业务持续性管理.doc

BS 25999-1:2006 英国标准 业务持续性管理第二部分：规范ICS 03.100.01前言这份英国标准是由英国标准化协会（BSI）发布并生效。它是在BCM/1技术委员会监督下由BCM/1/-/2小组提交的业务持续性管理文档。可以通过秘书获得委员会中提到的组织名单。这份英国标准由业务持续性领域广大业内专家所开发，凝聚了他们在业务持续性管理（BCM）方面的理论、技术和实践经验。这份标准已经被用于定义业务持续性管理的体系方法方面的要求，而这些方法源自遍布工业、商业、公共事业和非官方领域的大中小型组织的最佳实践。BS25999由两部分组成：-第一部分：业务持续性管理实践准则-第二部分：业务持续性管理规范这份标准中定义的需求已经作为原则和惯例包含在BS25999-1中。这份英国标准提供了满足内部和外部组织使用的详细说明，包括帮助组织提升能力以达到监管要求的认证部分内容、客户和组织自身的要求。英国标准仅仅包含了那些能被客观审计的要求。那些需要在更广泛业务持续性管理问题上得到指导的组织可以参考BS25999-1。这份英国标准中提到的成功案例可以用于组织保障他们重要部门的业务持续性管理体系就位。与现代管理体系标准的共同之处在于，这份标准也使用规划-执行-控制-改进（PDCA）模型来开发、实现和改进组织业务持续性管理体系的有效性。这份出版物不易为这包含所有必要的合同事项，用户有责任自行正确应用。遵从英国标准并不表示组织可以免除自身法律义务。页码摘要：这份文档由封面、内部封面、i到v页、1到19页和底页组成。简介总则这份英国标准详细说明了通过建立和管理有效的业务持续性管理体系来定义业务持续性管理程序的要求。它强调了以下内容的重要性：a） 理解业务持续性的需求和建立业务持续性政策和目标的必要性；b） 组织整体业务持续性风险管理的实施和操作控制；c） 监控和评审BCMS的绩效和有效性；d） 基于目标持续改进的方法。管理体系包括：a） 职责明确的人员；b） 有关管理过程：1) 政策；2) 规划；3) 实施和操作；4) 绩效评估；5) 改进；6) 管理评审；c） 一组提供审计依据的文档；d） 与业务持续性主题有关的专门议题的过程，如BIA，业务持续性预案开发等。规划-执行-控制-改进（PDCA）模型本标准采用“Plan-Do-Check-Act”（PDCA）方法来建立、实施、操作、监视、演练、维护和改进组织BCMS的效用。在一定程度上，这确保了与其它管理体系标准的一致性，如BS EN ISO9001-2000（质量管理体系）、BS EN ISO 14001-1996（环境管理体系）、BSI/IEC 27001:2005（信息安全管理体系）、BS ISO/IEC 20000-2:2005（IT服务管理），以及支持与有关管理体系相一致的综合实施与操作（见附录A）。图一说明了BCMS如何获取业务持续性需求和重要部门的期望，并通过必要的措施和过程来得到业务持续性成果（如可管理的业务持续性），从而满足那些需求和期望。图一（略）规划（Plan）建立业务持续性政策、目标、对象，与风险管理和改进业务持续性有关的过程和手段来达到与组织整体政策和目标相一致的结果。执行（Do）实施与操作业务持续性的政策、控制、过程和手段。控制（Check）评估并且在任何应用的地方都要度量阻碍业务持续性政策，目标和实际运行的过程绩效，并将结果上报管理评审。改进（Act）基于管理评审的结果，采取纠正和预防措施来取得BCMS的持续改进。BS25999-1推荐了与PDCA模型每个活动相结合的一个广泛接受的方法，并在图二中做了描述。这个迭代过程保障了业务持续性在组织中得以建立并被持续管理。PDCA过程保障了BCMS持续管理能够与图二所示BCM程序管理保持同步。