/ 中存储网

BS 25999 英国BCM标准介绍及BS25999两部分下载

2010-01-26 11:43:19 来源:中存储

BCM的由来

9.11”大家都知道,但是很少有人知道受“9.11”灾难影响的1200家公司中,有400家迅速启动业务连续性计划(BCP),一个典型的案例是,几天之后,摩根士丹利就在新泽西州恢复了营业。

根据IDC的一项关于1990-2000年10年间公司遭遇灾难情况的统计,灾难发生后,由于数据丢失或者企业没有业务连续性计划,55%的公司当时即宣告倒闭,剩下的45%中,有29%的公司在两年内倒闭。

对于企业来说,通过灾难备份来实现业务连续性管理(BusinessContinuityManagement),已经成为企业提高风险防范能力,有效应对非计划的业务破坏,并降低不良影响的重要举措。

在BCM业务持续管理方面,英国标准协会(BSI),业务持续学会(BCI)、持续性论坛、风险管理经理人协会(ALARM)、美国NIST等组织都有深入的研究。近几年,由英国标准协会(BSI,BritishStandardsInstitution)联合来自政府、企业界、学术界等各方面专家组成的技术委员会制订的BS25999备受关注。

BS 25999英国标准

BS 25999是英国标准协会(British Standards Institution, BSI)发布的业务连续性管理标准,全名:Code of Practice for Business Continuity Management(BCM实践指南-指引文件)针对营运持续管理的议题,提出的管理规范与认证标准。

其主要的目的是指导各类型组织与企业,辨识可能造成组织营运中断或失效的威胁事件,透过资源准备与控制措施,以建置组织针对这类事件的预防应变体系。目的就是使业务连续性管理有章可循。作为一套整体的管理标准和管理流程,BS 25999标准协助企业进行业务冲击分析及风险分析,并将其量化,继而开发制定各种相应应急及恢复计划、方法和流程,减轻灾难事件对企业造成的不利影响。

BS 25999这样描述业务连续性管理“业务连续管理是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。业务连续性管理是比灾难恢复更高一层面的概念。

BS 25999共分为两部分

BS25999-1:2006 下载

第一部分:BCM实践指南-指引文件

帮助企业建立相应的准备机制。这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期,过程的评价以及更新文件系统,业务持续管理的选项,以及实施业务持续管理的方法和战略。

BS 25999-2:2007 下载

第二部分:BCM规范

对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。

BS 25999标准发展历程

PAS56:2003

是一份业务连续性管理的指南。从标题上可见,2003年由BSI发布的。在英国的BCI(Business Continuity Institution)的《业务连续性管理:最佳惯例指南》基础上,说明了业务连续性管理的过程、原则和术语,描述了确定业务连续性管理过程中的活动和结果,并提供了一系列关于最佳业务连续性管理的建议、事件预期、事件反应、评估技术/标准。

BS25999-1:2006

第一部分:BCM实践指南-指引文件

帮助企业建立相应的准备机制。这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期,过程的评价以及更新文件系统,业务持续管理的选项,以及实施业务持续管理的方法和战略。

BS25999-2:2007

第二部分:BCM规范。对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。

BS 25999标准实施步骤

BS 25999把业务连续管理框架分成六个部分,分别为BCM管理程序,理解组织,决定战略,开发并实施BCM响应,演练、维护和评审回顾,以及把BCM植入组织文化。参考这六个步骤,组织可以建立自己的BCM管理框架,在正常是做好准备,在灾害发生时能够从容应对,灾害后能尽快恢复。

BCM管理程序—包括职责的分配,在组织中实施和持续管理。BCM方案管理—包括职责的分配,在组织中实施和持续管理。

了解你的组织—了解组织的产品和服务,识别关键活动,搞清楚其供应链上的依赖关系;

确定BCM战略--找出业务最大容忍的中断时间,这是非常关键的一步,最大中断时间要满足行业监管和利益相关方的要求,也意味着资源的投入,包括人员,场所,设备,技术,供应商,利害相关方,信息;

开发和实施BCM响应--根据企业的规模大小,可能有一个或多个连续性的计划。针对不同业务的特殊部分或者特殊的场所和情形,计划要详细而不冗长,可读可执行。包括事件的应急处理计划,连续性计划和灾难恢复计划等内容。

演练维护和评审--通过演练证明BCM的计划是有效的,并不断地维护保持更新。新的灾难场景和新的业务类型都会造成BCM的改变。演练的方法包括桌面到部分或全部模拟演练等各种形式,成本费用和产生的演练效果是不同的。

把BCM植入组织文化--BCM应对的就是小概率大灾难事件,只有通过不断的意识培训和演练来加强全体员工的应变能力。高层要明确职责分配,确保BCM成为企业核心价值和企业文化的一部分。

BS 25999介绍

BS 25999是英国标准协会所推动的业务持续管理体系标准(BCMS, Business Continuity Management System)。BS25999 分为BS25999-1和BS25999-2两部分: 

BS 25999-1:2006 Code of practice for business continuity management 业务持续管理实施准则(2006年11月发布)——主要是作为参考文件,提供广泛性的业务持续实施指南,作为现行业务持续的最佳操作指南,但不作为评审认证标准。 

BS 25999-2:2007 Specification for business continuity management system 业务持续管理体系要求(2007年11月发布)——提供业务持续管理体系(BCMS)之建立实施与书面化的具体要求,包括建立组织业务持续管理体系所需要的PDCA管理架构及广泛的业务持续措施,同时作为认证标准。 

2008年4月,BSI就BS25999标准在中国首次举行发布会。 

就业务连续性,中国国家相关部门也提出过系列要求。例如,早在2003年,国信办27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》,提出了对信息安全的保护要求;2004年,国信办发布《关于做好国家重要信息系统灾难备份的通知》,明确金融、电信、证券、保险、民航、铁路、税收、海关等八大部门和广电网、电信网、互联网三大信息基础设施等要做好灾难恢复的需求分析工作和加速推进灾难恢复基础设施的建立;2005年,国信办发布《信息系统灾难恢复指南》,作为对灾备的指导;国资委要求中央企业在2006年年底前完成应急预案编制;国家安监总局在2006年9月发布《生产经营单位安全生产事故应急预案编制导则》,提出力争到2007年底,形成覆盖全面的企业应急预案体系、健全的企业应急保障体系,建立企业应急管理机制。虽然国内针对业务连续的研究、标准或要求的制订起步较晚,而且与国外存在一定差距,但是可以看出,也在积极努力赶上。 

随着国内企业越来越依赖信息系统,以及日益复杂的环境——例如2008年初的冰冻雪灾、3月西藏等地的打砸抢烧事件、5月的四川汶川地震,企业业务安全运行面临严峻挑战,一旦业务中断、信息丢失,则可能给企业造成致命打击。因此,无论是企业自身发展需要、监管机构要求、客户推动等因素,企业应居安思危,借鉴国内外先进的管理经验,根据自身业务特点建立业务持续管理体系,确保在遭受意外停电、计算机病毒、火灾、地震等事故或灾难后,及时启动企业的业务连续性计划,把损失降至最低,并能在可接受的时限内恢复业务正常运行。 

BS 25999业务持续管理体系正是在这复杂多变的外部环境和市场需求情势下产生,无疑,BS 25999将是国内外企业建立业务持续体系时的一个很好的框架;而且在经济全球化的今天,建立业务持续体系是企业获取客户信赖和建立良好合作的重要基础,因此,BS 25999的应用也将很具潜力。