCM框架。并补充了对BCM每一步骤的详细讨论,这些补充内容可作为BCM从业者的工作手册。此工作手册包含了一些模板,还提供了一个容易掌握的流程,该流程可在组织机构的所有部门进行,不管是在一个专业的部门(如负责制定IT恢复计划的部门),还是在一个与风险管理、公司治理以及BCM规划有关的部门。
本手册最后还有两个附录,附录A列出了本手册所用的术语表,附录B列出了本手册所引用的参考资料。
2.4.2
HB292:2006 业务持续管理从业者指南
HB292:2006(A Practitioners Guide to Business Continuity Management,Handbook)是由澳大利亚标准化组织于2006年发布的关于业务持续管理的从业者使用指南。本指南是在HB221:2004的基础上制定的,所以其中有许多内容包含在HB221:2004中。然而,在这里,HB221的准则已明显地扩充了,并增加了许多新的解释信息。这个文件与其它普遍接受的惯例(例如NFPA1600、BCI最佳惯例指南2005版、新加坡TR192005版、以及DRII和DRJ的著作)更加一致。
本指南分为十章,并且还有十二个附录(A~L)。 第一章:什么是BCM?
第二章:BCM项目开始:建立一个框架并管理BCM规划; 第三章:评估风险并制定中断情景假设; 第四章:进行业务冲击分析(BIA);
第五章:制定BCM策略——对事件作出响应; 第六章:评估和整理资源需求——汇总资源信息; 第七章:编写计划——指导原则; 第八章:制定沟通策略; 第九章:BCM维护; 第十章:启动和执行;
十二个附录为,附录A:沟通渠道;附录B:风险源;附录C:优先级别框架示例;附录D:威胁和伤害的示例;附录E:弱点评估——需考虑的问题;附录F:文档恢复和重建方法;附录G:汇总资源分布图示例;附录H:其他计划内容的示例;附录I:术语表;附录J:参考资料;附录K:致谢;附录L:BCM从业者指南中的工作手册。
2.4.3 HB293:2006 业务持续管理高管层指南
HB293:2006(Executive Guide to Business Continuity Management,Handbook)是由澳大利亚标准化组织于2006年发布的关于业务持续管理的高管层使用指南。在过去几年里,BCM已成为优秀企业治理的重要组成部分和在日益动荡的环境中使组织机构持续运行的重要因素。BCM是组织机构进行有效风险管理总方针的重要部分,应该与组织机构的应急管理工作紧密地结合起来。
本指南为高管层提供了重要概念和流程的概述,这些概念和流程是维护BCM计划的全面性和完善性所必需的。本文档是作为对HB292(业务持续管理从业者指南)的内容进行归纳和概要检索的工具而设计的,其结构是以HB221(业务持续管理)的框架为基础的。
本指南分为以下两个部分:
第一部分:使用高管层指南。包括业务持续管理的概述,最佳惯例的组成要素,以及业务持续流程。
第二部分:BCM流程。包括九个步骤:第一步——开始;第二步——风险和弱点分析;第三步——业务冲击评估;第四步——响应策略;第五步——整理资源及其互依赖性;第六步——计划编写;第七步——沟通策略;第八步——维护;第九步——启动和执行。
2.5 新加坡TR19标准
TR19:业务持续管理(BCM)之技术参考(Technical Reference for Business Continuity Management)是由新加坡标准及生产力创新局(SPRING Singapore)于2005年发布的关于业务持续管理的标准,用以取代SPRING于2003年7月发布的标准《对业务持续管理的需要》(Requirements for Business Continuity Management)。这一技术参考(TR)是由负责业务持续管理(BCM)的技术委员会(TC)按照管理体系标准委员会(MSSC)的规范而制定的。在制定TR的过程中,新加坡商业联合会的业务持续管理委员会给该技术委员会也提供了战略指导。
新加坡商业联合会、经济发展局、以及新加坡标准及生产力创新局制定本技术参考(TR),是为了建立一个通用的最佳行业管理惯例。这一工作得到了主要的行业机构和政府部门的支持。
本技术参考(TR)主要关注于持续性管理及关键业务运行的恢复。这包括预防措施(比如针对物理和IT的安全,采取风险减小措施)、方法论、以及实施灾难恢复规划、业务持续规划、应急响应和管理、危机沟通管理、供应链协调,还包括与企业和公共机构的合作。其主要部分如下:
