摘要:本文簡要介紹了業務連續性管理體系的起源、國際標準和我國國家標準的制修訂情況。由此可以看出,這一嶄新的管理體系與風險管理、危機管理、公共關系、信息技術乃至信息安全等領域有著密切相關的聯系。
近年來,自然災害和人為事故頻繁發生,組織環境的不確定性和風險大幅度增加,加強組織業務連續性管理成為打造最佳應急預案的必然選擇。為了滿足組織對統一的業務連續性管理國際標準的需求,ISO公共安全技術委員會ISO/TC223著手組織制定業務連續性管理國際標準,2006年ISO在意大利佛羅倫薩召開了應急響應研討會,ISO 22301標準制定工作就此啟動,并與2012年5月正式發布。
ISO22301:2012致力于使公共或私有部門的組織更具有適應性,其管理體系框架能夠幫助企業制定一套一體化的管理流程計劃,使企業對潛在的災難加以辨別分析,幫助其確定可能發生的沖擊對企業的運作造成的威脅,并提供一個有效的管理機制來阻止或抵消這些威脅,減少災難事件給企業帶來的損失。
一、業務連續性管理體系的定義
目前,業務連續性管理已經引起全球的關注,無論是公共或私有部門的組織都必須了解如何準備和應對意外的破壞性的事故發生。ISO 22301標準為業務連續性管理體系(BCMS)的策劃、建立、實施、運行、監視、評審、保持和持續改進提供了框架。當破壞性的事故發生時,該標準將有助于組織的防護、準備、響應和恢復。
國家推薦標準GB/T 30146《公共安全 業務連續性管理體系 要求》中對業務連續性管理的定義為:識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架,以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。國家推薦標準GB/T 30146中對業務連續性管理體系(BCMS)的定義為:用于建立、實施、運行、監視、評審、保持和改進業務連續性,是一個組織整個管理體系的一部分。
簡要來說,組織建立業務連續性管理體系目的在于通過實施和運行控制措施來管理組織應對中斷事件的整體能力從而保障當組織的核心業務發生中斷后(例如銀行業ATM機故障導致所有ATM機無法存取款),在規定的時間內(例如我國銀監會規定重要業務恢復事件不得多于4小時)將核心業務從中斷事件中進行恢復,并通過控制措施保障組織在進行業務恢復過程中和業務恢復后能夠與媒體、組織自身員工進行良好的溝通交流。
在任何時候事故都能使組織的業務中斷,采用ISO22301標準將保證組織能夠應對事故并保證其業務的持續運行。事故發生有多種類型,從嚴重的自然災害和恐怖主義活動到與技術相關的事故和環境事故。然而,許多事故雖然小,但能產生嚴重的影響,這在任何時候都與業務連續性管理緊密相關。
二、 業務連續性管理體系的起源
業務連續性管理的發展與計算機技術的發展密不可分。隨著人類生產生活對計算機的依賴性越來越強,信息系統的安全要求也隨之增長。在20世紀60年代末,計算機系統在解決系統持續運行的問題時,率先對單點故障采用了冗余措施。業務連續性管理起源于上世紀70年代的容災和恢復計劃。在那個時代,金融組織,如銀行和保險公司大都建設了另外的備份站點,備份磁帶存儲在遠離主中心的地點。恢復活動經常是針對由火災、水災、風暴或其他原因造成的物理破壞。
20世紀70年代末至80年代初,由于大量計算機系統應用于不同的企業業務流程,同時在政府機構中也有較多應用。在這種情況下,業務部門對信息系統的持續運行提出了更高的要求,一些重大的系統宕機事故所導致的業務中斷,給業務部門造成了重大的損失。在這樣的背景下,專業的災難恢復服務商應運而生并逐漸增多。他們為企業提供計算機運行中斷后的災難恢復專業外包服務,并且逐漸形成了以信息系統災難備份與恢復為主業的外包服務領域。
