业务连续性管理体系评价指标体系研究.docx

公共安全业务连续性管理增刊业务连续性管理体系评价指标体系研究秦挺鑫董晓媛王金玉(中国标准化研究院)业务连续性是指在中断事件发生后，组织在预 美国、新加坡、日本、澳大利亚等国为代表的发达国 先确定的可接受的水平上连续交付产品或提供服务 家在国家层面的法律法规、行业层面的规范以及企 的能力。业务连续性管理则是识别对组织的潜在威业层面的实施都对业务连续性管理提出了要求，成 胁以及这些威胁旦发生可能对业务运行带来的影 为业务连续性管理的主要推动力。 响的一整套管理过程，该过程为组织建立有效应对2003年英国标准协会发布pas56：2003业务 威胁的自我恢复能力提供了框架，以保护关键相关 连续性管理指南，并于2006年底升级为英国标准 方的利益、声誉、品牌和创造价值的活动。当今社会bs259991第一部分：bcm实践指南一指引文件。 突发事件频发，业务连续性管理在全球范围内被越2007年11月正式发布了bs259992第二部分：bcm 来越多的组织付诸于实践，随着全球对业务连续性 规范，对标准第一部分所要求的认证过程做出规 管理关注和重视程度的日益加深，业务连续性管理范。bs25999在100多个国家得到实践，并在43个国 将成为一种必然的管理趋势，业务连续性能力也将家获得认可，随着iso 22301公共安全业务连续性 成为组织的核心竞争力之。管理体系要求的发布，bs 25999于201 2年9月正式被iso 22301取代。1业务连续性管理现状新加坡于2008年发布了ss540：2008，并以政府 资助的形式推动企业建立业务连续性管理体系。日业务连续性管理作为组织应对突发事件，保障 本在2004年10月23日新渴发生68级强烈地震后进 其业务连续的有效方法，受到了国际标准化组织和 行的调查表明，预先准备好业务连续性计划的企业 发达国家的高度重视和大力推广我国也引入了业 所受到的损失明显小于没有业务连续性计划的企 务连续性管理理念并在部分行业率先推广o 业，日本从中央政府到企业对业务连续性管理的重 11国际国外业务连续性管理现状视程度发生了质变，出台了_一系列标准指南。111主要发达国家业务连续性管理现状112国际标准化组织业务连续性管理现状20世纪90年代至今，特别是美国“911”事件国际标准化组织iso对业务连续性也给予了充 之后，业务连续性管理受到了广泛的重视。以英国、分的重视，大力组织研究制定相关标准，通过标准35理论研究统一认识，从而可以更广泛地推动业务连续性管理 的业务连续性管理标准，促进业务连续性管理理念 的应用。在我国的推广实施。为保持我国制定的国家标准与 iso公共安全技术委员会isotc223于2006年国际标准接轨，遵循国际统一规则，选择等同采用开始着手组织制定业务连续性管理国际标准，2012iso 22301公共安全业务连续陛管理体系要求， 年5月15日正式发布了is0 2230l：2012公共安全 同时，根据iso 22313公共安全业务连续性管理体 业务连续性管理体系要求，并于同年12月发布了 系指南研制我国业务连续性管理体系指南标准。 iso 223l 3：2012公共安全业务连续性管理体系指南，在2014年1月召开的iso tc223年会上，针对2业务连续性管理体系评价必要性业务连续性又提出了审核和业务影响分析等国际标准提案并获得立项，一系列业务连续性管理有关方 国外主要发达国家在推行业务连续性管理的 面标准的集中制定和发布体现出了国际标准化组织过程中，随着业务连续性管理体系的广泛建立，越 对业务连续性管理的重视，随着要求、指南和审核 来越多的组织提出了对业务连续性管理体系和组织 等标准的陆续发布，业务连续性管理将形成一套从 的业务连续性能力进行评价，主要发达国家也逐步 要求到实施到审核的闭环结构，将有效推动业务连 开展了相应的研究，但均处于起步阶段。 续性管理相关标准在全球的广泛实施。通过业务连续性管理体系成熟度评价研究实 1 12我国业务连续性管理现状 现以下目标：我国业务连续性管理起步较晚，目前仍处于初级21客观评估业务连续性管理体系的效果 阶段，但随着经济的快速发展，政府和企业已经充分业务连续性管理体系建立后，除在组织内对 意识到了业务连续性管理的重要性，发展势头迅猛。