BCM相关国际组织与国际法规简介V1.0

目录1. BCM相关国际组织 21.1 美国DRII 21.2 英国BCI 21.3 英国BSI 31.4 美国FEMA 31.5 美国NFPA 31.6 美国NEMA 41.7 日本的BCM相关组织 42. BCM相关国际标准 52.1 英国BS25999标准 52.1.1 BS25999-1：业务持续管理实用守则 52.1.2 BS25999-2：业务持续管理规范 72.2 美国NFPA1600标准 92.2.1 NFPA1600的发展历程 102.2.2 NFPA1600使公共机构和私营机构协调行动 102.2.3 NFPA1600已得到众多机构的认可 112.2.4 NFPA1600:2007的主要内容 112.3 加拿大CSAZ1600标准 122.4 澳大利亚HB221/HB292/HB293指南 122.4.1 HB221：2004业务持续管理手册 122.4.2 HB292：2006业务持续管理从业者指南 132.4.3 HB293：2006业务持续管理高管层指南 142.5 新加坡TR19标准 142.6 新加坡SS507标准 152.7 日本的BCM相关标准和指南 152.7.1 《事业继续指导方针第一版——为了提高我国企业的减灾和灾害对应能力》 162.7.2 《事业继续计划（BCP）制定指导方针——IT社会中的企业存续》 172.7.3 《中小企业BCP制定运用指导方针》 172.7.4 其他规范指南 182.8 ISO27000系列标准 182.8.1 ISO27001：2005 182.8.2 ISO27002：2007 192.8.3 ISO27006：2007 192.8.4 其他 192.9 美国SOX法案 192.9.1 SOX302条款“企业财务报告的责任” 202.9.2 SOX404条款“管理内部控制的评估” 202.9.3 SOX409条款“发行人实时信息披露” 20

BCM相关国际组织与国际标准简介BCM的发展离不开相关组织的推广，更离不开政府的支持。相关标准和法规的发布，就是政府支持的一种体现。BCM之所以在许多国家得到了广泛的应用和迅速的发展，毫无疑问就是由于这些国家政府的高度重视、相关组织的积极推动、以及相关标准的及时发布。例如美国、英国、澳大利亚，以及亚洲的新加坡、日本、马拉西亚，甚至非洲某些国家（如南非、肯尼亚等），都发布了相关的BCM标准或法规。这些BCM法规或标准对BCM的发展起到了非常重要的作用。然而，中国目前却尚无自己的相关BCM标准，这也是BCM在中国未能迅速发展的重要原因。“它山之石，可以攻玉”，为加快中国自己的BCM标准制定，加速BCM在中国的推广应用，在此选择一些国际上有代表性的BCM相关组织和标准进行介绍，以供参考和借鉴。BCM相关国际组织美国DRII国际灾难恢复协会（DisasterRecoveryInstituteInternational，DRII）是1988年在美国成立的BCM专业学术组织，其宗旨是：通过个人认证及建立公共知识体系来提高业务持续管理的专业化水平。DRII与BCI（业务持续协会）共同制定了著名的BCM国际最佳惯例（ProfessionalPracticesforBusinessContinuityProfessionals），该国际惯例已成为全世界大多数国家制定BCM标准和规范的基础。DRII还提供一系列的BCM培训课程（如BCLE2000等），以及对BCM专业人员的认证（认证的种类有ABCP，CBCV，CFCP，CBCP，MBCP等），目前全球通过认证的人员超过5000名。DRII与中国信息化推进联盟BCM专业委员会合作，于2007年11月在中国成立了灾难恢复中国协会（DRIChina），专门致力于在中国推广DRII的BCM专业培训和认证。英国BCI业务持续协会（TheBusinessContinuityInstitute，BCI）是1994年在英国成立的BCM专业学术组织，目前在全球拥有个人会员4000多名。BCI的使命是：“在全世界推广业务持续管理的艺术和科学”。BCI提出的《最佳实践指南》（BCI’sGoodPracticeGuidelines）已成为许多BCM专业人士进行BCM实践的行动指南。BCI还与DRII（国际灾难恢复协会）共同制定了著名的BCM国际最佳惯例（ProfessionalPracticesforBusinessContinuityProfessionals），该国际惯例已成为全世界大多数国家制定BCM标准和规范的基础。BCI还提供专业BCM人才的培养和认证，其认证共分四个级别（分别是AMBCI，SBCI，MBCI，及FBCI）。英国BSI英国标准协会（BritishStandardInstitute，BSI）是一个历史悠久的国际著名标准制定组织机构，早在1901年是作为工程标准委员会（EngineeringStandardsCommittee）成立的。1982年被英国政府批准为英国国家标准化组织机构，主要致力于标准制定和推广，在欧洲及全世界标准化组织机构中具有非常高的认可度。BSI制定的许多标准都成为了国际标准（如BS5750成为了ISO9000，BS7750成为了ISO14000等）。