一、关于标准
业务连续性管理体系(BCMS——Business Continuity Management System)是国内同等转换ISO业务连续性管理体系的国家标准。常用的有两个标准
- GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求
- GB/T 31595-2015/ISO 22313:2012 公共安全 业务连续性管理体系 指南
其中GB/T30146/ISO 22301是要求,也就是说你必须满足什么,是认证的依据(关于认证下面会说),GB/T31595/ISO22313是GB/T30146/ISO22301中的要求的推荐方法和措施。
以下引用过程中将《GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求 》简称为要求,《GB/T 31595-2015/ISO 22313:2012 公共安全 业务连续性管理体系 指南》简称为指南。
在这里说下关于业务连续认证:
业务连续性、信息安全体系、质量体系都有相关的认证体系,关于信息安全体系、质量管理体系认证后续文章会介绍。本文主要介绍业务连续性。
业务连续性认证实施是基于国际标准GB/T30146/ISO22301的,通过认证证明其企业的业务连续性管理达到了标准要求。除了业务连续性认证外,还有质量管理体系(ISO9001)、信息安全体系(ISO27000)等
中文证书样本 英文证书样本
申请的基本条件
1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2) 申请方的业务连续性管理体系已按GB/T30146/ISO22301标准的要求建立,并实施运行3个月以上。
3) 至少完成一次内部审核,并进行了管理评审。
4) 业务连续性管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
实际认证的所有要求都来源于GB/T30146/ISO22301标准的第8节。
二、术语定义
业务连续性管理体系(BusinessContinuityManagementSystems,BCMS)是组织整体管理体系的一个部分,用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
GB/T30146/ISO22301是建立和维护业务连续性管理体系的标准,为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求,用以实施保护,减少中断事件发生的可能性,以及当中断事件发生时准备、响应并恢复。
BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
BCMS是多个过程的集合,它将组织管理体系中的各个环节连系并统一起来,为识别的风险制定适宜的风险策略和风险计划,并且为组织制定一套有效的业务连续性计划演练和测量方案。BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
“业务影响分析”(简称BIA)是BCMS的核心过程之一,它通过评估组织的产品或服务活动发生中断时所产生的影响程度,来确定产品或服务的优先级、恢复顺序和指标。BIA包括业务范围界定和数据采集分析、业务重要性分析、资源分析、确定优先级和恢复顺序等几个步骤。
以IT服务企业为例,BIA首先要确定BCMS的覆盖范围,包括SLAs、多场所,并通过人员访谈、讨论和问卷调查等方法收集组织内部及相关方中曾经发生和有可能发生的影响IT服务“业务连续性“的因素和过程,包括软硬件配置、人员能力、法律法规、客户需求、电力和消防等支持系统。然后使用定性分析和定量分析相结合的方法,依据收集来的因素和过程对IT服务功能和中断的影响程度进行分析,初步确定各项服务的重要程度,如关键服务、重要服务、可暂缓服务等。再然后分析正常运行IT服务和中断后恢复所必须的资源,和资源间的相互关系。最后确定服务的优先级和恢复顺序,以及服务恢复指标,通常使用“恢复时间目标”(RTO)和“恢复点目标”(RPO)做为恢复指标。
1.业务连续性 business continuity
在中断事件发生后,组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。
2.业务连续性管理 business continuity management
识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动
