/Store/image/0/7637/76375795_1.jpg
ISO 22301业务连续性管理咨询
服务类型 :

分类 : 咨询服务

产品详情

SO22301业务连续性管理咨询
随着企业信息化的发展和企业数据大集中的实施,企业IT系统和业务的连续性受到越来越多的关注,尤其是对于银行、保险、证券、电力、能源、交通等领域关系国计民生的关键信息系统,如果没有进行灾难备份或业务连续性管理(BCM)体系建设,在遭受突发灾难时后果不堪设想。
国际标准化组织于2012年5月15日发布了业务连续性管理(Business Continuity Management,简称:BCM) 国际最新标准 — ISO 22301。作为它的前身,国际公认的由BSI发布的BCM英国标准BS 25999将于2012年9月正式被ISO 22301取代。ISO 22301管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。与BS 25559相比,ISO 22301拥有更高的国际认可度,它强调制定目标、监测表现和指标、对企业管理层提出了更加清晰的期望值,对业务连续性计划的制定提出了更高的要求。
业务连续性管理的概念其实很早就已经提出了,它是特指一种整体管理流程。该流程的目标在于及早确定可能发生的冲击对企业运作造成的威胁,并提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳、有序。相比较而言,业务连续性管理比灾难备份/恢复更高一层,涉及到组织架构、人员、流程等方方面面,BCM体系的建设内容大致可以包含六个方面(如下图):

梵禅信息基于独有PROC方法论为客户实施业务连续性管理体系建设项目,并依据通用质量管理原则向客户提出如下4个方面的建议:
1) 确保高层领导不间断地投入业务连续性管理工作,带动全员参与业务连续性活动,高层对企业的观察最为全面,全员则是企业每一个管理活动的实施主体,双方的合力必将确保业务连续性在整个企业内顺利推行;
2)不要忽视演练和测试,即使在未发生实际事件的情况下,演练也是找出计划漏洞的最佳方式,确保连续性策略、规范、预案、计划、演练和测试记录和过程评审的有效性,将使企业从容应对各种意外事件;
3) 开展彻底的风险评估和业务影响分析,包括分析所有外部和内部的依存关系,尤其是深入分析企业的供应链。
4) 与其他管理体系进行有机融合,将不同侧重的管理思想和方式依照组织愿景整合成适合企业经营的独有运行模式,关注企业业务连续性的同时,也不忽视成本、客户满意度和人员发展等企业其他竞争要素。
典型的ISO22301体系认证项目,实施过程通常包含以下活动:
调研和准备:确定业务连续性管理范围和目标;进行业务连续性管理体系规划;明确体系建设的参与者,确定各方期望的收益;组织交流,寻求咨询顾问、培训机构等外部资源协助;获得高层管理者的支持; 选定咨询机构和认证机构。
评估和策划:进行预评估,了解现状并进行差距分析;明确需要改进的方面;制定整体计划,获得相关方面的支持和承诺。
实施和改进:根据ISO22301实施规范进行详细的业务影响度分析和风险评估;根据企业愿景和经营策略,制定具体的业务连续性管理策略、流程和操作程序;教育培训和宣传推广;实施业务连续性管理流程;定期进行演练、测试和回顾(内审和管理评审);改进业务连续性管理策略、流程和程序;
审核和认证:如有必要,联系认证机构进行预审核,并为正式审核约定时间;与认证机构充分交流以建立对审核范围、审核内容的共同理解;准备审核所需要的“证据”:文档和记录等;实施第一阶段审核:离场的对文档和流程的审核;实施第二阶段审核:现场的对员工和流程的审核;通过审核并获得证书。
维护和复审:ISO22301认证的有效期为三年,每三年需要进行一次全面的认证审核,这期间每年都须由认证机构进行“监督审核”,以确保认证质量和服务管理的持续改进。此外,组织还需要根据ISO22301的要求,定期进行内审和管理评审。
BS25999曾经这样描述过业务连续性管理体系特性,并已经成为业界共识,“业务连续管理是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”