2006年底，BSI发布了BCM的标准BS25999-1：Codeofpracticeforbusinesscontinuitymanagement（业务持续管理实用守则），2007年又发布了BS25999-2：ASpecificationforBCM（业务持续管理规范）。美国FEMA美国联邦应急管理署（FederalEmergencyManagementAgency，FEMA）成立于1979年。2001年的911事件，暴露出了应急管理中的许多漏洞，为解决这些问题，布什政府于2003年3月1日成立了国土安全部（DepartmentofHomelandSecurity，DHS），并将FEMA归入DHS中。FEMA的主要使命就是通过领导和支持基于风险的全面应急管理体系（包括准备、预防、响应、恢复、及减小等）来减小生命和财产的损失，从而保护国家免遭各种灾难的威胁。这些灾难包括自然灾害、恐怖袭击、以及其他人为的灾难。美国NFPA成立于1896年的美国国家消防协会（NationalFireProtectionAssociation，NFPA）是一个国际化的非盈利机构，其总部位于美国麻萨诸塞州的昆西市。NFPA最初的成员主要局限于保险业的代表，很少有其他行业的人员参加。这种情况到1904年就改变了，NFPA允许其他行业的机构和个人参加制定和推广有关标准。今天，NFPA的成员包括了各行业的消防部门、保险公司、制造业协会和联盟、商业机构、甚至普通百姓。虽然NFPA（美国国家消防协会）的名称中还有“国家”和“消防”两个容易让人混淆的名词，但实际上NFPA早已成为既不局限于“美国”也不局限于“消防”的名副其实的国际组织，其超过60,000名成员来自世界各地，只有不到四分之一的成员与消防部门有关，而大多数成员是来自于各种不同领域的公共机构和私营机构的代表。NFPA的使命就是提供和推广协调一致的防火、救火、以及其他灾难救援和生命安全的法规和标准，并通过研究、培训和教育等努力，来减小全球范围内由于火灾及其他灾害对生命所造成的威胁。NFPA标准的制定，是通过由美国国家标准协会（ANSI）批准的统一标准制定流程来制定的。NFPA已发布了300多个用于减小火灾及其他风险的规范和标准。其中NFPA1600是目前在应急管理和业务持续管理领域应用非常广泛的标准。制定这些文件的核心人员是由超过6000名志愿者所组成，他们来自于消防服务、保险、商业、工业、政府等部门以及消费者。NFPA制定的标准，常常被州政府和地方政府立法者采纳为建筑、生命安全、及电气方面的标准。许多州、地方政府和联邦政府，将这些标准和规范完整地（或仅作少量修改后）吸收到他们自己的法律中去。即使没有写进法律，NFPA的标准和规范通常也被作为专业标准而接受，并被许多司法机构所认可。NFPA应急管理技术委员会（TechnicalCommitteeonEmergencyManagement）成立于1991年。从1995年起，共发布了4个版本的NFPA1600标准，最新的版本发布于2007年。911恐怖袭击之后，NFPA1600受到了高度的重视，并保持关注于应急预案，特别是私营企业的应急预案。美国NEMA美国国家应急管理协会（NationalEmergencyManagementAssociation，NEMA）于1974年成立，它是由来自美国50个州及哥伦比亚特区的应急管理负责人组建的专业组织。其主要目的就是为各级政府和私营机构的应急管理专业人员提供信息资源和技术支持，以使他们能够针对各种威胁国家安全的紧急情况和灾难做好有关减小、响应、恢复方面的准备，并提供相关的产品和服务。日本的BCM相关组织日本在BCM理论和实践方面与欧美国家相比虽然起步较晚，但由于日本是一个自然灾害多发的国家，使得日本国民和企业对于防范灾难的意识非常强烈，日本政府对BCM也给予了高度的重视。在日本政府的积极推广和指导下，成立了许多相关的组织机构，在制定BCM的标准和指南、以及促进BCM的实际应用等方面起到了重要的作用。日本的主要BCM相关组织机构有隶属于经济产业省的企业情报安全方法研究会，业务持续计划制定指导方针工作组，及BCP国际标准化委员会；还有隶属于内阁府中央防灾会议的关于运用民间和市场的力量提高防灾能力专门调查组及企业评价与业务持续工作组；以及中小企业厅下属的BCP有识之士会议等等。这些组织对帮助日本赶上英美等BCM发展较快的国家起到了积极的推动作用。为了促进民间团体的业务持续事业，2006年3月，日本又成立了由14个行业组织参加的“企业等事业继续防灾评价委员会”。该委员会的主要任务是，促进各行业团体开展业务持续事业，制定各行业的“业务持续指导方针”，研究业内信息交流的方法，研讨防灾报告等等。BCM相关国际标准英国BS25999标准BS25999是由BSI发布的关于BCM的英国标准。本标准是由所有相关组织机构的参与者利用他们的学识、技术和业务持续管理（BCM）的实践经验而共同开发的。本标准提供了以业务持续管理最佳惯例为基础的管理体系。本标准试图为大多数工商业领域需要实施业务持续管理的组织机构提供一个统一的参考标准，该标准可用于工业、商业、公共和志愿部门中的各种大、中或小型组织机构。