一、什么是ISO22301
業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement,簡稱:BCM)最新國際標(biāo)準(zhǔn)IS022301(前身BS25999),是能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃,使企業(yè)對潛在的災(zāi)難加以辨別分析,幫助其確定可能發(fā)生的沖擊對企業(yè)運(yùn)作造成的威脅,并提供一個(gè)有效的管理機(jī)制來阻止或抵消這些威脅,減少災(zāi)難事件給企業(yè)帶來損失。它強(qiáng)調(diào)制定目標(biāo)、監(jiān)測表現(xiàn)和指標(biāo)、對企業(yè)管理層提出了更加清晰的期望值,對業(yè)務(wù)連續(xù)性計(jì)劃的制定提出了更高的要求。
二、怎么實(shí)施ISO22301
具體實(shí)施時(shí),將分為10個(gè)步驟進(jìn)行實(shí)施:
1.啟動(dòng)調(diào)研
通過對企業(yè)的組織架構(gòu)、管理流程、業(yè)務(wù)運(yùn)作模式和IT支持系統(tǒng)進(jìn)行考察和調(diào)研,以確定業(yè)務(wù)持續(xù)性管理(BCM)過程或功能的需求。
2.風(fēng)險(xiǎn)評估
確定可能造成機(jī)構(gòu)及其設(shè)施中斷和災(zāi)難、具有負(fù)面影響的突發(fā)事件和周邊環(huán)境因素,以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達(dá)到消減風(fēng)險(xiǎn)的目的。
3.業(yè)務(wù)影響分析
確定由于中斷和預(yù)期災(zāi)難可能對機(jī)構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、其恢復(fù)優(yōu)先順序和相互依賴性以便確定恢復(fù)時(shí)間目標(biāo)。
4.容災(zāi)策略制定
在本階段,結(jié)合以上各階段的分析成果,以及在容災(zāi)上的投入能力,制訂企業(yè)系統(tǒng)短期、長期范圍內(nèi)的容災(zāi)策略和目標(biāo),并有意識(shí)地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。
5.容災(zāi)技術(shù)方案設(shè)計(jì)
根據(jù)容災(zāi)策略,以及業(yè)務(wù)連續(xù)性計(jì)劃和各系統(tǒng)的RTO和RPO指標(biāo),考慮成本和收益平衡原則,分別設(shè)計(jì)容災(zāi)方案。
6.容災(zāi)設(shè)施資源及 IT 系統(tǒng)建設(shè)或整改
對容災(zāi)中心的設(shè)施資源進(jìn)行詳細(xì)的規(guī)劃和設(shè)計(jì),容災(zāi)中心的建筑工程、中心環(huán)境(外部與內(nèi)部)、機(jī)房結(jié)構(gòu)、物理安全、交通流向組織、電力供應(yīng)與保障等環(huán)節(jié)都要按照容災(zāi)的實(shí)際需求進(jìn)行科學(xué)的分析,最終達(dá)到容災(zāi)的實(shí)際要求。
7.業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)計(jì)劃的制定與維護(hù)
業(yè)務(wù)恢復(fù)團(tuán)隊(duì)和業(yè)務(wù)恢復(fù)團(tuán)隊(duì)分別執(zhí)行應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃、業(yè)務(wù)恢復(fù)計(jì)劃,運(yùn)營管理團(tuán)隊(duì)負(fù)責(zé)容災(zāi)系統(tǒng)的運(yùn)營管理和日常維護(hù)、問題收集和解決、系統(tǒng)變申和測試演練等工作,后勤保障和人力資源保障提供支持,從而達(dá)到容災(zāi)設(shè)計(jì)的目標(biāo)。
8.容災(zāi)系統(tǒng)運(yùn)行維護(hù)
運(yùn)行業(yè)務(wù)連續(xù)性計(jì)劃,包括日常管理和首次演練等。并建立相應(yīng)的管理制度。
9.演練及測試
對預(yù)案和預(yù)案間的協(xié)調(diào)性進(jìn)行演練、并評估和記錄預(yù)案演練的結(jié)果。制定維持持續(xù)性能力和 BCP文檔更新狀態(tài)的方法使其與機(jī)構(gòu)的策略方向保持一致。通過與適當(dāng)標(biāo)準(zhǔn)的比較來驗(yàn)證 BCP的效率,并使用簡明的語言報(bào)告驗(yàn)證的結(jié)果。
10.審核/審計(jì)
培訓(xùn)內(nèi)審員,進(jìn)行內(nèi)部審核,并在適當(dāng)時(shí)機(jī)邀請外部審核機(jī)構(gòu)對業(yè)務(wù)連續(xù)性管理體系進(jìn)行審核/審計(jì)。