业务连续性管理—第二篇-GB/T 30145-2013/ISO 22301:2012
- GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求
- GB/T 31595-2015/ISO 22313:2012 公共安全 业务连续性管理体系 指南
申请的基本条件
1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2) 申请方的业务连续性管理体系已按GB/T30146/ISO22301标准的要求建立,并实施运行3个月以上。
3) 至少完成一次内部审核,并进行了管理评审。
4) 业务连续性管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
实际认证的所有要求都来源于GB/T30146/ISO22301标准的第8节。
业务连续性管理体系(BusinessContinuityManagementSystems,BCMS)是组织整体管理体系的一个部分,用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
GB/T30146/ISO22301是建立和维护业务连续性管理体系的标准,为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求,用以实施保护,减少中断事件发生的可能性,以及当中断事件发生时准备、响应并恢复。
BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
BCMS是多个过程的集合,它将组织管理体系中的各个环节联系并统一起来,为识别的风险制定适宜的风险策略和风险计划,并且为组织制定一套有效的业务连续性计划演练和测量方案。BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
“业务影响分析”(简称BIA)是BCMS的核心过程之一,它通过评估组织的产品或服务活动发生中断时所产生的影响程度,来确定产品或服务的优先级、恢复顺序和指标。BIA包括业务范围界定和数据采集分析、业务重要性分析、资源分析、确定优先级和恢复顺序等几个步骤。
以IT服务企业为例,BIA首先要确定BCMS的覆盖范围,包括SLAs、多场所,并通过人员访谈、讨论和问卷调查等方法收集组织内部及相关方中曾经发生和有可能发生的影响IT服务“业务连续性“的因素和过程,包括软硬件配置、人员能力、法律法规、客户需求、电力和消防等支持系统。然后使用定性分析和定量分析相结合的方法,依据收集来的因素和过程对IT服务功能和中断的影响程度进行分析,初步确定各项服务的重要程度,如关键服务、重要服务、可暂缓服务等。再然后分析正常运行IT服务和中断后恢复所必须的资源,和资源间的相互关系。最后确定服务的优先级和恢复顺序,以及服务恢复指标,通常使用“恢复时间目标”(RTO)和“恢复点目标”(RPO)做为恢复指标。
1.业务连续性 business continuity
- 理解组织的需求以及制定业务连续性管理方针和目标的必要性
- 实施和运行控制措施来管理组织应对中断事件的整体能力
- 监视和评审业务连续性管理体系的绩效和有效性
- 基于客观测量的持续改进
- 方针
- 职责明确的人员
- 与以下几点相关的管理过程:
- 方针
- 策划
- 实施和运行
- 绩效评估
- 管理评审
- 改进
- 提供含有审核证据的文件
- 任何和组织有关的业务连续性管理过程
3.BCMS的范围
- 确定组织中被包含在BCMS范围内的部分
- 在考虑组织的任务、目标、内部和外部职责以及法律和法规方面的责任下,建立BCMS的要求
- 识别BCMS范围内的产品、服务和所有相关活动
- 考虑相关方的需求和利益,例如客户、投资者、股东、供应链、公共和/或社区的投入和需求、期望和利益
- 按照组织规模、性质和复杂性确定合适的BCMS范围
- 确保BCMS制定的方针和目标与组织的战略方向一致
- 纳入业务过程
- 所需的资源
- 管理的有效性和符合BCMS要求的重要性进行传递
- 确保体系达到预期结果
- 指定和支持员工为BCMS的有效性做贡献
- 推动持续改进
- 支持其他相关管理角色在其职责领域内展示其领导作用和承诺。
- 建立评估的环境、确定标准和中断事件的潜在影响
- 考虑组织遵从的法律要求和其他要求
- 包括系统的分析、风险处置优先级以及相关的成本
- 明确业务影响分析和风险评估所要求的输出
- 提出输出信息更新和波阿妈的要求。
- 识别支持产品和服务额交付的活动
- 评估这些活动中断后随时间推移的影响
- 在最低可接受水平上制定业务恢复优先级时间表,要考虑在某时间内,没有恢复这些业务所造成的影响是不可接受的。
- 识别这些活动间的依赖关系及支持资源,包括供应商、外包方和其他相关方
- 识别、分析和评价中断事件给组织带来的风险。
建立资源要求
保护和缓解
- 建立适当的内部和外部沟通协议
- 针对业务中断期间需要采取的紧急步骤进行详细规定
- 灵活地应对非预期的威胁和不断变化的内部和外部环境
- 关注可能导致潜在运行中断的事态影响
- 在已提出的假设和在相互依赖的关系分析的基础上进行开发
- 通过实施适当的减缓策略有效地将后果最小化
- 确定在事件发生时和发生后相关人员和团队的角色和职责
- 一个启动响应的过程
- 处理中断时间所造成额直接后果的详细说明。
- 如何以及在何种情况下组织与员工及其亲属、关键相关方、以及紧急联络人进行沟通
- 组织奖如何在预定的时间里继续和恢复其优先活动。
- 事件发生后,组织的媒体响应的详细说明
- 事件一旦结束后的退出过程。
- 了解组织的关键产品和服务以及交付这些产品和服务的活动
- 为恢复活动确定优先级和时间
- 识别未来业务连续性和恢复有可能需要的关键资产
- 识别相互依赖关系
- 访谈
- 调查问卷
- 研讨会
- 其他内外部来源
- 什么可能发生以及为什么会发生(风险识别)
- 可产生什么结果?
- 他们发生的可能性是什么?
- 是否有办法可能减缓结果或降低其可能性?
- 具体的:业务中断发生时,采取的具体步骤
- 灵活的:可应对哪些未曾预料到的威胁场景和多变的内外条件
- 专注的:明确地与哪些可能会造成运行中断的事件所带来的影响有关,并且应基于事先声明的前提假设和互依赖性分析来开发这些程序。
- 有效的:实施适当的缓解策略,最大限度减轻事件造成的后果。
- 角色和职责
- 启动和停止
- 事件的管理
- 人员联系信息
- 沟通
- 事件管理/战略管理程序:事件管理的目的是确保组织在战略层面对中断事件的响应是有效的
- 沟通程序
- 安全和权益程序:对事件对生命、生活或权益造成直接危害时,组织对保护员工、承包方、访客和客户的权益负有直接责任,对老幼病残孕需要给予特别关注。
- 挽救和安保程序
- 恢复业务活动的程序
- 信息通信技术系统的恢复
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">