ISO22301业务连续性管理(BusinessContinuityManagement,简称:BCM) ,是能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。它强调制定目标、监测表现和指标、对企业管理层提出了更加清晰的期望值,对业务连续性计划的制定提出了更高的要求。
具体实施的十个步骤
- 【启动调研】
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
- 【风险评估】
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
- 【业务影响分析】
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
- 【容灾策略制定】
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
- 【容灾技术方案设计】
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
- 【容灾设施资源及IT系统建设或整改】
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,最终达到容灾的实际要求。
- 【业务连续性计划及灾难恢复计划的制定与维护】
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变更和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
- 【容灾系统运行维护】
运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
- 【演练及测试】
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。
- 【审核/审计】
附注1:ISO22301业务联系管理体系认证申请审核流程图
ISO22301业务连续性管理体系认证申请、审核流程
附注2:ISO22301业务联系管理体系认证及管理说明
1、申请认证的组织应建立符合ISO22301标准要求的文件化业务连续性管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;然后向认证中心提供业务连续性管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况。
2、认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。
3、证书有效期3年,获得认证后每年进行一次监督。
4、当组织的业务连续性管理体系出现变化,或出现影响业务连续性管理体系符合性的重大变动时,应及时通知认证中心。认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性。
