《业务持续性管理》由会员分享,可在线阅读,更多相关《业务持续性管理(28页珍藏版)》请在金锄头文库上搜索。
1、BS 25999-1:2006 英国标准 业务持续性管理第二部分:规范ICS 03.100.01前言这份英国标准是由英国标准化协会(BSI)发布并生效。它是在BCM/1技术委员会监督下由BCM/1/-/2小组提交的业务持续性管理文档。可以通过秘书获得委员会中提到的组织名单。这份英国标准由业务持续性领域广大业内专家所开发,凝聚了他们在业务持续性管理(BCM)方面的理论、技术和实践经验。这份标准已经被用于定义业务持续性管理的体系方法方面的要求,而这些方法源自遍布工业、商业、公共事业和非官方领域的大中小型组织的最佳实践。BS25999由两部分组成:-第一部分:业务持续性管理实践准则-第二部分:业务持
2、续性管理规范这份标准中定义的需求已经作为原则和惯例包含在BS25999-1中。这份英国标准提供了满足内部和外部组织使用的详细说明,包括帮助组织提升能力以达到监管要求的认证部分内容、客户和组织自身的要求。英国标准仅仅包含了那些能被客观审计的要求。那些需要在更广泛业务持续性管理问题上得到指导的组织可以参考BS25999-1。这份英国标准中提到的成功案例可以用于组织保障他们重要部门的业务持续性管理体系就位。与现代管理体系标准的共同之处在于,这份标准也使用规划-执行-控制-改进(PDCA)模型来开发、实现和改进组织业务持续性管理体系的有效性。这份出版物不易为这包含所有必要的合同事项,用户有责任自行正确
3、应用。遵从英国标准并不表示组织可以免除自身法律义务。页码摘要:这份文档由封面、内部封面、i到v页、1到19页和底页组成。简介总则这份英国标准详细说明了通过建立和管理有效的业务持续性管理体系来定义业务持续性管理程序的要求。它强调了以下内容的重要性:a) 理解业务持续性的需求和建立业务持续性政策和目标的必要性;b) 组织整体业务持续性风险管理的实施和操作控制;c) 监控和评审BCMS的绩效和有效性;d) 基于目标持续改进的方法。管理体系包括:a) 职责明确的人员;b) 有关管理过程:1) 政策;2) 规划;3) 实施和操作;4) 绩效评估;5) 改进;6) 管理评审;c) 一组提供审计依据的文档;
4、d) 与业务持续性主题有关的专门议题的过程,如BIA,业务持续性预案开发等。规划-执行-控制-改进(PDCA)模型本标准采用“Plan-Do-Check-Act”(PDCA)方法来建立、实施、操作、监视、演练、维护和改进组织BCMS的效用。在一定程度上,这确保了与其它管理体系标准的一致性,如BS EN ISO9001-2000(质量管理体系)、BS EN ISO 14001-1996(环境管理体系)、BSI/IEC 27001:2005(信息安全管理体系)、BS ISO/IEC 20000-2:2005(IT服务管理),以及支持与有关管理体系相一致的综合实施与操作(见附录A)。图一说明了BCM
5、S如何获取业务持续性需求和重要部门的期望,并通过必要的措施和过程来得到业务持续性成果(如可管理的业务持续性),从而满足那些需求和期望。图一(略)规划(Plan)建立业务持续性政策、目标、对象,与风险管理和改进业务持续性有关的过程和手段来达到与组织整体政策和目标相一致的结果。执行(Do)实施与操作业务持续性的政策、控制、过程和手段。控制(Check)评估并且在任何应用的地方都要度量阻碍业务持续性政策,目标和实际运行的过程绩效,并将结果上报管理评审。改进(Act)基于管理评审的结果,采取纠正和预防措施来取得BCMS的持续改进。BS25999-1推荐了与PDCA模型每个活动相结合的一个广泛接受的方法
6、,并在图二中做了描述。这个迭代过程保障了业务持续性在组织中得以建立并被持续管理。PDCA过程保障了BCMS持续管理能够与图二所示BCM程序管理保持同步。图二(略)目 录1 范围62 引用标准73 术语和定义84 规划业务持续性管理体系134.1 通则134.2 建立和管理BCMS134.2.1 需求134.2.2 供应商和外包活动134.2.3 BCM政策134.2.4 资源提供134.2.5 培训,意识和能力144.3 将BCM植入组织文化144.3.1 管理与培训144.4 BCM文档和记录154.4.1 BCMS文档154.4.2 BCMS记录155 实施和运作BCMS175.1 理解组
7、织175.1.1 业务影响分析175.2 风险评估175.2.1 风险评估过程175.2.2 确定选择185.3 确定业务持续性策略185.4 开发和实施BCM响应185.4.1 突发事件响应结构185.4.2 预案195.5 演练和维护BCM安排205.5.1 总则205.5.2 BCM演练205.5.3 维护BCM安排216 监控和评审BCMS226.1 BCMS评审226.2 BCMS管理评审226.2.1 总则226.2.2 评审输入226.2.3 评审输出237 维护和改进BCMS247.1.1 持续改进247.1.2 纠正措施247.1.3 预防措施24附录A(更多信息)25参考书