3.业务连续管理体系
用于建立、实施、运行、监视、评审、保持和改进业务连续性,是一个组织整个管理体系的一部分。
4.业务连续性计划
用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形式文件的程序
5.业务影响分析(BIA)
分析活动和业务中断可能带来的影响的过程
6.事件 icident
可能或将导致中断、损失、紧急情况或危机的情况
7最长可接受中断事件 MAO
不能提供产品/服务,或者活动无法进行可能带来的负面影响,变得不能接受之前的时间。
8.最长可容忍中断时间 MTPD
不能提供产品/服务,或者活动无法进行可能带来的负面影响,变得不能容忍之前额时间。
9.最小业务连续性目标 MBCO
在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和(或)产品。
10.互助协议 mutual aid agreement
两个或多个实体为了互相帮助而预先达成的共识
11.恢复点目标 recovery point objective ; RPO
为使活动能够恢复进行,而必须将该活动所用的信息恢复到某时间点。
12.恢复时间目标 recovery time objective; RTO
事件发生后到下列活动完成之间的时间段。产品或服务必须恢复,或活动必须恢复,或资源必须复原,
三、“要求”标准的部分内容
1.BCMS强调以下方面的重要性
- 理解组织的需求以及制定业务连续性管理方针和目标的必要性
- 实施和运行控制措施来管理组织应对中断事件的整体能力
- 监视和评审业务连续性管理体系的绩效和有效性
- 基于客观测量的持续改进
2.BCMS包括以下关键部分
- 方针
- 职责明确的人员
- 与以下几点相关的管理过程:
- 提供含有审核证据的文件
- 任何和组织有关的业务连续性管理过程
采用策划(Plan)——实施(Do)——检查(Check)——改进(Act)(PDCA)模型来策划、建立、实施、运行、监视、评审和改进组织BCMS的有效性
3.BCMS的范围
- 确定组织中被包含在BCMS范围内的部分
- 在考虑组织的任务、目标、内部和外部职责以及法律和法规方面的责任下,建立BCMS的要求
- 识别BCMS范围内的产品、服务和所有相关活动
- 考虑相关方的需求和利益,例如客户、投资者、股东、供应链、公共和/或社区的投入和需求、期望和利益
- 按照组织规模、性质和复杂性确定合适的BCMS范围
4.领导力:整个组织的最高管理者和其他相关管理人员应证明他们在BCMS方面的领导力
管理承诺:
- 确保BCMS制定的方针和目标与组织的战略方向一致
- 纳入业务过程
- 所需的资源
- 管理的有效性和符合BCMS要求的重要性进行传递
- 确保体系达到预期结果
- 指定和支持员工为BCMS的有效性做贡献
- 推动持续改进
- 支持其他相关管理角色在其职责领域内展示其领导作用和承诺。
5.实施
1)组织与策划
建立过程准则
过程控制
为了确定流程按计划执行,在必要的范围内保留存档信息
2)业务影响分析和风险评估
组织应建立、实施和保持一个正式的、形成文件的业务影响分析(BIA)和风险评估过程
- 建立评估的环境、确定标准和中断事件的潜在影响
- 考虑组织遵从的法律要求和其他要求
- 包括系统的分析、风险处置优先级以及相关的成本
- 明确业务影响分析和风险评估所要求的输出
- 提出输出信息更新和波阿妈的要求。
BIA的活动:
- 识别支持产品和服务额交付的活动
- 评估这些活动中断后随时间推移的影响
- 在最低可接受水平上制定业务恢复优先级时间表,要考虑在某时间内,没有恢复这些业务所造成的影响是不可接受的。
- 识别这些活动间的依赖关系及支持资源,包括供应商、外包方和其他相关方
风险评估
这里要说下笔者对于风险评估和BIA的关系:BIA分析的最终目的是要给业务连续性排优先级,而优先级的输入是风险评估的结果(发生时间的影响和投入产出比)。
3)业务连续性策略
确定和选择
建立资源要求
保护和缓解
此部分是根据BIA的结论选择合理的(性价比高的)的措施,例如资源的保障(人、财、物)、实施备份措施(保护和缓解措施,风险应对)、建立互惠协议(风险转移)等等
4)建立和实施业务连续性程序
程序应:
- 建立适当的内部和外部沟通协议
- 针对业务中断期间需要采取的紧急步骤进行详细规定
- 灵活地应对非预期的威胁和不断变化的内部和外部环境
- 关注可能导致潜在运行中断的事态影响
- 在已提出的假设和在相互依赖的关系分析的基础上进行开发
- 通过实施适当的减缓策略有效地将后果最小化