图二（略）目 录1 范围62 引用标准73 术语和定义84 规划业务持续性管理体系134.1 通则134.2 建立和管理BCMS134.2.1 需求134.2.2 供应商和外包活动134.2.3 BCM政策134.2.4 资源提供134.2.5 培训，意识和能力144.3 将BCM植入组织文化144.3.1 管理与培训144.4 BCM文档和记录154.4.1 BCMS文档154.4.2 BCMS记录155 实施和运作BCMS175.1 理解组织175.1.1 业务影响分析175.2 风险评估175.2.1 风险评估过程175.2.2 确定选择185.3 确定业务持续性策略185.4 开发和实施BCM响应185.4.1 突发事件响应结构185.4.2 预案195.5 演练和维护BCM安排205.5.1 总则205.5.2 BCM演练205.5.3 维护BCM安排216 监控和评审BCMS226.1 BCMS评审226.2 BCMS管理评审226.2.1 总则226.2.2 评审输入226.2.3 评审输出237 维护和改进BCMS247.1.1 持续改进247.1.2 纠正措施247.1.3 预防措施24附录A（更多信息）25参考书目281 范围这份英国标准定义了建立、实施、操作、监视、评审、演练、维护和改进组织整体业务风险管理内容的BCMS文档的要求。这份英国标准定义的需求是通用的，可用于所有组织（或则他们中的一部分）而不管它们的类型、规模和业务门类。这些需求适用的宽度依赖于组织运行环境和复杂性。因此，设计实现满足这些标准需求的BCMS会受到监管者、客户和业务需求、产品和服务、雇佣过程、组织规模和结构的影响。这份英国标准并非想要暗示整齐划一的BCMS结构，而是想要组织规划一个BCMS来满足他自身需求和利益相关人的需求。这份英国标准可用于内外部团体，包括认证团体，来评估组织满足自身业务持续性需求的能力，以及任何客户，法律和监管方面的需要。2 引用标准对于这份文档，下面这些参考文档是必不可少的。那么对于标明日期的参考文档，表示仅引用了对应时期的版本。对于未标明日期的参考文档，表示引用了最新的版本。BS 25999-1:2006，业务持续性管理-第一部分：实践准则BS EN ISO 9001:2000，质量管理体系-需求说明BS ISO/IEC 17799:2005，信息技术-安全技术-信息安全管理实践准则ISO指南73:2002，风险管理-术语-标准使用指南BS ISO/IEC 20000-1:2005，信息技术-服务管理-第一部分：需求说明BS ISO/IEC 20000-2:2005，信息技术-服务管理-第二部分：实践准则BS ISO/IEC 27001:2005，信息技术-安全技术-信息安全管理体系-需求说明3 术语和定义BS25999的这部分内容用于描述如下定义。3.1 活动（activity）组织（或其代表）采取的过程步骤或它们的集合用来生产或支持一个或更多的产品或服务。3.2 业务持续性（business continuity）组织计划和应对突发事件及业务中断的战略、战术能力，用于在可接受的预定义水平上保持业务持续运营。3.3 业务持续性管理（business continuity management, BCM）识别组织面临的潜在威胁和这些威胁对业务运营影响的整体管理过程。如果能够实现BCM，它就可以为组织弹性运营提供一个框架，从而具备有效响应和维护关键利益相关人的利益、声誉、品牌和价值创造活动的能力。3.4 业务持续性管理生命周期（BCM lifecycle）全面覆盖业务持续性管理程序的所有方面和阶段的一系列业务持续性活动。说明：图二说明了业务持续性管理生命周期。3.5 业务持续性管理程序（BCM programme）由最高管理层和适当资源支持的常态管理和治理过程，保证采取必要步骤来识别潜在损失的影响，维护可行的恢复策略和预案，并通过培训、演练、维护和评审来保证产品和服务的连续性。3.6 业务持续性预案（business continuity plan, BCP）程序和有关信息的文件集合，被开发，汇编和维护用于在突发事件中保障组织能够在可接受的预定义的水平上持续交付其关键活动。3.7 业务持续性策略（business continuity strategy）组织采用的方法，用于面对灾难或其它重大突发事件或业务中断时保障业务恢复和连续性。