业务连续性管理标准BS25999详解

业务连续性管理标准BS25999详解前言：2月雪灾、5月地震，无法预警的灾难给灾区的众多企业造成了难以弥补的损失，而电力、通讯、交通等基础行业在灾难中造成的业务中断，不仅给企业本身带来严重的影响，客观上也在救灾行动的开展、各行业业务的恢复和群众生活的保障上产生了巨大的障碍。在应对灾难，认证认可行业的行动与思考一文中，我们提到了BS25999系列标准及认证将会帮助企业建立业务连续性管理（BCM）体系，在灾难来临时进行有效应对。本文将对BS25999标准及BCM体系进行更为详细的解释。 一、 BS25999的基本概念 业务连续性管理的概念很早就已经提出了，它是特指一种整体管理流程。该流程的目标在于及早确定可能发生的冲击对企业运作造成的威胁，并提供合理的架构有效阻止或抵消不确定事件造成的威胁，保证企业日常业务运行的平稳有序。业务连续性管理是比灾难恢复更高一层面的概念。 BSI公司在2007年正式发布了业务连续性管理的标准BS259999，目的就是使业务连续性管理有章可循。作为一套整体的管理标准和管理流程，BS25999标准协助企业进行业务冲击分析及风险分析，并将其量化，继而开发制定各种相应应急及恢复计划、方法和流程，减轻灾难事件对企业造成的不利影响。 BS25999这样描述业务连续性管理“业务连续管理是一个整体的管理过程，它能鉴别威胁组织潜在的影响，并且提供构建弹性机制的管理架构，以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。 二、BS25999的标准组成 BS25999标准由英国标准协会(BSI)制定，标准分为两大部分：BS25999-1为业务持续发展指南，帮助企业建立相应的准备机制。负责该标准制订的技术委员会由来自政府、企业界、学术界等各方面的专家组成，成员还包括一系列非盈利组织，如业务持续管理学会(BCI)、持续性论坛、紧急事件应对协会(EPS)、风险管理经理人协会(ALARM)、英国贸工部、内政应急事务办公室、金融服务机构、英国工商业联合会、公司董事学会、英国保险业联合会，以及小企业联合会等。 这一标准建立了业务持续管理的相应过程、原则和术语体系，提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期，过程的评价以及更新文件系统，业务持续管理的选项，以及实施业务持续管理的方法和战略。 该项标准包括以下部分： l 定义和术语 l 什么是业务持续管理 l 业务持续管理总览 l 业务持续管理体系 l 项目管理 l 对组织的认识 l 决定业务持续管理的模式 l 制定和执行业务持续管理的机制 l 业务持续管理的实施、维护、审核和评价 l 将业务持续管理植入企业文化 BS25999-2于2007年11月正式颁布，对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。 目前，第一部分和第二部分的标准正在越来越多地被业界应用。BSI的技术委员会还在致力于该系列的其他标准文件，帮助企业具体实施业务可持续性管理体系。未来工作的方向包括体系的验证和演练、IT系统灾难恢复、危机处理等相关标准。 三、BS25999的实施步骤 BS25999把业务连续管理框架分成六个部分，分别为BCM管理程序，理解组织，决定战略，开发并实施BCM响应，演练、维护和评审回顾，以及把BCM植入组织文化。参考这六个步骤，组织可以建立自己的BCM管理框架，在正常是做好准备，在灾害发生时能够从容应对，灾害后能尽快恢复。 BCM管理程序包括职责的分配，在组织中实施和持续管理。BCM方案管理包括职责的分配，在组织中实施和持续管理。 了解你的组织了解组织的产品和服务，识别关键活动，搞清楚其供应链上的依赖关系; 确定BCM战略-找出业务最大容忍的中断时间，这是非常关键的一步，最大中断时间要满足行业监管和利益相关方的要求，也意味着资源的投入，包括人员，场所，设备，技术，供应商，利害相关方，信息; 开发和实施BCM响应-根据企业的规模大小，可能有一个或多个连续性的计划。针对不同业务的特殊部分或者特殊的场所和情形，计划要详细而不冗长，可读可执行。包括事件的应急处理计划，连续性计划和灾难恢复计划等内容。 演练维护和评审-通过演练证明BCM的计划是有效的，并不断地维护保持更新。新的灾难场景和新的业务类型都会造成BCM的改变。演练的方法包括桌面到部分或全部模拟演练等各种形式，成本费用和产生的演练效果是不同的。 把BCM植入组织文化-BCM应对的就是小概率大灾难事件，只有通过不断的意识培训和演练来加强全体员工的应变能力。高层要明确职责分配，确保BCM成为企业核心价值和企业文化的一部分。 四、依据BS25999标准，实行BCM的注意事项 在实行BCM过程中，以下因素是组织重点应考虑的： 争取管理层的支持和参与。没有管理层的支持，业务连续性计划（BCP）的制定和实施都是十分困难的，很有可能会流产。 建立BCM文化。通过培训和意识教育，使BCM成为企业核心价值和有效管理的一部分。 BCP团队要有明确的组织结构，角色和责任应明确、清晰，要对相关人员进行培训。如果参与人员不能清楚知道自己该做什么，灾难发生时只能是一片混乱。 恢复策略的确定要综合考虑恢复成本与灾难损失，在其中取得一个适当的平衡点。超过损失的恢复是毫无意义的。 BCP包括的各种规程要步骤清楚、操作详细，确保实施人员拿到规程后，能立刻开始操作。不清楚的规程只会延误恢复的时间。 BCP要定期进行测试、演练，总结缺陷并进行更新，一般至少为一年一次。确保计划准确和不断改进也是非常重要的。测试计划要仔细斟酌，不要让演习变成一场事故。 五、中国的业务连续性管理相关计划大事记 2003年，国信办出台27号文件，提出了对信息安全的保护要求； 2004年，发布关于做好国家重要信息系统灾难备份的通知等重要文件。进一步将有关战略进行了细化，并明确了金融、电信、证券、保险、民航、铁路、税收、海关