ISO22301业务连续性管理体系(BCMS)认证简介
ISO22301认证即业务连续性管理体系认证。业务连续性管理体系(Business Continuity Management Systems,BCMS)是组织整体管理体系的一个部分,用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
BCMS是建立和维护业务连续性管理体系的标准,为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求,用以实施保护,减少中断事件发生的可能性,以及当中断事件发生时准备、响应并恢复。
1、GB/T 30146/ISO22301认证的国际标准
办理业务连续性及危机管理的作用:
- 识别和管理您的组织面对着的潜在威胁
- 提前预防以降低突发事件的影响
- 在危机时刻使您的核心业务正常运作
- 在事件发生后在最短的时间内恢复正常运行
- 向您的客户、供应商展示贵司对突发事件的应变力和恢复力
2、ISO22301业务连续性管理体系的适用对象
这项标准可于组织中提供有关了解、发展、及执行业务连续性的基础。让您有信心完成企业对企业间,以及企业对顾客间的各种交易。通过此项验证,等于向重要利害关系人保证组织已完全做好准备,同时也符合来自内部、法规、及客户的各种要求。
ISO22301业务连续性管理体系让组织无论面临何种影响,均可连续运营。即使面临影响,ISO22301也能协助组织持续运营。不论是何种规模企业、产业、公共或私人部门、制造业或服务业等,均适合采用符合 ISO22301的业务连续性管理体系。其可提供全球机构一种共通语言,尤其是供应链既长且复杂的企业。
本项标准特别适合营运环境具有高度风险的企业使用。在这类环境中,业务连续性的能力对于企业、顾客、及利害关系人均至关重要,包括能源、金融、通讯、运输、及公共部门等产业。
3、申请ISO22301业务连续性管理体系的条件
- “业务连续性管理体系”已运行三个月以上;
- 已充分地识别了风险并评估了对业务的影响程度;
- 已制定完备的业务连续性计划并有效实施。
4、办理ISO22301业务连续性管理体系的资料
- 法律地位证明文件复印件加盖公章。存在时,应提交分支机构的营业执照复印件加盖公章;
- 临时场所清单;
- 适用的法律法规和标准的清单;
- 取得相关法规规定的行政许可文件;
- 业务影响分析报告、风险评估报告和业务连续性计划;
- 业务连续性管理体系文件,包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构、人员情况和职能分工、过程路线图/工艺流程图/过程描述及其有关的过程文件等。
5、ISO22301业务连续性管理体系实施流程
BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
“业务影响分析”(简称BIA)是BCMS的核心过程之一,它通过评估组织的产品或服务活动发生中断时所产生的影响程度,来确定产品或服务的优先级、恢复顺序和指标。BIA包括业务范围界定和数据采集分析、业务重要性分析、资源分析、确定优先级和恢复顺序等几个步骤。
以IT服务企业为例,BIA首先要确定BCMS的覆盖范围,包括SLAs、多场所,并通过人员访谈、讨论和问卷调查等方法收集组织内部及相关方中曾经发生和有可能发生的影响IT服务“业务连续性“的因素和过程,包括软硬件配置、人员能力、法律法规、客户需求、电力和消防等支持系统。然后使用定性分析和定量分析相结合的方法,依据收集来的因素和过程对IT服务功能和中断的影响程度进行分析,初步确定各项服务的重要程度,如关键服务、重要服务、可暂缓服务等。再然后分析正常运行IT服务和中断后恢复所必须的资源,和资源间的相互关系。最后确定服务的优先级和恢复顺序,以及服务恢复指标,通常使用“恢复时间目标”(RTO)和“恢复点目标”(RPO)做为恢复指标。
具体的实施流程如下:
1)组织与策划
- 建立过程准则
- 过程控制
- 为了确定流程按计划执行,在必要的范围内保留存档信息
2)业务影响分析和风险评估
① 组织应建立、实施和保持一个正式的、形成文件的业务影响分析(BIA)和风险评估过程
- 建立评估的环境、确定标准和中断事件的潜在影响
- 考虑组织遵从的法律要求和其他要求
- 包括系统的分析、风险处置优先级以及相关的成本
- 明确业务影响分析和风险评估所要求的输出
- 提出输出信息更新和波阿妈的要求。
② BIA的活动:
- 识别支持产品和服务额交付的活动
- 评估这些活动中断后随时间推移的影响
- 在最低可接受水平上制定业务恢复优先级时间表,要考虑在某时间内,没有恢复这些业务所造成的影响是不可接受的。
- 识别这些活动间的依赖关系及支持资源,包括供应商、外包方和其他相关方
③ 风险评估
- 识别、分析和评价中断事件给组织带来的风险。
备注:这里要说下笔者对于风险评估和BIA的关系:BIA分析的最终目的是要给业务连续性排优先级,而优先级的输入是风险评估的结果(发生时间的影响和投入产出比)。
3)业务连续性策略
- 确定和选择
- 建立资源要求
- 保护和缓解