该标准分为两部分，即BS25999-1：Codeofpracticeforbusinesscontinuitymanagement（业务持续管理实用守则）和BS25999-2：ASpecificationforBCM（业务持续管理规范）。BS25999-1：业务持续管理实用守则BS25999-1由BSI发布，并于2006年11月30日生效，该标准是用来取代由BSI于2003年发布的PAS56：TheGuidetoBusinessContinuityManagement（2003）（业务持续管理指南）。在BS25999-1中详细描述了有关业务持续管理的过程、原则和术语。BS25999-1共分为十章。第一章：范围和适用性本标准的目的是为了理解、开发、并在组织机构内部实施业务持续提供一个基础，为组织机构之间、以及组织机构与客户之间进行业务交往时提供信心。它还能使组织机构采用一致的、公认的方式来衡量其BCM能力。本标准适用于负责业务运行或提供服务的任何人员，从最高管理层到组织机构各个层次的员工；从单一办公场所的组织机构到全球分布的大型机构；从专营商业机构和中小型企业到拥有数千名员工的大型组织机构。因此，本标准可用于任何人所负责的任何运行及其持续。第二章：术语和定义描述了本标准中所采用的术语及其定义。第三章：BCM概述阐明了什么是BCM及其与风险管理的关系，以及组织机构建立BCM的目的和好处，并给出了BCM生命周期的六个要素，如附图1所示。附图1.BCM的生命周期由附图1可见，本标准所给出的BCM生命周期与BCI的理论（参见3.2.4）是完全一致的。而且，以下各章的内容也是按照这六个要素分别进行描述的（这与BCI的最佳惯例中的六个步骤相对应）。第四章：BCM指导方针确定BCM的指导方针，提供清晰的BCM框架，以确保所有BCM活动都按照预定的和可控的方式进行和实施，从而使业务持续的能力满足不断变化的业务要求，并与组织机构的规模、复杂程度和性质相符合。第五章：BCM规划管理BCM规划管理是BCM完整过程的核心。高管层的参与是确保BCM过程的正确进行、并获得适当的支持、以及使BCM融入组织机构文化中的关键。BCM规划管理包括三个步骤：职责分配；项目管理；持续不断地管理。第六章：了解组织机构从以下几个方面来了解组织机构：识别组织机构的目标、利益相关者的义务、法定责任和组织机构的运行环境；识别关键业务活动、资产及相关资源，包括组织机构以外用来支持组织机构的产品和服务所需提供的活动、资产及资源；业务活动、资产及相关资源的失效随着时间推移的影响和后果；确认和评估可能会使组织机构的关键产品、服务、及其所需支持活动和资源产生中断的已知威胁。同时，了解业务活动之间的相互关系以及对外部机构或其他方面的依赖也是非常重要的。了解组织机构的主要手段就是业务冲击分析（BusinessImpactAnalysis）和风险评估（RiskAssessment）。第七章：确定BCM策略组织机构用于确定BCM策略的方法有：提供适当的措施来降低事件发生的可能性或减小这些事件的潜在影响；采取适当的恢复措施；在事件发生期间和事件发生后为关键业务活动提供持续能力；还应考虑其它非关键业务的其它活动。通常由关键业务活动最大可容忍的中断时间，策略实施的成本，以及不采取措施的后果来选择最佳的策略。第八章：制定和贯彻实施BCM响应计划本章说明了计划编制的要求，以及事件响应和启动计划的流程。所有计划，不论是事件管理计划、业务持续计划或业务恢复计划，都应该简单明了，并应确保计划中具有明确职责的人员可以容易得到相关计划。对于小型的组织机构，可以只有一个计划，包括所有业务要求和全部操作内容；而对于大型的组织机构则可以有多个计划，每一计划应该确定相关恢复细节，并且可以包括事件响应、业务持续和恢复各阶段的单独文档。本章中还规定了事件响应的组织（IMT或CMT）及其职责。第九章：BCM演练、维护和评审BCM计划必须经过演练并得到不断地维护，否则就不能认为是可靠的。演练的实质就是对团队的合作、能力、信心和知识的检验。新的灾难情景、新的业务类型、以及组织机构的变化都会引起BCM的改变，这就要求及时地维护和更新。本章中阐述了演练的方法（包括从简单到复杂、从部分到全部等各种形式），以及维护和评审的要求和计划安排。第十章：将BCM融入到组织机构的文化中要使BCM取得成功，必须使其成为组织机构的一部分。不论组织机构的规模大小或属于何种行业，在进行BCM过程的每一个阶段，都应将BCM融入组织机构的BCM文化中，以使其成为组织机构的核心价值观和有效管理的一部分。在组织机构中发展BCM文化的关键要素是，高管层的领导；职责的分配；认知的提高；技能的培训；计划的演练。BS25999-2：业务持续管理规范BS25999-2由BSI发布，并于2007年11月30日生效。该标准提供了业务持续管理系统（BCMS）的建立、实施与文档化的具体要求，包括建立组织机构业务持续管理系统所需的客观和独立的审计要求，以及全面的业务持续管理措施。同时，本标准可作为对各种规模和复杂程度的组织机构进行业务持续能力认证的标准。