《ITILv3研究_业务连续性管理BCM简介-翰纬IT管理》由会员分享,可在线阅读,更多相关《ITILv3研究_业务连续性管理BCM简介-翰纬IT管理(18页珍藏版)》请在金锄头文库上搜索。
1、编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页翰纬IT管理研究咨询中心 保 密 助您实现卓越的IT运营。翰纬IT管理研究咨询中心业务连续性管理BCM简介ITILv3研究翰纬IT管理研究咨询中心地 址:上海市浦东新区蓝村路新都花园2号楼10层电 话:021 5873 2485/3041传 真:021 5873 0948邮 编:200 127电 邮:网 址:版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海翰纬信息管理咨询有限公司所有,受到有关产权及版权法保护。任何单位和个人未经上海翰纬信息管理咨询有
2、限公司的书面授权许可,不得复制或引用本文件的任何片断,无论通过电子形式或非电子形式。Copyright 2007 上海翰纬信息管理咨询有限公司 版权所有文档信息项目名称:业务连续性管理BCM简介项目编号:项目经理:项目阶段:文档名称:ITILv3研究文档编号:文档起草人:叶晶起草日期:2007-11-13当前版本编号:V1.0版本日期:2008-1-4相关文档:分发名单来自 From日 期电话/传真/Email给 To行 动*截止日期电话/传真/Email*:行动类别:批准,复审,通知,存档,修改,其它(请指明)版本记录版本号版本日期修改者说 明文件名前言本文档用于个人2008年研究计划(参见
3、文档“2008研究计划v1.0(Final)_YJ.doc”)阶段性成果汇报。目的在于围绕调查产品线,梳理ITIL调查产品可能用到的核心模型或评估方法。简介的编排结构如下:q X.1书籍定位指出该模型或方法在ITIL v2或ITIL v3核心书籍中出现的位置;q X.2理论起源及定义追溯该模型或方法产生的根源,进一步理解模型或方法的抽象定义;q X.3评估模型及指标具体说明该模型或方法与调查产品的结合点,并归纳评价指标;q X.4实施方法及应用实例简要说明该模型或方法如何实施,并给出重点调查行业(金融、电信、政府、制造等)应用的案例;q X.5参考文献列举引用的参考文献和重要的参考网站。3.
4、BCM / BS25999 3.1 书籍定位 GlossaryService Strategy(P235), Service Design(P292), Continual Service Improvement(P193) Service Strategy(P36)3.1.5.3 Continuity(3.1.5 Communicating warranty) Service Design4.5 IT SERVICE CONTINUITY MANAGEMENT(P125)6.4.8 IT Service Continuity Manager(P195)Appendix F: Sample S
5、LA and OLA Service Continuity Management(P254) Service Operation(P77)4.6.8 IT Service Continuity Management Continual Service Improvement(P122)5.6.3 IT Service Continuity Management3.2 理论起源及定义3.2.1 BCM定义 ITIL v3中的定义OGC官方发行的ITILv3中把业务连续性管理(BCM,Business Continuity Management)定义为:负责管理可能严重影响业务的风险的业务流程。B
6、CM保障主要利益相关者的权益、声誉、品牌和创造价值的活动。BCM流程涉及到的风险降低到可以接受的程度,并为业务可能发生的中断的业务流程做规划。BCM为IT服务连续性管理设定目标、范围和要求。(服务设计)1 BS25999中的定义BCM英国标准即BS25999把BCM定义为:BCM识别组织潜在威胁和运营这些威胁所产生影响的整体管理流程。如果潜在威胁变成现实,则可能导致损失,BCM提供构建组织恢复的框架。这个框架具备有效应答能力而维护关键利益相关者利益、名誉、品牌和创造价值的活动。2 GDS网站上的定义万国数据(GDS,Global Data Solutions)官方网站上对BCM的解释是:BCM
7、是对企业的潜在风险加以评估分析,确定其可能造成的威胁,并建立一个完善的管理机制来防止或减少灾难事件给企业带来的损失。业务连续性管理是一项综合管理流程,它使组织机构认识到潜在的危机和相关影响,制定响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范与抗击打能力,以有效地减少业务破坏并降低不良影响,保障企业的业务得以持续运行。业务连续性规划(BCP)是实现BCM的基础环节和重要保障。33.2.2 BS25999简史(1)PAS56PAS是“Publicly Available Specification”的简称,是通常使用在正式标准发布前的标准。PAS56是BS25999的前身,于20