业务连续性管理相关的方针、要求等进行传达和培2003年左右，以“非典”挑战为契机，我国政府 训，使组织相关方对其业务连续性管理体系有所了 提出了建立国家应急管理体系，并且在2007年颁布解，还应让各相关方对组织所建立的业务连续性管 了中华人民共和国突发事件应对法，初步形成了 理体系的效果有直观的了解，通过对业务连续性管 以“一案三制”，即各级应急预案，体制、机制和法理体系的效果进行评价，客观评估业务连续性管理 制为核心的应急管理体系，在经历了2008年初的南 体系的效果，进而评价组织的业务连续性能力。 方冰冻雨雪灾害、“512”汶川大地震、青海玉树地 22为基准分析提供依据 震等一系列灾难事件的考验，我国应急管理体系得业务连续性管理体系包含的要素非常多，如果 到不断的完善和进步。我国应对突发事件管理体系基于这些要素对不同组织以及某一组织不同时期的 在管理思想上与多年来国外政府和企业所倡导的业 业务连续性管理体系进行对比和分析是非常困难的， 务连续性管理的理念和方法有很多交汇之处。如何 并且某个要素的横向和纵向对比过于片面，不能反映 在风云变幻的自然和社会环境下，运用系统的方法， 出业务连续性管理体系的整体情况，通过业务连续 塑造新时期企业的业务连续性管理框架与流程，是 性管理体系评价为业务连续性管理体系的纵横向对 时代赋予中国政府和企业的重要课题。 比和分析提供依据，使对比和评价全面而客观。为了提高我国应对突发事件的能力，同时适应23明确业务连续性管理体系未来发展方向 国际发展趋势提升产业和企业的竞争力，sac，tc业务连续性管理体系的建立和运行参照了 35l全国公共安全基础标准化技术委员会研制了我国pdca模型，即业务连续性管理体系建立之后，通过公共安全业务连续性管理增刊演练和测试等发现问题不断改进，但这也是有一定 续性管理体系在某个具体指标方面的现状。 局限性的，更多地注重细节方面的完善。而通过业务 (1)评价体系一级指标选取 连续性管理体系评价确定组织的业务连续性管理体长期以来，各类管理体系的标准的架构和术语 系目前所处的位置，并通过与下一层次之间的差距分 定义由不同的标准化委员会制定，随着新管理体系 析明确组织业务连续性管理体系未来的发展方向。标准的不断制定，而各类管理体系标准的主要架构不同意，给组织建立统一整合的管理体系带来诸多 障碍。iso制定了指南83统一管理体系标准高层架 构和术语定义，它为所有管理体系标准提供了一种31评价指标体系的构建原则 高层的结构和共同的术语定义。解决现有很多标准 为了对我国各类型组织业务连续性管理体系之间有很多共同部分，但却无法充分连接在一起的 成熟度进行评价，需要涉及一套基于我国国情的业 问题。指南83包括10个章节，即范围、引用标准、术 务连续性管理体系成熟度评价体系，这套评价体系语和定义、组织环境、领导层、策划、支持、实施、绩的构建应遵循以下原则：效评估、改进。 (1)目的性。设计组织业务连续性管理体系成iso 2230l是第一个按照指南83制定的管理体熟度评价体系的目的在于衡量组织业务连续性能 系标准，未来其他管理体系标准结构也要符合指南 力，找出薄弱环节，提出改进手段和方法，并有效提 83中的10个章节。考虑到未来管理体系的融合与对 升组织的业务连续性能力。因此，选取的评价指标 比，业务连续性管理体系成熟度评价以该统一的体 应紧紧围绕该目的，力求所选指标能突出反应组织 系架构为基础，剔除其中的范围、引用标准、术语和 目前的业务连续性水平。定义三部分，选取体系建设与实施的七个核心部分，(2)可行性。评价体系所选取的测量指标应易这七个部分也包含了pdca全过程，涉及了业务连续 于获取，指标尽量易于量化处理。性管理体系的所有方面。(3)通用性。该指标体系应适应于各类型的组 (2)评价体系二级指标选取 织，具体行业可在此基础上进行细化。一级指标为总体评价框架，二级指标针对组织(4)可比性。评价指标体系应在时间和空间范在按照一级指标建立业务连续性管理体系时需要 围上具有可比性。且p从组织纵向发展历程可以对比其关注的重要方面。按照pdca模型，其中组织环境、 自身业务连续性管理体系成熟度的发展情况，同时行领导力和支持性要素属于策划部分，即准备阶段，其 业内的各组织可以应用该指标体系进行横向对比。中组织环境部分主要考察对组织环境和相关方的了(5)基于合规性。对业务连续性管理体系成熟解程度，所以二级指标选取了解组织和组织环境， 度进行评价的前提为组织已经根据gbt 30146的理解相关方需求和期望，领导力方面主要考察管理要求建立孔世务连续性管理体系。层做出的管理承诺和制定的方针，支持性要素主要3。