本标准通过建立和管理有效的业务持续管理体系(BCMS)，来确定业务持续规划，其重点为：a)理解业务持续的需求，以及建立业务持续指导方针和目标的必要性；b)为管理组织机构的总体业务持续风险而采取的控制措施；c)监控和评审BCMS的绩效；d)根据对目标的衡量结果持续地进行改进；本标准采取的管理体系包括以下要素：a)指导方针；b)人员及其指定的职责；c)一套管理流程，包括：1)指导方针，2)规划，3)贯彻实施，4)绩效评估，5)管理评审，6)改进；d)一系列作为审核依据的文件；e)与主题（业务持续）相关的具体过程，例如：业务冲击分析（BIA）、业务持续计划的制定，等等。本标准所用的PDCA循环模型：本标准采用“规划（Plan）-实施（Do）-检查（Check）-处理（Act）”循环模型来建立、贯彻、执行、监控、演练、维护和改进组织机构有效的BCMS。附图2说明了BCMS如何把相关部门的业务持续需求和期望作为输入，并通过必要的措施和流程，产生满足这些需求和期望的业务持续结果（如受控的业务持续）。附图2.PDCA循环模型应用于BCMS过程规划（Plan）建立与管理风险和改进业务持续相关的业务持续指导方针、目标、目的、控制措施、流程和程序，以提供符合组织机构总方针和总目标的结果。实施（Do）贯彻和执行业务持续指导方针、控制措施、流程和程序。检查（Check）按照业务持续指导方针、目标和实践经验进行过程监控和绩效评估，并向管理层报告结果，以便得到评审，并决定批准补救和改进行动。处理（Act）根据管理层的评审结果，以及对业务持续的范围和指导方针、目标重新评价的结果，采取改正和预防措施，以达到持续改进BCMS的目的。建议将PDCA循环方法应用于BS25999-1所述BCM生命周期（见附图2.）中的每一步。根据以上PDCA循环方法，本标准分为六章进行阐述，即，第一章：范围；第二章：术语和定义；第三章：规划业务持续管理体系（BCMS）；第四章：贯彻和执行BCMS；第五章：监控和评审BCMS；第六章：维护和改进BCMS。可见第三章至第六章分别对应于PDCA循环模型的四个部分。最后还有一个附录A，列出了本标准与BSENISO9001:2000、BSEN14001:2004、BSENISO/IEC27001:2005等标准的对应关系。美国NFPA1600标准NFPA1600（StandardonDisaster/EmergencyManagementandBusinessContinuityPrograms，《关于灾难/应急管理与业务持续规划的标准》）是关于全面规划灾难恢复、应急管理、以及业务持续的基本标准。NFPA1600已被公认为是公共机构和私营机构的应急管理和业务持续规划者的最佳参考标准。该标准确定了定义风险和弱点的方法，并针对基础设施的恢复、人员安全的保护、危机沟通的程序、以及短期恢复和长期持续运行的管理结构提供了规划指南。NFPA1600的发展历程NFPA标准委员会于1991年成立了一个“应急管理技术委员会”来制定应对灾难的预案、响应和恢复指南。经过四年的努力，该委员会于1995年发表了NFPA1600第一版，称为“用于灾害管理的推荐惯例”（RecommendedPracticeforDisasterManagement）。由于当时大部分地方政府机构尚未做好准备来满足该标准的要求，所以它仅作为“推荐惯例”而发布。因此，NFPA1600最初只是对地方政府机构在灾难管理领域应该做些什么给出了一个正式的说明。1996年，国际灾难恢复协会（DRII）和业务持续协会（BCI）被邀请参与了该标准的制定过程。所以，该标准后来就包括了DRII和BCI共同制定的专业惯例的要素（参见NFPA1600：2007附录A），并与DRII的业务持续计划编制模型相一致。在筹备发行2000年版NFPA1600时，该委员会采取了更为广泛的“全面规划方式”（totalprogramapproach），将灾难管理、应急管理、及业务持续规划三个领域的要素结合进来。委员会扩展了标准的范围，包括灾难发生之前及灾难发生之后的行动，以使减小灾难的行动成为保护生命和财产工作的一部分。此外，业务持续和灾难恢复的专业人员也参与了标准的制定。该委员会从2000年以后，就开始将BCM的内容引入进来，并将这一推荐惯例修改为一个“关于灾难/应急管理与业务持续规划的标准”（StandardonDisaster/EmergencyManagementandBusinessContinuityPrograms）。此后，NFPA组织一直在与来自FEMA（FederalEmergencyManagementAgency，美国联邦应急管理署）、NEMA（NationalEmergencyManagementAssociation，美国国家应急管理协会）、以及IAEM（InternationalAssociationofEmergencyManagers，国际应急管理者协会）的代表协调合作进行该标准的修改和完善。美国911特别调查委员会于2004年同意将NFPA1600引入联邦法律（108458号公法）。到2007版的NFPA1600标准，已对其中的术语和内容作了很大的改进，并扩充了灾难/应急管理与业务持续规划的概念性框架，在以前版本的四个方面内容（减小、准备、响应及恢复）的基础上，将预防作为一个独立的内容增加进来，从而使BCM的指导思想充分地融合到这一应急管理标准中。NFPA1600（2007版）已于2006年12月20日被正式批准为美国国家标准。最近，NFPA1600又被引入联邦11053号公法，该公法要求私营企业自愿地接受对其应急预案进行认证。