业务连续性管理体系简称BCMS,ISO22301标准是全球首部业务连续性管理的国际标准,旨在帮助组织建立预案和确保其业务在面对外部威胁时能够持续。ISO22301业务连续性管理体系广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
文章目录
一、什么是业务连续性管理体系
业务连续性管理体系(BusinessContinuityManagementSystems)简称BCMS,业务连续性管理标准是全球首部业务连续性管理(BCM)的国际标准,旨在帮助组织建立预案和确保其业务在面对外部威胁时能够持续,例如自然灾害或者信息安全漏洞。这些日益增长的威胁可能会导致供应链中断,人员流失,或对公司库存或财产造成损害,最终会越过你的底线。
- “业务连续性”的概念来源于计算机技术中的“容灾”和“恢复计划”,是一个组织整体或部分过程持续运行能力的指标。经过多年发展,“业务连续性”已广泛应用于各种规模的生产型和服务型组织,并进一步发展成为“业务连续性管理体系”,成为各个组织整体管理体系中的核心部分。
- BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
- BCMS是多个过程的集合,它将组织管理体系中的各个环节联系并统一起来,为识别的风险制定适宜的风险策略和风险计划,并且为组织制定一套有效的业务连续性计划演练和测量方案。
- BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
二、ISO22301业务连续性管理体系标准
其实,ISO22301并不是一个新的标准,早在2012年国家标准化组织发布ISO 22301:2012标准时就已经全球已经有4000多个组织已经持有了ISO22301的证书。随着该标准在不同的行业中传播,被越来越多的人所熟知。
现行的业务连续性管理体系标准是ISO22301:2019,也就是国际标准化组织(ISO)于2019年10月发布的ISO22301:2019标准,该标准用以替代ISO22301:2012标准。
业务连续性管理体系常用的有两个标准:
- ISO 22301:2019 公共安全 业务连续性管理体系 要求
- ISO 22313:2020 公共安全 业务连续性管理体系 指南
(一)、ISO22301:2019标准构成:
1.范围:解释该标准适用于任何类型的组织。
2.规范性引用文件:引用ISO22300作为标准,其中对ISO22301:2019中使用的某些术语进行了定义。
3.术语和定义:再次参考ISO22300。
4.组织的背景:此部分是PDCA周期中计划阶段的一部分,并定义了了解外部和内部问题,相关方及其要求以及定义BCMS范围的要求。
4.1对组织及其背景的理解
4.2了解有关方面的需求和期望
4.3确定业务连续性管理系统的范围
4.4业务连续性管理系统
5.领导力:此部分是PDCA周期计划阶段的一部分,定义高层管理人员的职责,设置角色,职责和权限以及高层业务连续性策略的内容。
5.1领导和承诺
5.2政策
5.3角色,职责和权限
6.计划:此部分是PDCA周期中计划阶段的一部分,它定义了解决风险和机遇,设置业务连续性目标以及计划对BCMS进行更改的要求。
6.1应对风险和机遇的行动
6.2业务连续性目标和实现这些目标的计划
6.3规划业务连续性管理系统的变更
7.支持:此部分是PDCA周期中计划阶段的一部分,并定义了对资源可用性,能力,意识,沟通和文件和记录控制的要求。
7.1资源
7.2能力
7.3意识
7.4沟通
7.5文件信息
8.运营:此部分是PDCA周期中Do阶段的一部分,定义了业务影响分析,风险评估和处理,业务连续性策略,解决方案,计划和程序,练习程序以及业务连续性文档和评估的实施。实现业务连续性目标的能力。
8.1运作计划与控制
8.2业务影响分析和风险评估
8.3业务连续性策略和解决方案
8.4业务连续性计划和程序
8.5锻炼计划
8.6业务连续性文档和功能的评估
9.绩效评估:此部分是PDCA周期检查阶段的一部分,并定义了监视,度量,分析,评估,内部审核和管理评审的要求。
9.1监控,测量,分析和评估
9.2内部审核
9.3管理评审
10.改进:此部分是PDCA周期中法案阶段的一部分,它定义了不合格,纠正,纠正措施和持续改进的要求。
10.1不合格和纠正措施
10.2持续改进
(二)、ISO22301:2019标准的“术语和定义”
1.业务连续性businesscontinuity
在中断事件发生后,组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。
2.业务连续性管理businesscontinuitymanagement
识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动
3.业务连续管理体系
用于建立、实施、运行、监视、评审、保持和改进业务连续性,是一个组织整个管理体系的一部分。
4.业务连续性计划
用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形式文件的程序
5.业务影响分析(BIA)
分析活动和业务中断可能带来的影响的过程
6.事件icident
可能或将导致中断、损失、紧急情况或危机的情况
7.最长可接受中断事件MAO
不能提供产品/服务,或者活动无法进行可能带来的负面影响,变得不能接受之前的时间。
8.最长可容忍中断时间MTPD
不能提供产品/服务,或者活动无法进行可能带来的负面影响,变得不能容忍之前额时间。
9.最小业务连续性目标MBCO
在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和(或)产品。