3.8 业务影响分析（business impact analysis）分析业务功能的过程，以及业务中断可能造成的影响。3.9 国内紧急事件（civil emergency）严重威胁和损害英国境内社会安全，英国境内环境，整个英国或境内国家安全的事件或情况。【国内紧急状态法 2004（1）】3.10 后果（consequence）影响组织目标的突发事件带来的结果。3.11 成本-效益分析（cost-benefit analysis）用于测算实施一个特定解决方案和比较该方案获益的财务方法。说明：获益可以用财务、声誉、服务交付、监管或其他对组织适当的术语来定义。3.12 关键活动（critical activities）为了交付关键产品和服务来保障组织满足它的最重要和时间敏感目标的那些必须履行的活动。3.13 中断（disruption）一种事件，无论预期的（例如罢工或飓风）或无法预料的（例如灯火管制或地震），都会造成计划外的和背离组织目标期望的产品或服务交付的消极影响。3.14 应急规划（emergency planning）开发与维护达成一致的程序来预防、减少、控制、减轻和其他措施应对国民突发事件的影响。3.15 演练（exercise）对业务持续性预案中的部分或全部活动进行排练来保证该预案包含了适当的信息和投入使用时带来想要的结果。3.16 收获（gain）积极的后果。3.17 影响（impact）对特定结果的评估结论。3.18 突发事件（incident）可能导致业务中断，造成损失、紧急情况或危机的情形。3.19 突发事件管理预案（incident management plan）清晰定义并文档化的用于突发事件发生时的行动计划，典型的突发事件管理预案覆盖了关键人员、资源、服务和实施管理过程所需要的措施。3.20 宣告（invocation）组织为了持续交付关键产品或服务而宣布业务持续性预案生效的活动。3.21 可能性（likelihood）某事发生的可能性，无论是否定义，测量或经主客观的评估，或用于一般性描述（例如稀少的，不可能，可能，基本可靠），频度或数学概率。3.22 损失（loss）消极的后果。3.23 最大容忍中断时间（maximum tolerable period of disruption）在组织的生存能力受到威胁后，如果产品和服务交付不能重续，组织能够生存的时间。3.24 组织（organization）对责任、权限和关系做了安排的人员和设施的团体。例子：公司，社团，商户，企业，机构，慈善团体，个体户或协会，或他们中的一部分或组合。3.25 产品和服务（products and services）组织提供给客户、接受人和利益相关人的有益成果，例如生产项目，汽车保险，制度遵从和社区护理。3.26 恢复时间目标（recovery time objective）突发事件后，产品、服务或交付活动重续的目标时间集合。3.27 弹性（resilience）组织抵抗突发事件影响的能力。3.28 风险（risk）可能发生并影响目标达成的事情。3.29 风险偏好（risk appetite）在任何时间点上，组织准备接受、容忍或暴露的全体风险数量。3.30 风险评估（risk assessment）风险识别，分析和评估的全部过程。3.31 风险管理（risk management）在识别，分析，评估和控制风险任务中，采用的结构化开发和管理文化、政策、手段和实践的应用。3.32 利益相关人（stakeholders）在组织成果中拥有既定利益的人。说明：这是一个宽泛的术语，包括但不限于，内部和“外包”雇员，客户，供应商，合作伙伴，雇员，经销商，投资者，保险公司，股东，所有人，政府和监管者。3.33 最高管理层（top management）在最高级别领导和控制组织的人或团体。【BS EN ISO 9000：2005】说明：最高管理层，尤其是在大型跨国组织，可能并不直接参与。然而，最高管理层的责任通过行政管理体系得到体现。在小型组织，最高管理层可以是所有人或经营者。4 规划业务持续性管理体系组织的BCM程序是在业务持续性管理体系（BCMS）中定义的。