無論什么樣,什么類型的組織,在其業務活動正常開展時,都會存在著一些可能使組織業務活動產生中斷的潛在威脅,而這些威脅一旦發生了,如何使這些發生業務中斷的組織很快的能夠對這些中斷事件進行響應、恢復、重新開始和還原到預先確定的業務運行水平。其核心是以信息技術為基礎,保障企業業務持續運行,跨越了風險管理、災難恢復、緊急時間管理、安全管理、知識管理、危機通信和公共關系等多個學科。
三、業務連續性管理體系國際標準發展概況
早在ISO正式發布其國際標準前,已有多個國家發布了本國的業務連續性管理體系國家標準,例如:2006年,英國BSI頒布了用于指導組織實施業務連續性管理體系的國家標準BS 25999-1:2006《業務連續性管理-實施規程》, 2007年BSI又頒布了可用于認證的BS 25999-2:2007 《業務連續性管理-規范》。美國也在2007年批準了NFPA 1600(2007版)作為本國的業務連續性管理標準。在亞洲地區,新加坡于2008年頒布了本國的業務連續性管理體系標準SS 540:2008。日本、以色列等國家也在ISO發布前,發布了適用于本國的業務連續性管理標準。
“9.11”事件之后,歐美各國及新加坡等國家加快了業務連續管理的理論研究和實踐活動,日本政府開始高度重視業務連續在本國的發展,投入了大量的人力物力制定了一系列的危機管理和業務連續的標準指南,其目的在于為企業經營者建立一個共識和準則,以便于企業參照執行,從而加強企業抵御災難的能力。從日本BCM標準指南的發展過程,可以看出日本政府對BCM發展的指導是BCM得到快速發展的重要因素之一。
立足于全球視角來看,以英國、美國、新加坡、日本等國為代表的發達國家成為業務連續性管理的主要推動力,這種推動力主要體現在國家層面的法律法規、行業層面的規范以及企業層面的實施幾方面。這些國家均已制定業務連續性管理方面的國家標準,指導和規范各自國家的業務連續性管理發展。
國際標準化組織在美國NFPA1600、英國BS25999、新加坡SS540及日本等國標準的基礎上,結合各國的最佳實踐經驗而于2012年5月發布了業務連續管理體系的認證標準ISO 22301 ‘Social security-Business continuity management systems-Requirements’,并于同年12月發布了ISO 22313“業務連續性管理體系實施指南”。
四、我國業務連續性管理標準發展概況
中國業務連續性管理起步較晚,從“9.11”之后,國內才開始這方面的工作,經歷了從探索到實踐的過程,目前雖仍處于初級階段,但發展勢頭迅猛。
近幾年,我國的一些行業主管部門從關系國計民生、社會穩定方面出發,也制定了一些適用于本部門或本行業的業務連續性管理指引規范。具有代表性的標準及要求如下:
1、國家標準《信息安全技術 信息系統災難恢復規范》GB/T 20988-2007
2、銀監會《商業銀行業務連續性監管指引》
3、銀監會《商業銀行數據中心監管指引》
4、銀監會《商業銀行信息科技風險管理指引》
5、證券行業協會《證券公司證券營業部信息技術指引》
6、保監會《保險業信息系統災難恢復管理指引》
7、電監會《國家處置電網大面積停電事件應急預案》
8、民航業《民用航空重要信息系統災難備份與恢復管理規范》
9、電信業《電信網和互聯網災難備份及恢復實施指南》
其中,銀監會于2011年發布的《商業銀行業務連續性監管指引》對于金融領域的業務連續性管理提出明確的監管要求。
2014年1月,國家標準GB/T 30146《公共安全 業務連續性管理體系 要求》正式發布,并于2014年5月正式實施,這為各類組織如何策劃、建立、實施、運行、監視、評審、維護和改進一個文件化的業務連續性管理體系指明了方向。
隨著國家標準的發布、中國認證認可行業的蓬勃發展以及日益增長的認證需求,業務連續性管理體系認證將成為一個嶄新的認證領域;與之相關的咨詢、培訓服務也正在形成一個不斷成長的技術服務市場,在為組織帶來價值的同時,為降低組織風險、保障組織的業務的連續性都有著積極的影響和深遠的意義
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