10.互助协议mutualaidagreement
两个或多个实体为了互相帮助而预先达成的共识
11.恢复点目标recoverypointobjective;RPO
为使活动能够恢复进行,而必须将该活动所用的信息恢复到某时间点。
12.恢复时间目标recoverytimeobjective;RTO
事件发生后到下列活动完成之间的时间段。产品或服务必须恢复,或活动必须恢复,或资源必须复原,
三、ISO22301业务连续性管理体系实施流程
BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
“业务影响分析”(简称BIA)是BCMS的核心过程之一,它通过评估组织的产品或服务活动发生中断时所产生的影响程度,来确定产品或服务的优先级、恢复顺序和指标。BIA包括业务范围界定和数据采集分析、业务重要性分析、资源分析、确定优先级和恢复顺序等几个步骤。
以IT服务企业为例,BIA首先要确定BCMS的覆盖范围,包括SLAs、多场所,并通过人员访谈、讨论和问卷调查等方法收集组织内部及相关方中曾经发生和有可能发生的影响IT服务“业务连续性“的因素和过程,包括软硬件配置、人员能力、法律法规、客户需求、电力和消防等支持系统。然后使用定性分析和定量分析相结合的方法,依据收集来的因素和过程对IT服务功能和中断的影响程度进行分析,初步确定各项服务的重要程度,如关键服务、重要服务、可暂缓服务等。再然后分析正常运行IT服务和中断后恢复所必须的资源,和资源间的相互关系。最后确定服务的优先级和恢复顺序,以及服务恢复指标,通常使用“恢复时间目标”(RTO)和“恢复点目标”(RPO)做为恢复指标。
具体的实施流程如下:
1)组织与策划
- 建立过程准则
- 过程控制
- 为了确定流程按计划执行,在必要的范围内保留存档信息
2)业务影响分析和风险评估
①组织应建立、实施和保持一个正式的、形成文件的业务影响分析(BIA)和风险评估过程
- 建立评估的环境、确定标准和中断事件的潜在影响
- 考虑组织遵从的法律要求和其他要求
- 包括系统的分析、风险处置优先级以及相关的成本
- 明确业务影响分析和风险评估所要求的输出
- 提出输出信息更新和波阿妈的要求。
②BIA的活动:
- 识别支持产品和服务额交付的活动
- 评估这些活动中断后随时间推移的影响
- 在最低可接受水平上制定业务恢复优先级时间表,要考虑在某时间内,没有恢复这些业务所造成的影响是不可接受的。
- 识别这些活动间的依赖关系及支持资源,包括供应商、外包方和其他相关方
③风险评估
- 识别、分析和评价中断事件给组织带来的风险。
备注:这里要说下笔者对于风险评估和BIA的关系:BIA分析的最终目的是要给业务连续性排优先级,而优先级的输入是风险评估的结果(发生时间的影响和投入产出比)。
3)业务连续性策略
- 确定和选择
- 建立资源要求
- 保护和缓解
- 此部分是根据BIA的结论选择合理的(性价比高的)的措施,例如资源的保障(人、财、物)、实施备份措施(保护和缓解措施,风险应对)、建立互惠协议(风险转移)等等
4)建立和实施业务连续性程序
- 建立适当的内部和外部沟通协议
- 针对业务中断期间需要采取的紧急步骤进行详细规定
- 灵活地应对非预期的威胁和不断变化的内部和外部环境
- 关注可能导致潜在运行中断的事态影响
- 在已提出的假设和在相互依赖的关系分析的基础上进行开发
- 通过实施适当的减缓策略有效地将后果最小化
备注:此过程是针对业务的连续性一旦发生而假定的流程、步骤、配套资源。实际在事件一旦发生后,好的业务连续性管理,直接参考业务连续性开展相关工作,不好的就是两张皮了。
ISO22301业务连续性管理体系实施过程和要求
①事件响应机制:需要根据风险评估结果做好风险处置预案
②预警和沟通:需要设置风险预警指标,以便在触发风险预警时给启动风险处置预案留下反应时间
③业务连续性计划:组织应建立响应中断事件,以及如何在预定的时间内继续或恢复其活动的文件化程序。
- 确定在事件发生时和发生后相关人员和团队的角色和职责
- 一个启动响应的过程
- 处理中断时间所造成额直接后果的详细说明。
- 如何以及在何种情况下组织与员工及其亲属、关键相关方、以及紧急联络人进行沟通
- 组织奖如何在预定的时间里继续和恢复其优先活动。
- 事件发生后,组织的媒体响应的详细说明
- 事件一旦结束后的退出过程。
④恢复:组织应有用以在事件发生后从所采用的临时措施中恢复并重新开始业务正常活动的文件化程序。
⑤演练和测试:制定完相应的预案后需要进行演练和测试,通过测试找出其中的漏洞加以完善,通过演练,让全员熟悉和适应“应急处置”状态。
5)绩效评估
①监视、测量、分析和评估
②内部审核:组织应按照计划的时间间隔进行内部审核,提供信息以表明业务连续性管理体系示范符合相关情况
③管理评审:最高管理者应按计划的时间间隔评审组织的BCMS,以确保其持续适宜、充分和有效
四、ISO22301业务连续性管理体系认证条件及所需资料清单
1、认证必备条件
(1)“业务连续性管理体系”运行三个月;
(2)已充分的识别了风险并评估了对业务的影响程度;
(3)已制定完备的业务连续性计划并有效实施。
2、认证所需资料清单
(1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
(2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
(3)适用的法律法规的标准的清单;
(4)取得相关法规规定的行政许可文件(适用时);
(5)业务影响分析报告、风险评估报告和业务连续性计划;
(6)BCMS体系文件,包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件;
(7)管理体系认证申请书。