8、03年3月份由英国标准协会(BSI,British Standards Institution)发布,官方名称为“业务连续性管理指南”。PAS56文档在BS25999正式发布后撤销。4PAS56这份指南建立了BCM的流程、原理和术语。具体地说,PAS56描述了建立业务连续性管理流程过程中以及产出结果的活动,并提供了一系列最佳实践的建议。PAS56为事件的预期和响应提供了一个整体性的管理框架,同时也描述评价方法和标准。5PAS56通过下面这种组织方式大致描述了BCM组件的关系,如图3-1所示12。图3-1 PAS56对BCM的组织(2)BS25999-12006年11月,BSI发布了一套官方标准
9、用来替代PAS56,这就是BS25999-1。它通过BSI(附属委员会BCM/1/-/2)产生,由来自多个组织和行业实体的代表组成,其他群体则在开发过程中提供附加参考。5BS25999-1实质上是建立业务连续性管理原则、术语和流程的指南。它覆盖了适用于建立连续性管理流程的活动和交付物,也提供推荐的最佳实践步骤。它适用于所有组织,不管组织的大小,不管是工业还是商业部门,它都会为任何负责管理业务连续性进程的人提供协助。7(3)BS25999-22007年11月,BS25999第二部分由相同的附属委员会发布5。BS25999-2是指“业务连续性管理规范”,被内部和外部(包括认证机构)用于评估组织满足
10、客户和常规需求的能力7。BS25999-2标准是由全球BCM领域专家,就其学术面、技术面、实务经验和专门技术等方面,所发展而成的管理系统标准及要求,适用于各种规模的工业、商业、政府公务部门和非营利组织。3.2.3 BS25999体系BS25999体系实际包括两个部分:BS25999-1和BS25999-2。(1)BS25999-1: 2006 Code of practice for business continuity management业务连续性管理作业要点,这个部分替代了PAS56,很大程度上基于PAS56的内容5。这部分主要作为参考文件,提供广泛性的营运持续作业要点,作为现行营运持
11、续的最佳作业方法指南,但不作为评鉴与验证标准6。BS 25999-1由10部分组成,总共跨度43页。主要的部分如下5: 范围 术语和定义 业务连续性管理概述 业务连续性管理原则 规划管理 理解组织 决定业务连续性(BC)计划 开发/执行BCM响应 行使、维护和审核工作安排 在组织文化中植入业务连续性管理(2)BS25999-2: 2007 Specification for business continuity management system业务连续性管理系统规范,这部分针对最终可获得哪种认证5。这部分提供BCMS建立实施与书面化的具体要求,包括建置组织BCMS所需要的PDCA管理架构及
12、广泛的营运持续措施,同时作为验证标准6。BS25999-2由7部分组成,跨度18页。主要内容如下5: 范围 规范性参考 术语和定义 规划业务连续性管理系统(BCMS) 实施和运营BCMS 监控和审查BCMS 维护和改进BCMS(3)BS25999 ToolkitBS25999工具包是用来帮助确保标准不仅被理解,而且确保它能够更加容易地在组织中应用。通过包含大量基础的连续性构建模块,它能帮助启动BS25999与业务连续性机制联合。工具包的内容由公认的业务连续性专家和行业代表创造。为了方便灵活和剪裁,绝大多数资料以MS-Word格式提供。工具包中包括以下资料11: 标准的两个部分:BS25999-
13、1和BS25999-2(PDF格式) 一套IT紧急事件审计问卷 一份依赖分析文档,用来帮助识别关键依赖 一份BCM和BS25999标准指南 一份业务影响度分析问卷 一份审计业务连续性计划本身的问卷 一个业务连续性计划框架和清单 基于桌面风险分析系统的EzRisk()文本 一份标准和他们好处的介绍 陈述:介绍业务连续性管理3.3 评估模型及指标3.3.1 SunGuard BS25999自测工具SunGard推出了一款免费的基于调查的自测工具,它能告诉用户他们已有的业务连续性管理流程和计划是否符合最近发布的业务连续性管理标准BS25999。这一调查可以让用户从一些细节方面思考自己所在公司的业务连
14、续性管理活动,从而找出被忽略的一些不足的方面。BSI提出的业务连续性管理的新标准,BS25999,允许组织加强自身面对业务中断的弹性。运用这一标准需要对所包含的问题有基本的理解,以便组织能够对“如何实施”制定计划。提问集中在标准的五个主要领域: 业务连续性管理政策和程序管理; 理解组织; 制定业务连续性管理战略; 开发和实施业务连续性管理的响应; 演练、维护和审查。所提的问题是标准各个不同方面的一系列简单陈述,你只需选择:是;否;不知道;部分符合。 是,说明你认为你所在组织的业务连续性活动已经完全做到了。 否,说明你认为你所在组织的业务连续性活动没有做到。 不知道,说明你不能够判断你所在组织的业务连续性活动是否已经做到。 部分符合,说明你所在组织已经开始但是没有完全做到,或者说只有部分业务做到了。一旦您提交答案,你将能够与BS25999比较绘图测量你的回答分数越高,越符合BS25999标准。注释:D - 不知道;N - 否;P - 部分符合;Y - 是。BCM 政策与程序管理Q