NFPA1600使公共机构和私营机构协调行动由于NFPA1600标准是由来自公共机构和私营机构的成员共同制定的，所以该标准已成为了公共机构和私营机构在灾难管理、应急管理、及业务持续规划方面的统一行动准则。虽然NFPA1600标准最初的意图是为负责公众安全的机构而制定的，但目前该标准显然已发展成为同样也适用于私营机构的标准。公共机构和私营机构在应急管理中的合作已变得日益重要，该标准正是针对商业机构与非营利组织（包括政府机构）在准备应对紧急情况时进行合作的需要。应急管理者和商业管理者现在都明白整个社区（包括居民和商业人员）都必须做好充分准备，才能使整个辖区具备应对紧急情况和灾难的能力。正是认识到企业与社区明显的相互依存关系，所以NFPA让企业人员参与NFPA1600的制定，并对企业所关注的特殊问题加以考虑。NFPA标准的标题“关于灾难/紧急管理和业务持续规划的标准”，就是为使各参与者都感到满意所做努力的最终结果。NFPA1600已得到众多机构的认可NFPA1600现在已成为我们各行各业共同接受的标准。美国联邦应急管理署（FEMA），国际灾难恢复协会（DRII），美国国家应急管理协会（NEMA），国际应急管理者协会（IAEM）都已经认可了最新版本的NFPA1600标准。FEMA的作为衡量州政府和地方政府基准的本地预备能力评估（LCAR）程序，就是基于NFPA1600而制定的。NEMA采用NFPA1600作为其应急管理认证程序（EmergencyManagementAccreditationProgram，EMAP）的基础。此外，美国国家标准学会（AmericanNationalStandardsInstitute，ANSI）也已认可了NFPA1600标准。NFPA1600:2007的主要内容NFPA1600:2007版共分为五章及六个附录（A~F）。第一章：总则包括本标准的内容范围、实现的目的、以及适用的领域。第二章：参考出版物说明了制定本标准所参考的出版物。第三章：定义对本标准中所采用的术语进行定义。第四章：计划管理包括计划总则、计划协调员、顾问委员会、以及计划评估。第五章：计划要素包括总则、法律法规、风险评估、事件预防、损失减小、资源管理及后勤保障、互助和救援、计划编制、事件管理、通信和报警、操作程序、设施、培训、演练、评价和改进、危机沟通和公共信息、财务和行政。附录A~F：附录A给出了以上各章节中某些内容的详细解释；附录B列出了灾难/应急管理及业务持续管理相关的组织机构的名称及联络信息；附录C列出了一些相关的信息资源；附录D给出了各国关于应急管理认证机构的简介；附录E是关于事件管理系统的介绍；附录F列出了本标准所引用的参考资料。加拿大CSAZ1600标准加拿大标准协会（CanadaStandardInstitute，CSA）与加拿大公共安全部（PublicSafetyCanada）在美国国家消防协会（NFPA）发布的NFPA1600标准基础上，共同制定了CSAZ1600标准“StandardonEmergencyManagementandBusinessContinuityPrograms”（关于应急管理与业务持续规划的标准），并于2008年10月发布。传统的应急计划只关注于预案和响应，而CSAZ1600是加拿大第一个覆盖应急管理和业务持续规划的完整的新标准，它适用于各种规模的私营和公共机构。由于CSAZ1600是改编自NFPA1600，因此，在结构和内容上与NFPA1600有许多相似之处。其主要内容分为八章及两个附录（A，B）。具体为，第一章：范围；第二章：参考出版物；第三章：定义；第四章：计划管理；第五章：计划编制和设计；第六章：贯彻执行；第七章：演练、评价、及改进措施；第八章：管理层的审查；附录A给出了相关解释资料；附录B列出了相关应急管理及业务持续组织机构、刊物及法规资源信息。澳大利亚HB221/HB292/HB293指南HB221，HB292，HB293虽然都是澳大利亚标准化组织（其中HB221是与新西兰标准化组织联合制定的）发布的关于BCM的使用手册，但这三个手册的目的和用途还是有所不同的。HB221是关于业务持续管理基本理论和方法介绍的实用手册；HB292是为从事业务持续管理的专业人员进行实际工作的指导手册；HB293是为组织机构的高管层人员了解BCM而设计的快速查阅手册。HB221：2004业务持续管理手册HB221：2004（BusinessContinuityManagement，Handbook）是由澳大利亚标准化组织和新西兰标准化组织联合发布的业务持续管理手册。本手册的第一版发布于2003年，第二版发布于2004年。本手册的编写得到了DRII的大力支持。本手册的目标是为了给出一个用于全面的业务持续管理流程的完整框架和关键流程。它可用于任何规模或种类的组织机构（从大型跨国企业到小型企业，以及非盈利机构和政府机构），制定有效的业务持续管理流程。本手册分为两部分：第一部分：什么是业务持续管理？给出了业务持续管理（BCM）的定义，并概述了其演变过程，从仅以IT为中心到成为可用来帮助组织机构进行策略和业务规划的计划编制工具。第二部分：BCM手册概述了一个可由任何组织机构来制定的BCM框架。