8、目281 范围这份英国标准定义了建立、实施、操作、监视、评审、演练、维护和改进组织整体业务风险管理内容的BCMS文档的要求。这份英国标准定义的需求是通用的,可用于所有组织(或则他们中的一部分)而不管它们的类型、规模和业务门类。这些需求适用的宽度依赖于组织运行环境和复杂性。因此,设计实现满足这些标准需求的BCMS会受到监管者、客户和业务需求、产品和服务、雇佣过程、组织规模和结构的影响。这份英国标准并非想要暗示整齐划一的BCMS结构,而是想要组织规划一个BCMS来满足他自身需求和利益相关人的需求。这份英国标准可用于内外部团体,包括认证团体,来评估组织满足自身业务持续性需求的能力,以及任何客户,法律
9、和监管方面的需要。2 引用标准对于这份文档,下面这些参考文档是必不可少的。那么对于标明日期的参考文档,表示仅引用了对应时期的版本。对于未标明日期的参考文档,表示引用了最新的版本。BS 25999-1:2006,业务持续性管理-第一部分:实践准则BS EN ISO 9001:2000,质量管理体系-需求说明BS ISO/IEC 17799:2005,信息技术-安全技术-信息安全管理实践准则ISO指南73:2002,风险管理-术语-标准使用指南BS ISO/IEC 20000-1:2005,信息技术-服务管理-第一部分:需求说明BS ISO/IEC 20000-2:2005,信息技术-服务管理-第
10、二部分:实践准则BS ISO/IEC 27001:2005,信息技术-安全技术-信息安全管理体系-需求说明3 术语和定义BS25999的这部分内容用于描述如下定义。3.1 活动(activity)组织(或其代表)采取的过程步骤或它们的集合用来生产或支持一个或更多的产品或服务。3.2 业务持续性(business continuity)组织计划和应对突发事件及业务中断的战略、战术能力,用于在可接受的预定义水平上保持业务持续运营。3.3 业务持续性管理(business continuity management, BCM)识别组织面临的潜在威胁和这些威胁对业务运营影响的整体管理过程。如果能够实现
11、BCM,它就可以为组织弹性运营提供一个框架,从而具备有效响应和维护关键利益相关人的利益、声誉、品牌和价值创造活动的能力。3.4 业务持续性管理生命周期(BCM lifecycle)全面覆盖业务持续性管理程序的所有方面和阶段的一系列业务持续性活动。说明:图二说明了业务持续性管理生命周期。3.5 业务持续性管理程序(BCM programme)由最高管理层和适当资源支持的常态管理和治理过程,保证采取必要步骤来识别潜在损失的影响,维护可行的恢复策略和预案,并通过培训、演练、维护和评审来保证产品和服务的连续性。3.6 业务持续性预案(business continuity plan, BCP)程序和有
12、关信息的文件集合,被开发,汇编和维护用于在突发事件中保障组织能够在可接受的预定义的水平上持续交付其关键活动。3.7 业务持续性策略(business continuity strategy)组织采用的方法,用于面对灾难或其它重大突发事件或业务中断时保障业务恢复和连续性。3.8 业务影响分析(business impact analysis)分析业务功能的过程,以及业务中断可能造成的影响。3.9 国内紧急事件(civil emergency)严重威胁和损害英国境内社会安全,英国境内环境,整个英国或境内国家安全的事件或情况。【国内紧急状态法 2004(1)】3.10 后果(consequence)
13、影响组织目标的突发事件带来的结果。3.11 成本-效益分析(cost-benefit analysis)用于测算实施一个特定解决方案和比较该方案获益的财务方法。说明:获益可以用财务、声誉、服务交付、监管或其他对组织适当的术语来定义。3.12 关键活动(critical activities)为了交付关键产品和服务来保障组织满足它的最重要和时间敏感目标的那些必须履行的活动。3.13 中断(disruption)一种事件,无论预期的(例如罢工或飓风)或无法预料的(例如灯火管制或地震),都会造成计划外的和背离组织目标期望的产品或服务交付的消极影响。3.14 应急规划(emergency planni
14、ng)开发与维护达成一致的程序来预防、减少、控制、减轻和其他措施应对国民突发事件的影响。3.15 演练(exercise)对业务持续性预案中的部分或全部活动进行排练来保证该预案包含了适当的信息和投入使用时带来想要的结果。3.16 收获(gain)积极的后果。3.17 影响(impact)对特定结果的评估结论。3.18 突发事件(incident)可能导致业务中断,造成损失、紧急情况或危机的情形。3.19 突发事件管理预案(incident management plan)清晰定义并文档化的用于突发事件发生时的行动计划,典型的突发事件管理预案覆盖了关键人员、资源、服务和实施管理过程所需要的措施。
15、3.20 宣告(invocation)组织为了持续交付关键产品或服务而宣布业务持续性预案生效的活动。3.21 可能性(likelihood)某事发生的可能性,无论是否定义,测量或经主客观的评估,或用于一般性描述(例如稀少的,不可能,可能,基本可靠),频度或数学概率。3.22 损失(loss)消极的后果。3.23 最大容忍中断时间(maximum tolerable period of disruption)在组织的生存能力受到威胁后,如果产品和服务交付不能重续,组织能够生存的时间。3.24 组织(organization)对责任、权限和关系做了安排的人员和设施的团体。例子:公司,社团,商户,企业,机构,慈善团体,个体户或协会,或他们中的一部分或组合。3.25