- 此部分是根据BIA的结论选择合理的(性价比高的)的措施,例如资源的保障(人、财、物)、实施备份措施(保护和缓解措施,风险应对)、建立互惠协议(风险转移)等等
4)建立和实施业务连续性程序
- 建立适当的内部和外部沟通协议
- 针对业务中断期间需要采取的紧急步骤进行详细规定
- 灵活地应对非预期的威胁和不断变化的内部和外部环境
- 关注可能导致潜在运行中断的事态影响
- 在已提出的假设和在相互依赖的关系分析的基础上进行开发
- 通过实施适当的减缓策略有效地将后果最小化
备注:此过程是针对业务的连续性一旦发生而假定的流程、步骤、配套资源。实际在事件一旦发生后,好的业务连续性管理,直接参考业务连续性开展相关工作,不好的就是两张皮了。
ISO 22301 业务连续性管理体系实施过程和要求
① 事件响应机制:需要根据风险评估结果做好风险处置预案
② 预警和沟通:需要设置风险预警指标,以便在触发风险预警时给启动风险处置预案留下反应时间
③ 业务连续性计划:组织应建立响应中断事件,以及如何在预定的时间内继续或恢复其活动的文件化程序。
- 确定在事件发生时和发生后相关人员和团队的角色和职责
- 一个启动响应的过程
- 处理中断时间所造成额直接后果的详细说明。
- 如何以及在何种情况下组织与员工及其亲属、关键相关方、以及紧急联络人进行沟通
- 组织奖如何在预定的时间里继续和恢复其优先活动。
- 事件发生后,组织的媒体响应的详细说明
- 事件一旦结束后的退出过程。
④ 恢复:组织应有用以在事件发生后从所采用的临时措施中恢复并重新开始业务正常活动的文件化程序。
⑤ 演练和测试:制定完相应的预案后需要进行演练和测试,通过测试找出其中的漏洞加以完善,通过演练,让全员熟悉和适应“应急处置”状态。
5)绩效评估
① 监视、测量、分析和评估
② 内部审核:组织应按照计划的时间间隔进行内部审核,提供信息以表明业务连续性管理体系示范符合相关情况
③ 管理评审:最高管理者应按计划的时间间隔评审组织的BCMS,以确保其持续适宜、充分和有效
6、ISO22301业务连续性管理体系证书
- ISO22301业务连续性管理体系证书有效期为三年,获证企业必须接受认证机构的监督审核,监督审核频率一般为每12个月一次,即一年一次,证书有效期内需接受2次监督审核;
- 证书三年到期的企业,应重新进行再认证审核,并换发新证书。
附 件 1
ISO22301业务连续性管理体系认证咨询
的常规流程
ISO 22301 业务连续性管理体系认证咨询具体实施步骤如下:
- 【启动调研】
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
- 【风险评估】
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
- 【业务影响分析】
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
- 【容灾策略制定】
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
- 【容灾技术方案设计】
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
- 【容灾设施资源及IT系统建设或整改】
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,最终达到容灾的实际要求。
- 【业务连续性计划及灾难恢复计划的制定与维护】
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变更和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
- 【容灾系统运行维护】
运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
- 【演练及测试】
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。
- 【审核/审计】
附 件 2
ISO22301业务联系管理体系认证
审核流程图
ISO22301业务连续性管理体系认证申请、审核流程
附 件 3
ISO22301业务联系管理体系认证及管理说明
- 申请认证的组织应建立符合ISO 22301 标准要求的文件化业务连续性管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系有效、充分运行三个月以上;然后向认证中心提供业务连续性管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况。
- 认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。
- 证书有效期3年,获得认证后每年进行一次监督。
- 当组织的业务连续性管理体系出现变化,或出现影响业务连续性管理体系符合性的重大变动时,应及时通知认证中心。认证中心将视情况进行监督审核、换证审核或复审以保持证书的有效性。