0. BCM框架介绍 1. 范围
2. 定义
3. 风险分析与评估 4. 业务冲击分析 5. 策略
6. 业务持续计划 7. 测试与演练 8. 计划管理
附件A及参考资料列表
2.6 新加坡SS507标准
SS507:业务持续/灾难恢复服务提供商之新加坡标准(SINGAPORE STANDARD FOR Business Continuity/Disaster Recovery Service Providers)是由新加坡标准及生产力创新局(SPRING Singapore)于2004年发布的针对业务持续/灾难恢复(BC/DR)服务商的标准。本标准是由安全及保密技术委员会按照信息技术标准委员会的规范而制定的。
当前,BC/DR服务商面临许多挑战,例如,需要使自己与众不同以保持竞争优势,以及需要维持并不断提高服务水平。而最终用户面临的问题是对不同类型的服务商缺乏了解,外包服务存在的风险大小,以及BC/DR服务商的能力如何。为此,本标准提供了一个认证和区分BC/DR服务商的基础,从而帮助最终用户选择最合适的服务商并得到质量保障。它还建立了行业最佳惯例来减小外包服务的风险。
本标准的目标对象是那些希望依据本标准获得认证的BC/DR服务商,以及那些利用本标准作为参考文件的BC/DR服务商和终端用户。
本标准的主要内容分为八个部分: 0. BC/DR开发框架介绍 1. 范围和通则 2. 定义 3. 一般性要求 4. 灾难恢复设施的认证 5. 服务商能力的认证 6. 恢复站点选择指南 7. 建议的行业最佳惯例
2.7 日本的BCM相关标准和指南
自从911之后,欧美各国以及澳大利亚、新加坡等国家加快了业务持续管理的理论研究和实践活动,日本政府开始高度重视业务持续在本国的发展,投入了大量的人力物力制定了一系列的危机管理和业务持续的标准指南,其目的在于为企业经营者建立一个共识和准则,以便于企业参照执行,从而加强企业抵御灾难
的能力。从日本BCM标准指南的发展过程,可以看出日本政府对BCM发展的指导是BCM得到快速发展的重要因素之一。
1996年,日本金融情报系统中心(FISC)制定了《金融机构等应急响应计划纲要》,针对金融机构信息系统的安全问题,规定了紧急情况下的响应计划及其运用原则等;2006 年3 月,FISC再次修订了《金融机构等应急响应计划指南》。针对IT产业,日本早在1981 年就开始规定了有关“情报处理服务业情报系统安全对策实施事业所认定基准”的认证制度。目前,日本根据国际标准化组织(ISO)“关于信息安全国际标准规范”(ISO/IEC 17799)的要求,又建立了信息安全管理体系(ISMS)的认证制度,并在ISMS 中专门加入了“业务持续管理”的内容。
2002 年3 月,日本银行发布了《假定金融机构据点受灾的业务持续计划方案”》。
2002年4 月,日本情报处理发展协会(JIPDEC)发布了《情报安全管理体系(ISMS)适用性评价制度》,这也是日本第一个有关业务持续管理(BCM)的规定。
2003 年7 月,日本银行制定了指导性文件《关于完善金融机构的业务持续体制》,对金融机构的BCM建设提出了具体的要求。
2004 年10 月23 日,日本新澙县中越地区发生里氏6.8 级强烈地震,造成了重大的生命财产损失。灾后对受灾企业损失情况的调查表明,预先准备好了BCP的企业所受到的损失明显小于没有BCP的企业。这充分说明了BCM的重要性。因此,从2004 年起,日本从中央政府到企业对BCM的重视程度就发生了质变(这很类似于美国911事件后的情形)。日本对BCM的实际应用也进入了一个快速发展的新阶段。
2005 年7 月,日本政府对《防灾基本计划》进行了修订,明确写进了“制定BCP 是企业防灾工作的关键环节”。此后,一系列的关于BCM的标准指南相继出台。以下列举几个主要的标准指南加以简介。
2.7.1
《事业继续指导方针 第一版——为了提高我国企业的减灾和灾
害对应能力》
2005年8 月1 日,日本中央防灾会议下属的“运用民间和市场的力量提高防灾能力专门调查组”及“企业评价与业务持续工作组”针对自然灾害(特别是地震)对企业的影响,制定了《事业继续指导方针 第一版——为了提高我国企业的减灾和灾害对应能力》。
该指导方针的主要内容包括三部分:
第1 部分:业务持续的必要性与基本思想(灾害发生时致力于业务持续的