并补充了对BCM每一步骤的详细讨论，这些补充内容可作为BCM从业者的工作手册。此工作手册包含了一些模板，还提供了一个容易掌握的流程，该流程可在组织机构的所有部门进行，不管是在一个专业的部门（如负责制定IT恢复计划的部门），还是在一个与风险管理、公司治理以及BCM规划有关的部门。本手册最后还有两个附录，附录A列出了本手册所用的术语表，附录B列出了本手册所引用的参考资料。HB292：2006业务持续管理从业者指南HB292：2006（APractitionersGuidetoBusinessContinuityManagement，Handbook）是由澳大利亚标准化组织于2006年发布的关于业务持续管理的从业者使用指南。本指南是在HB221：2004的基础上制定的，所以其中有许多内容包含在HB221：2004中。然而，在这里，HB221的准则已明显地扩充了，并增加了许多新的解释信息。这个文件与其它普遍接受的惯例（例如NFPA1600、BCI最佳惯例指南2005版、新加坡TR192005版、以及DRII和DRJ的著作）更加一致。本指南分为十章，并且还有十二个附录（A~L）。第一章：什么是BCM？第二章：BCM项目开始：建立一个框架并管理BCM规划；第三章：评估风险并制定中断情景假设；第四章：进行业务冲击分析（BIA）；第五章：制定BCM策略——对事件作出响应；第六章：评估和整理资源需求——汇总资源信息；第七章：编写计划——指导原则；第八章：制定沟通策略；第九章：BCM维护；第十章：启动和执行；十二个附录为，附录A：沟通渠道；附录B：风险源；附录C：优先级别框架示例；附录D：威胁和伤害的示例；附录E：弱点评估——需考虑的问题；附录F：文档恢复和重建方法；附录G：汇总资源分布图示例；附录H：其他计划内容的示例；附录I：术语表；附录J：参考资料；附录K：致谢；附录L：BCM从业者指南中的工作手册。HB293：2006业务持续管理高管层指南HB293：2006（ExecutiveGuidetoBusinessContinuityManagement，Handbook）是由澳大利亚标准化组织于2006年发布的关于业务持续管理的高管层使用指南。在过去几年里，BCM已成为优秀企业治理的重要组成部分和在日益动荡的环境中使组织机构持续运行的重要因素。BCM是组织机构进行有效风险管理总方针的重要部分，应该与组织机构的应急管理工作紧密地结合起来。本指南为高管层提供了重要概念和流程的概述，这些概念和流程是维护BCM计划的全面性和完善性所必需的。本文档是作为对HB292（业务持续管理从业者指南）的内容进行归纳和概要检索的工具而设计的，其结构是以HB221（业务持续管理）的框架为基础的。本指南分为以下两个部分：第一部分：使用高管层指南。包括业务持续管理的概述，最佳惯例的组成要素，以及业务持续流程。第二部分：BCM流程。包括九个步骤：第一步——开始；第二步——风险和弱点分析；第三步——业务冲击评估；第四步——响应策略；第五步——整理资源及其互依赖性；第六步——计划编写；第七步——沟通策略；第八步——维护；第九步——启动和执行。新加坡TR19标准TR19：业务持续管理（BCM）之技术参考（TechnicalReferenceforBusinessContinuityManagement）是由新加坡标准及生产力创新局（SPRINGSingapore）于2005年发布的关于业务持续管理的标准，用以取代SPRING于2003年7月发布的标准《对业务持续管理的需要》（RequirementsforBusinessContinuityManagement）。这一技术参考（TR）是由负责业务持续管理（BCM）的技术委员会（TC）按照管理体系标准委员会（MSSC）的规范而制定的。在制定TR的过程中，新加坡商业联合会的业务持续管理委员会给该技术委员会也提供了战略指导。新加坡商业联合会、经济发展局、以及新加坡标准及生产力创新局制定本技术参考（TR），是为了建立一个通用的最佳行业管理惯例。这一工作得到了主要的行业机构和政府部门的支持。本技术参考（TR）主要关注于持续性管理及关键业务运行的恢复。这包括预防措施（比如针对物理和IT的安全，采取风险减小措施）、方法论、以及实施灾难恢复规划、业务持续规划、应急响应和管理、危机沟通管理、供应链协调，还包括与企业和公共机构的合作。其主要部分如下：BCM框架介绍范围定义风险分析与评估业务冲击分析策略业务持续计划测试与演练计划管理附件A及参考资料列表新加坡SS507标准SS507：业务持续/灾难恢复服务提供商之新加坡标准（SINGAPORESTANDARDFORBusinessContinuity/DisasterRecoveryServiceProviders）是由新加坡标准及生产力创新局（SPRINGSingapore）于2004年发布的针对业务持续/灾难恢复（BC/DR）服务商的标准。本标准是由安全及保密技术委员会按照信息技术标准委员会的规范而制定的。当前，BC/DR服务商面临许多挑战，例如，需要使自己与众不同以保持竞争优势，以及需要维持并不断提高服务水平。而最终用户面临的问题是对不同类型的服务商缺乏了解，外包服务存在的风险大小，以及BC/DR服务商的能力如何。