4.1 通则组织应当依照4.2到4.4节的要求来开发，实施，维护和持续改进文档化的BCMS。4.2 建立和管理BCMS4.2.1 需求组织应当建立：l 业务持续性的需求，要考虑组织目标、义务和法律责任；l 业务持续性目标和计划；l 业务持续性范围，并要依据其产品和服务方面的要求。4.2.2 供应商和外包活动组织应当确保自身的供应商和外包合作伙伴拥有有效而适当的BCM安排。4.2.3 BCM政策4.2.3.1 最高管理层应当承担建立和推进业务持续性管理政策的义务。4.2.3.2 政策应当包括或参考：l 组织内业务持续性目标；l 业务持续性范围，包括限制和排除的情况。4.2.3.3 政策应当经最高管理层批准，并与所有为组织工作或代表组织的人进行沟通，使策略能够被有关利益相关人都加以采用。4.2.3.4 BCM政策应当定期或在重大变化发生时进行评审。4.2.4 资源提供4.2.4.1 组织应当确定并提供建立，实施，运作和维护BCMS所需的资源。4.2.4.2 BCM角色，责任，能力和权限应当清晰定义。4.2.4.3 最高管理层应当：l 任命或推荐拥有适当资历和权限的人来负责BCM政策及其实施；l 任命一个或多个人，不承担其他职责而专门来负责实施和维护BCMS；l 确定和证明与业务持续性有关的可接受的风险水平；l 领导BCM的管理评审；l 与利益相关人沟通有关程序；l 与组织沟通有关重要性：n 满足业务持续性管理目标；n 遵从业务持续性政策；n 持续改进。4.2.5 培训，意识和能力4.2.5.1 组织应当确保所有BCMS中被分配了职责的人员都有能力履行必需的任务：l 确定人员履行BCMS工作所必需的能力；l 管理被分配了BCM角色和职责的人员的培训需求分析；l 提供培训；l 评估所提供的培训和采取措施的效果，并且l 维护教育、培训、技能、经验和资格相关记录。4.3 将BCM植入组织文化4.3.1 管理与培训4.3.1.1 组织应当保证BCM成为它的核心价值和有效管理的一部分。4.3.1.2 组织应当：l 保证所有有关人员意识到他们的业务持续性活动的关联性和重要性，以及该如何做才能达到BCMS目标。l 通过经常的BCM教育和信息程序使全体人员提升，增强和维护这种意识，并且应有一个过程来评估BCM意识培训的效果；l 拥有一个过程来识别和交付BCM人员的培训需求和非BCM人员承担他们在突发事件响应和业务恢复中所需要的技能。遍布组织的响应技能和能力应当通过实际培训来获取，包括积极参与演练，并且应有一个过程来评估BCM培训的效果。4.4 BCM文档和记录4.4.1 BCMS文档4.4.1.1 BCMS所需文档应当被保护和受控。应当建立文档化程序来定义所需的管理措施，保证所有文档已获批准和文档的机密性，完整性，可用性和通用性。4.4.1.2 组织最低限度应当有如下BCMS文档：l 业务持续性政策；l BCMS范围，支持BCMS的程序和控制；l BCMS术语参考；l 业务影响分析报告；l 风险评估报告；l BCM战略的详细资料；l 确保有效规划、运营和控制组织业务持续性过程的程序；l 业务持续性和突发事件管理预案；l 保持与任何有关机构的密切接触和动员细节；l 变更控制程序；l 风险和问题登记；l 测试进度和结果、测试活动登记；l 突发事件日志；l 培训程序；l 响应结构；l 任何其它支持实施这一标准的文档。4.4.2 BCMS记录4.4.2.1 应当建立、维护和控制记录来提供有效运营BCMS的依据。识别、存储、保护、修复、持续时间和记录部署所需的控制应当被文档化。需要一个管理过程来决定记录的需求和范围。4.4.2.2 所有的业务中断和与BCMS有关的突发事件都应当被记录下来。5 实施和运作BCMS5.1 理解组织5.1.1 业务影响分析5.1.1.1 应当定义一个过程来决定那些支持组织关键产品和服务的活动中断的影响，该过程、发现和结论应当被文档化。5.1.1.2 组织应当：l 识别支持关键产品和服务的活动；l 识别有关这些活动的影响；l 评估到底有多少时间和活动将被影响；l 对每个活动建立最大中断容忍周期，通过：n 识别中断发生后每个活动重续时所需要最大时间周期；n 识别每个活动重续的最低级别；n 识别标准操作级别重续所需的时间长度。