2评价指标体系构建指资源和意识；实施是pdca模型中的实施阶段，该 评价体系采取三级指标体系的架构，一级指标部分主要考察业务连续性管理体系构建过程中所需决定了整个评价体系的顶层架构，一级指标较为宏 要关注的关键环节，包括业务影响分析、风险评估、 观，二级指标是对一级指标的展开，较为中观，三级 业务连续性策略、业务连续性计划、演练和测试； 指标则是对二级指标的具体细化，明确组织业务连 绩效评估为pdca中的检查阶段，主要包括内部审37理论研究核和管理评审；改进为pdca中的改进阶段，主要是与程度以及相关资源的充分性并通过对业务连续 针对不符合采取措施。性管理体系的了解程度考察组织相关人员的意识；(3)评价体系三级指标选取实施阶段主要考虑各关键环节开展的准确性和可操 针对上述确定的二级指标对实施过程进行细作性；检查阶段主要从内部审核和管理评审考察审 化，以对业务连续性管理体系构建过程进行评估，核的周期、范围以及管理层的参与程度；改进阶段针对准备阶段的组织环境、领导力和支持性要素主则主要考察改进措施的及时性和有效性。 要考虑对组织环境和相关方的了解程度，领导的参针对各环节构建的三级指标如下：一级指标二级指标三级指标与组织有关的国内外法律和监管情况了解程度 与组织产品有关的供应链及关联关系的了解程度 组织所在行业发展趋势的了解程度组织外部相关方定位准确性及对其了解程度了解组织和组织环境对组织产品、供应链、相关方的了解程度组织环境对组织方针和目标的了解程度对组织业务优先级的理解程度 对组织的理念、价值和文化的理解程度 对组织架构的理解程度理解相关方需求和期望 对组织所识别的相关方的需求和期望的了解程度参与业务连续性管理体系建设和运行的管理者的层级管理承诺参与了业务连续性管理体系哪些环节以及参与时长领导力业务连续性是否为组织管理会议的常规议题组织内对方针的传达和理解程度方针与其他方针的互补程度业务连续性管理体系运行所需的资金的充分程度 与业务连续性管理体系有关的人员的情况(人员是否充分、能力是否得当、教育培训是否有相应的规划等)资源组织信息通信系统的有效性和通畅性支持性要素与组织内外部相关方进行沟通的有效性和通畅性(是否有适宜的发言人和发言模 板、是否有畅通的沟通渠道等)业务连续性管理体系有关存档信息的情况(完整性、获取的便利性、可读性等) 业务连续性管理体系有关人员对业务连续性管理体系的了解程度意识组织其他人员对组织业务连续性安排的了解程度包含在业务连续性管理体系中的组织的产品和服务的情况(如仅目前组织的关键 产品包括在内、组织未来具有发展前景的产品包括在内等)业务影响分析(bia)业务影响分析所用信息的准确性实施业务影响分析动态更新情况rt0的准确性恢复时间目标(rt0)在rto内关键活动的完成情况38公共安全业务连续性管理增刊策略的成本效益分析策略的实施落地程度业务连续性策略针对策略所需的资源的准备程度及获取的便利性对供应商的业务连续性的要求和审核的开展程度相关人员是否了解自己的角色、职责和权利业务连续性计划是否能将书面程序很好地落实到相应行动中组织所确定的演练方式演练和测试演练参与者的参与程度 演练计划的专业程度 组织内部审核的周期内部审核是否制定了内部审核方案以及方案的可行性绩效评估每次审核覆盖的业务连续性管理体系的范围 最高管理者对业务连续性管理体系进行管理评审的周期管理评审最高管理者参与管理评审的程度改进改进是否对不符合及时采取了有效的纠正措施标体系对业务连续性管理体系成熟度等级进行划 分并设定评价标准。随着业务连续性管理理念在我国的深入推广以(3)逐步建立具有行业特色的行业业务连续 及业务连续性管理体系的广泛建立，业务连续性管理性管理体系成熟度评价体系 体系评价以及成熟度评价需求将越来越多，为了更有各行业在建立业务连续性管理体系时根据各 效地发挥业务连续性管理体系的作用建议在业务连行业的特点其业务连续性管理体系侧重点也有所不 续性管理体系评价及成熟度研究方面推进以下工作： 同，为了提高指标体系的适用性和可操作性，建议针(1)进一步校正和细化业务连续性管理体系对目前推行业务连续性管理较广的行业如金融行 评价指标体系。业、制造业等建立体系该行业特点的成熟度评价指在目前体系的基础上，进一步广泛征求有关专标体系。 家的意见，对评价指标体系进行校正。同时，对各指(4)制定业务连续性管理体系成熟度评价标 标层级进行细分，通过德尔菲法等方法对各指标分准配权重，以使成熟度可以