为此，本标准提供了一个认证和区分BC/DR服务商的基础，从而帮助最终用户选择最合适的服务商并得到质量保障。它还建立了行业最佳惯例来减小外包服务的风险。本标准的目标对象是那些希望依据本标准获得认证的BC/DR服务商，以及那些利用本标准作为参考文件的BC/DR服务商和终端用户。本标准的主要内容分为八个部分：BC/DR开发框架介绍范围和通则定义一般性要求灾难恢复设施的认证服务商能力的认证恢复站点选择指南建议的行业最佳惯例日本的BCM相关标准和指南自从911之后，欧美各国以及澳大利亚、新加坡等国家加快了业务持续管理的理论研究和实践活动，日本政府开始高度重视业务持续在本国的发展，投入了大量的人力物力制定了一系列的危机管理和业务持续的标准指南，其目的在于为企业经营者建立一个共识和准则，以便于企业参照执行，从而加强企业抵御灾难的能力。从日本BCM标准指南的发展过程，可以看出日本政府对BCM发展的指导是BCM得到快速发展的重要因素之一。1996年，日本金融情报系统中心（FISC）制定了《金融机构等应急响应计划纲要》，针对金融机构信息系统的安全问题，规定了紧急情况下的响应计划及其运用原则等；2006年3月，FISC再次修订了《金融机构等应急响应计划指南》。针对IT产业，日本早在1981年就开始规定了有关“情报处理服务业情报系统安全对策实施事业所认定基准”的认证制度。目前，日本根据国际标准化组织（ISO）“关于信息安全国际标准规范”（ISO/IEC17799）的要求，又建立了信息安全管理体系（ISMS）的认证制度，并在ISMS中专门加入了“业务持续管理”的内容。2002年3月，日本银行发布了《假定金融机构据点受灾的业务持续计划方案”》。2002年4月，日本情报处理发展协会（JIPDEC）发布了《情报安全管理体系（ISMS）适用性评价制度》，这也是日本第一个有关业务持续管理（BCM）的规定。2003年7月，日本银行制定了指导性文件《关于完善金融机构的业务持续体制》，对金融机构的BCM建设提出了具体的要求。2004年10月23日，日本新澙县中越地区发生里氏6．8级强烈地震，造成了重大的生命财产损失。灾后对受灾企业损失情况的调查表明，预先准备好了BCP的企业所受到的损失明显小于没有BCP的企业。这充分说明了BCM的重要性。因此，从2004年起，日本从中央政府到企业对BCM的重视程度就发生了质变（这很类似于美国911事件后的情形）。日本对BCM的实际应用也进入了一个快速发展的新阶段。2005年7月，日本政府对《防灾基本计划》进行了修订，明确写进了“制定BCP是企业防灾工作的关键环节”。此后，一系列的关于BCM的标准指南相继出台。以下列举几个主要的标准指南加以简介。《事业继续指导方针第一版——为了提高我国企业的减灾和灾害对应能力》2005年8月1日，日本中央防灾会议下属的“运用民间和市场的力量提高防灾能力专门调查组”及“企业评价与业务持续工作组”针对自然灾害（特别是地震）对企业的影响，制定了《事业继续指导方针第一版——为了提高我国企业的减灾和灾害对应能力》。该指导方针的主要内容包括三部分：第1部分：业务持续的必要性与基本思想（灾害发生时致力于业务持续的必要性、日本业务持续计划的特征、以及业务持续共同追求的目标等）；第2部分：业务持续计划及内容（灾害对象的确认、冲击程度的评价、重要业务受灾的估计、教育培训等）；第3部分：给经营者和社会的建议。《事业继续计划（BCP）制定指导方针——IT社会中的企业存续》2005年8月19日，日本经济产业省商务情报局发布了《事业继续计划（BCP）制定指导方针——IT社会中的企业存续》。这是日本官方发布的第一个关于BCM的指导方针。该指导方针主要针对IT事故，强调企业构建内部信息安全体制，制定业务持续计划的重要性。这一指导方针的主要内容包括：第1章：基本思想（BCP的必要性、制定BCP的背景、BCP的特征、世界和日本的发展趋势）；第2章：概述（制定BCP时应考虑的事项、从业务冲击分析到制订BCP的流程、BCP的贯彻执行与教育培训、BCP的维护与管理）；第3章：制定BCP应探讨的项目（探讨的内容与要点、实施BCP的体制、启动BCP的应对要点、重新开展业务的应对要点、业务恢复的应对要点、全面恢复的应对要点、风险信息交流的重要性）；第4章：个别计划（应对大规模系统故障、应对突发安全事件、应对情报泄露及篡改数据事件）。《中小企业BCP制定运用指导方针》由于日本的中小企业数量众多，其比例超过全国企业总数的99％。所以，中小企业在灾难发生时能否继续生存，保持业务持续运行，不仅会影响局部地区的经济，还将给整个日本的经济带来严重影响。因此，日本政府非常关注中小企业应对灾难的能力。2006年2月，日本经济产业省中小企业厅，根据中小企业的特点和现状，编制了《中小企业BCP制定运用指导方针》。这是一部专为日本中小企业量身定做的BCM规范，其特点是简单易懂、操作方便。此外，日本经济产业省中小企业厅为了使广大中小企业迅速掌握制定BCP的方法，还专门根据该指导方针设计了初级、中级和高级三门课程。初级课程是针对不了解BCM的初学者而设计的，主要目的是使他们了解BCM的基本内容和制定BCP的基本方法；中级课程是为系统学习BCM理论、掌握建立BCP的完整过程而设计的；高级课程是针对已有一定BCM实践经验、并需要进一步深造的专业人员和企业家而设计的。