l 识别与这些活动有关的所有依赖，包括供应商和外包合作伙伴；l 根据恢复优先级来对活动进行分类并识别关键活动；l 估计每个关键活动用于重续的资源，并要考虑利益相关人的需求，并且l 在他们的最大中断容忍周期内，对关键活动重续设定恢复时间目标；l 能够定期和在组织或其活动发生重大变化时，充分保证或评审业务影响分析。5.2 风险评估5.2.1 风险评估过程5.2.1.1 应定义一个风险评估过程并文档化来保证组织理解关键活动和支持资源面临的威胁和脆弱性。组织应当理解如果一个已经识别的威胁变成突发事件并造成业务中断，那么它所受到的影响将会上升。5.2.1.2 组织应当重视其关键活动和支持资源：l 识别威胁；l 识别脆弱性；l 使威胁和脆弱性有关的影响文档化并确定风险；l 建立并维护风险登记；l 识别减小损失和适应风险承受级别的风险处理手段并文档化；并且l 定期和在组织或其活动发生重大变化时充分评审风险评估结果。5.2.2 确定选择5.2.2.1 对每个关键活动，组织应当确定可能的减少损失和风险处理：l 减小中断的可能性；l 缩短中断周期，并且l 限制中断对组织关键产品和服务的影响。5.2.2.2 组织应当对每个关键活动选择适当的风险处理手段。5.3 确定业务持续性策略5.3.1 为了控制风险而保持业务连续，组织应当定义如何恢复关键活动，同时也要考虑那些非关键的活动。5.3.2 组织应当：l 有针对性的定义，预定义和文档化突发事件响应结构来确保能够在中断时有效响应和恢复；l 确定如何在恢复时间目标内恢复每个关键活动，以及重续所需资源；并且l 确定如何管理组织与在恢复中涉及的利益相关人和外部团体的关系。5.4 开发和实施BCM响应5.4.1 突发事件响应结构5.4.1.1 组织应当指定突发事件响应人员，他应有必要的资历，权限和能力来控制形势并与利益相关人沟通。5.4.1.2 突发事件响应人员应当：l 有能力确认突发事件发生的种类和范围并管理事件；l 有责任启动适当的业务持续性响应；l 有预案、过程和程序来管理突发事件；l 有预案激活，运营，协调和沟通突发事件响应；l 有可用的资源用于支持预案、过程和程序来管理突发事件。5.4.2 预案5.4.2.1 组织应当文档化有关预案并详细说明如何管理突发事件，以及在突发中断时如何恢复或维护其活动以期达到预先决定的级别。5.4.2.2 预案应当：l 被预案中承担责任的人员易于获得；l 被最高管理层同意并被执行这一预案的人员理解；l 归口给有责任评审，更新和批准预案的人员；l 处于版本控制之下并有变更通知和分发记录；l 要与组织外其它意外事件处理安排对齐。5.4.2.3 预案应当包含：l 对交流方法，角色与职责，关键任务和参考信息的说明；l 目的和范围的定义；l 角色定义和突发事件发生期间与之后得到授权的人员跟团队的职责定义；l 关于谁有权在何种环境下启动哪个预案的指南和标准；l 预案启动方法，备用会议场所，与相关机构的密切联系和动员细节，组织和支持响应的所需资源；l 一旦突发事件结束后的响应完成的过程；l 与所有关键利益相关人的基本联系细节的参考；l 管理突发事件的细节，包括：n 业务中断的直接后果；n 在突发事件发生期间的供应保障；和n 确保连续性和关键活动恢复的过程和程序。l 处理业务中断直接后果应当关注的细节，有：n 人员安全；n 战略和战术；和n 防范损失扩大或关键活动失效；l 组织在何种环境下如何与雇员甚至他们的亲属、关键利益相关人和紧急联系人进行沟通的细节；l 突发事件发生后，组织的媒体响应，包括：n 对突发事件的沟通策略；n 与媒体的首选接口；n 用于起草向媒体声明的指南或模板；和n 适当的发言人；l 有关于突发事件、所采取措施和决策的重大信息的记录方法；l 采取的措施和任务的细节；l 保证业务连续和业务恢复时间点的所需资源细节；l 从恢复的关键活动以及它们恢复的时间尺度和恢复级别的角度所进行的优先级划分；和l 任命专人来管理中断阶段的业务连续和业务恢复。