此过程是针对业务的连续性一旦发生而假定的流程、步骤、配套资源。实际在事件一旦发生后,好的业务连续性管理,直接参考业务连续性开展相关工作,不好的就是两张皮了。
事件响应机制
预警和沟通
业务连续性计划:组织应建立响应中断事件,以及如何在预定的时间内继续或恢复其活动的文件化程序。此程序应能针对使用者提出要求。
业务连续性计划应全部包含:
- 确定在事件发生时和发生后相关人员和团队的角色和职责
- 一个启动响应的过程
- 处理中断时间所造成额直接后果的详细说明。
- 如何以及在何种情况下组织与员工及其亲属、关键相关方、以及紧急联络人进行沟通
- 组织奖如何在预定的时间里继续和恢复其优先活动。
- 事件发生后,组织的媒体响应的详细说明
- 事件一旦结束后的退出过程。
恢复:组织应有用以在事件发生后从所采用的临时措施中恢复并重新开始业务正常活动的文件化程序。
演练和测试
5)绩效评估
a)监视、测量、分析和评估
b)内部审核:组织应按照计划的时间间隔进行内部审核,提供信息以表明业务连续性管理体系示范符合相关情况
c)管理评审:最高管理者应按计划的时间间隔评审组织的BCMS,以确保其持续适宜、充分和有效
四、“指南”标准中的部分内容
“指南”标准中给出了在“要求”标准中的细目具体怎么落实。
在“指南”中与“要求”中相同的部分此处就不罗列了。
重要一条:业务连续性的执行必须获得高层的支持,是企业战略的一部分,必须与企业战略一致。
1.业务影响分析(BIA)
BIA的目的是:
- 了解组织的额关键产品和服务以及交付这些产品和服务的活动
- 为恢复活动确定优先级和时间
- 识别未来业务连续性和恢复有可能需要的关键资产
- 识别相互依赖关系
最总结论:确定业务/系统的连续性、恢复优先级和目标
观 点:知己知彼
BIA的分析方式可包括:
2.风险评估
风险评估的结果和可能性方面为风险分析提供了一个结构性过程。该结构化过程试图解答一些基本问题:
- 什么可能发生以及为什么会发生(风险识别)
- 可产生什么结果?
- 他们发生的可能性是什么?
- 是否有办法可能减缓结果或降低其可能性?
3.业务连续性策略
策略的输入为BIA和风险分析的结果。
3.1确定和选择
以满足组织的业务连续性为目标,可能发生在事前、事中、事后。
3.2.建立资源要求
准备好人、财、物
主要包括:人员、信息和数据、建筑、工作环境和相关公共设施、设施、设备和易耗品、信息通信技术系统、交通运输、财务、供应商、保护和缓解
资源的需求来源于具体连续性策略的选择
3.3. 建立和实施业务连续性程序
要求:
- 具体的:业务中断发生时,采取的具体步骤
- 灵活的:可应对哪些未曾预料到的威胁场景和多变的内外条件
- 专注的:明确地与哪些可能会造成运行中断的事件所带来的影响有关,并且应基于事先声明的前提假设和互依赖性分析来开发这些程序。
- 有效的:实施适当的缓解策略,最大限度减轻事件造成的后果。
1)事件响应机制:确定影响阀值、评估事件性质和程度、评估造成的影响、指定措施、启动措施、获得资源方式、沟通
2)预警和沟通:制定、实施和保持用于预警和沟通的程序(态势感知)
3)业务连续性计划
使组织能够应对事件,妥善处理其业务活动的重启和恢复。
计划的内容:
- 角色和职责
- 启动和停止
- 事件的管理
- 人员联系信息
- 沟通
程序的具体类型:
- 事件管理/战略管理程序:事件管理的目的是确保组织在战略层面对中断事件的响应是有效的
- 沟通程序
- 安全和权益程序:对事件对生命、生活或权益造成直接危害时,组织对保护员工、承包方、访客和客户的权益负有直接责任,对老幼病残孕需要给予特别关注。
- 挽救和安保程序
- 恢复业务活动的程序
- 信息通信技术系统的恢复
4)恢复
将业务运行从事件发生后所采取的临时性措施返回到支持正常的业务要求,确保性格的审核和企业治理要求。
4.演练和测试
演练方案
演练业务连续性计划
5.绩效评估
特别声明:
1.以上所有描述内容部分参考链接/文献未逐一列出,若有侵权,请及时告知,有则改之无则加勉。
2.以上仅是学习过程的总结,相信有很多理解偏差的地方,特别希望指出,给予帮助,更新知识体系,共同进步。
3.以上内容大部分是采用百度翻译,结合自己的理解,所有有些理解偏差的,请批评指正!
标准引用:
GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求
GB/T 31595-2015/ISO 22313:2012 公共安全 业务连续性管理体系 指南
参考文献:
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">