其他规范指南其它相关的标准指南还有，2006年3月由行业团体金融情报系统中心发布的《紧急时应对计划制定指南书》，以及2006年9月由内阁官房情报安全中心发布的《重要基础设施安全基准等指导方针》。另外，2007年11月，日本情报处理开发协会开始研讨“业务持续管理系统（BCMS）适用性评价制度”，目的是提高日本业务持续管理的水平和信赖度。从2005年开始，日本政府各主管省厅分别制定和出版了一系列有关BCM和BCP的指导方针。值得一提的是，为了适应BCP的国际标准化趋势，日本政府未雨绸缪，在2008年4月1日开始实施的日本版SOX法（企业改革法）中增加了很多保障业务持续的相关内容。同时，日本政府为了在BCM的国际标准中占有主导地位，从而维护国家和企业的利益，积极地参与BCM国际标准化的工作。日本政府在经济产业省内设立了以日本规格协会为事务局的“业务持续计划工作组”，该工作组在2005年9月召开的国际标准化组织（ISO）会议上，散发了《事业继续计划（BCP）制定指导方针》的英文资料，引起了有关国际组织及各国与会代表的重视。并且，日本政府在广泛征求了各方（包括企业家、专业人士、以及政府官员）意见后，于2006年2月中旬完成了日本关于业务持续计划（BCP）国际标准化草案，并于2006年4月，在意大利佛罗伦萨召开的ISO关于“应急预案与业务持续”（EmergencyPreparednessandOperational（Business）Continuity）的国际会议上，向大会提交了该BCP国际标准化建议案。ISO27000系列标准成立于1947年的国际标准化组织（InternationalOrganizationforStandardization，ISO）虽然目前尚未发布专门的BCM国际标准，但其自2005年开始陆续发表的ISO27000系列国际标准（例如ISO27001、ISO27002、以及ISO27006等）中，却已包含了许多BCM的内容，尤其是在ISO27002中，对信息系统的安全管理提出了明确的BCM要求。ISO27000是专门针对信息安全管理体系（InformationSecurityManagementSystem，ISMS）而制定的系列标准，现分别简介如下：ISO27001：2005ISO27001：2005（InformationSecurityManagementSystems–Requirements）是于2005年发表的关于信息安全管理体系（ISMS）规范的标准，它是作为第三方认证的基础。ISO27001是为了取代BS7799-2：2002标准而发布的。其主要内容包括：范围，术语及定义，参考资料，信息安全管理体系（ISMS），管理职责，管理审查，ISMS改进。ISO27002：2007ISO27002：2007（CodeofPracticeforInformationSecurityManagement）的前身是2005年发表的ISO17799，2007年作为信息安全管理守则正式更名为ISO27002，但内容上并没有变化。ISO27002：2007中详细说明了用于保证信息及相关资产安全的数百种控制措施，并提出了明确的BCM要求。主要内容有：范围，术语及定义，标准的结构，风险评估和处理，安全指导方针，信息安全的组织机构，资产管理，人力资源安全，物理安全，通信及运行管理，访问控制，信息系统的获取、开发及维护，信息安全事件管理，业务持续管理（BCM），法规遵从。ISO27006：2007ISO27006：2007（RequirementsforBodiesProvidingAuditandCertificationofanISMS）也是在2007年上半年发表的关于“对提供信息安全管理体系审计和认证的机构的要求”的标准。主要内容包括：范围，参考，术语，原则，一般性要求，组织结构要求，资源要求，信息要求，流程要求，认证机构的管理系统要求。其他其他将要发布的标准还有ISO27003：ISMS实施指南（ISMSimplementationguidelines）；ISO27004；信息安全的指标及其衡量（Informationsecuritymetricsandmeasurements）；ISO27005：ISMS的风险管理（ISMSriskmanagement）等等。美国SOX法案萨班斯-奥克斯利法案（Sarbanes-OxleyActof2002，简称SOX）是美国政府于2002年通过的法律。它是由美国国会参议员保罗.萨班斯和众议员迈克尔.奥克斯利发起的。SOX法案主要是针对一些美国知名大公司（如Enron公司和WorldCom公司）的财务丑闻而制定的。这些丑闻导致公众对上市公司财务报告失去了信任，该法案就是为了通过加强上市公司的财务控制及其报告程序来保护股东和普通民众免受企业统计错误和欺骗行为的损害，从而恢复公众的信任和投资者的信心。SOX法案由美国证券交易委员会（SEC）负责执行。SEC设置了遵从的底线并发布了规则要求。SOX法案不是商业行为，也不规定企业保存财务记录的方法，而是规定这些记录应该保存多长时间。这一法案不仅影响了公司的财务部门，还影响了负责存储公司电子记录的IT部门。该法案指出所有商业纪录，包括电子记录以及电子消息，都必须保存“至少五年”。违反该