5.5 演练和维护BCM安排5.5.1 总则5.5.1.1 组织应当确保其BCM安排是经过演练和评审验证的并且保持及时更新。5.5.2 BCM演练5.5.2.1 组织应当评估自身BCM持续改进的水平和能力。5.5.2.2 组织应当：l 开发包含业务持续性预案所涉及范围的演练；l 拥有程序来确保演练按照高层决定的周期和当组织发生重大变化时能够执行；l 执行各种不同的演练来验证业务持续性安排；l 设计演练，可以：n 使中断风险最小化；和n 使作为演练直接结果的突发事件发生后的风险最小化；l 定义每次演练的目的和目标；l 演练，成果和反馈要形成书面报告，还要包括建议和实施的时间表；和l 对每次演练要展开事后评审来评估演练目的和目标的完成情况。5.5.3 维护BCM安排5.5.3.1 组织应当确保其BCM水平和能力能够保持有效实施，满足要求并及时更新。6 监控和评审BCMS6.1 BCMS评审6.1.1 组织应当保证定期和在发生重大变更时评审业务持续性能力和适用性，以使BCMS能够不断适应新情况，充分和有效。6.1.2 组织应当通过自我评估或者审计方式来例行评审BCMS。6.2 BCMS管理评审6.2.1 总则6.2.1.1 管理层应当定期评审组织的BCMS来确保其不断适应新情况，充分和有效。这个评审应当包括评估改进时机和BCMS的变更需求，还有业务持续性管理政策和目标。评审结果应当形成文档，有关记录应当得到维护。6.2.2 评审输入6.2.2.1 管理评审的输入应当包括如下信息：l BCMS审计和评审的结果，包括关键供应商和外包合作伙伴；l 来自有关各方的反馈；l 能够用于组织改进BCMS性能和效果的技术，产品或手段；l 预防状况和纠正措施；l 残余风险和可接受风险的级别；l 在以前的风险评估中没有充分识别的脆弱性和威胁；l 先前管理评审后的跟进措施；l 能够影响BCMS的变更；l 改进建议；l 演练结果；l 显现的好的实践和指导；l 紧跟突发事件的观察/建议；l 突发事件响应、几乎出现的事故和演练中得到的教训；和l 教育和意识培训的结果。6.2.3 评审输出6.2.3.1 管理评审输出应当包括有关如下事项的决策和措施：l 改进BCMS的效果；l 修改影响业务连续的程序来对能够影响BCMS的内外部事件做出回应，包括以下情况的变更：n 业务需求；n 弹性需求；n 业务过程对现有业务需求的影响；n 监管或法律环境；和n 风险级别和/或风险接受级别。l 资源需求；l 资金和预算需求。7 维护和改进BCMS7.1.1 持续改进7.1.1.1 组织应当通过使用业务持续性政策、业务持续性目标、审计结果、监控事件分析、纠正与预防措施和它们的时间表以及管理评审来持续改进BCMS。7.1.2 纠正措施7.1.2.1 组织应当采取措施消除与实施和运作BCMS相关联的不合格的原因以防止不合格的再次发生。纠正措施的文档化程序应当定义的需求有：l 识别不合格；l 判断不合格的原因；l 评估保证不合格不再发生所需的措施；l 决定和实施所需的纠正措施；l 记录所采取措施的结果；和l 评审纠正措施。7.1.3 预防措施7.1.3.1 组织应当确定措施来警惕进一步不合格，防止不合格的发生。预防措施应与潜在问题的影响程度相一致。预防措施的文档化程序应定义如下需求：l 识别潜在的不合格及其原因；l 确定并实施所需的措施；l 记录所采取措施的结果；l 评审所采取的措施；l 识别变更风险并保证注意力聚焦在重大变更风险上；l 保证那些需要知道不合格和确保预防措施就位的人都被通知到；l 预防措施优先级基于风险评估和BIA的结果。附录A（更多信息）与BS EN ISO 9001：2000，BS EN ISO 14001：1996，BS ISO/IEC 27001：2005对应的内容。表A.1 显示了BS EN ISO 9001：2000，BS EN ISO 14001：1996，BS7799-2：2002和BS 25999-2之间的对应关系。BS 25999-2BS ISO/IEC 27001：2005BS EN ISO 9001：2000BS EN ISO