业务连续性管理(中文版)
【业务连续性管理(中文版)】业务连续性管理办法
【业务连续性管理(中文版)】业务连续性管理办法近期发生的多起灾难性事件更加坚定了亚太地区领导者在推动制定业务连续性措施的决心,这不仅是落实在书面上,还要付诸实践。
对灾难性事件的反思2011年第1季度发生在亚太地区的重大灾难性事件显示出人类面对自然灾害等严峻挑战的恢复能力。
澳大利亚昆士兰和维多利亚的洪水灾害、昆士兰州北部的雅思飓风、中国汶川八级强烈地震、新西兰基督城的地震以及日本有史以来最大地震及其引发的毁灭性海啸使数千人面临非常现实的灾后重建挑战。
这些灾难造成的生命代价和经济损失令人惊愕。
灾难能够将社会各界力量凝聚在一起应对极端挑战,而勇敢、慷慨和无私合作的行为在企业和团体组织中渐趋常态化。
另外,应对危机时如果能够发挥个人和组织的才能与智谋效果还会更佳。
灾难发生后能否快速、积极地应对既是对应急预案的考验,也是对我们角色的考验。
毋庸置疑的是,企业、团体和个人都拥有生存和重建的决心,但事实证明,只有做好充分应对准备才能最快地在灾后恢复。
重新重视治理问题业务连续性管理(BCM)目前再次受到企业和团体领导者的关注,他们越来越重视检验所在组织在制定应急预案和应对灾难方面的能力。
监管合规和企业董事会是驱动落实业务连续性管理的主要动因。
对于受监管的行业,例如银行业需要满足中国银监会颁布的《商业银行业务连续性监管指引》对业务连续性组织架构、计划制定、资源建设、演练改进等方面的监管要求。
近期灾难性事件导致亚太地区的监管机构和董事会比以往任何时候都更加重视业务连续性管理,他们认为业务连续性管理不仅仅是“合规”问题,更应该包括周密的规划、严格测试和积极保持恢复能力。
近期灾难性事件的发生加强了亚太地区领导者在制定业务连续性措施的决心,这不仅是落实在纸面上,还要付诸实践。
通过对强健、明晰的分布式领导力、差异化的响应和灾难恢复措施,以及新型通信模式要求的反思,企业可以实现更好的业务连续性管理,并且更加稳妥地履行其对监管机构、董事会和股东的承诺。
业务连续性管理
业务连续性管理业务连续性管理(Business Continuity Management,简称BCM),是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
中文名: 业务连续性管理外文名: Business Continuity Management简称: BCM起源于: 上世纪70年代美国的“灾难恢复”目录1.1 基本原则2.2 管理系统基本原则确保当事机构的主要业务操作在任何时候都能够持续运转。
业务连续性管理系统(BCMS)是经常进行的活动的集合,业务连续性管理支持企业业务连续性管理活动,也支持技术灾难恢复活动。
这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。
业务连续性管理也有利于多种项目性的活动,业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/ DR计划、规划和执行BC/ DR演练、准备和进行应急队伍培训、准备记录事件响应计划,并设计BC/ DR策略。
管理系统一个业务连续性管理系统关注:理解连续性、准备需求和建立业务连续性管理系统策略和目标的重要性。
为管理组织的总体连续性风险进行实施和运行控制及措施。
监控和检查业务连续性管理系统的性能和有效性。
根据客观标准持续改进。
具备业务连续性管理系统功能的管理系统结构组件:一个策略。
指定角色和职责的人。
与策略、计划、实施、运维、性能评估、管理检查和提升关联的管理流程。
提供可审查证据的文档。
组织相关的业务连续性管理流程。
根据上述标准所述的业务连续性管理系统的一个前提是BCMS的设计要能反映组织和股东的需求。
这个标准不会强制统一业务连续性系统的结构。
组织开发一个新BCM计划时可以将BCMS框架作为一个有效的起点。
业务连续性管理体系(bcms)相关标准介绍
标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系(BCMS)相关标准介绍张旭刚(中国金融认证中心)韩少伟(内蒙古自治区公安厅)谢宗晓(中国金融认证中心)标 准 解 读1 概述随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视,尤其是银行业,一旦发生核心业务中断,且在规定时间内1)未完成恢复,不仅会给银行的声誉和利益带来严重影响和损失,而且会影响社会稳定。
鉴于此,2011年12月,银保监会2)发布了《商业银行业务连续性监管指引》(银监发〔2011〕104号),正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。
2017年6月1日,《中华人民共和国网络安全法》正式实施。
其中第三十三条规定,“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”。
进一步又明确了重要系统的业务连续性在我国的法律地位。
通常容易将业务连续性管理(BCM)与灾难恢复(Disaster Recovery,DR)混淆。
在ISO 22301:2012《公共安全 业务持续性管理体系 要求》中,业务连续性管理(BCM)定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。
该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
”所以,严格地说,灾难恢复是恢复数据的能力,解决信息系统灾难恢复的问题。
而业务连续性强调的是组织业务不间断的能力,范围更大。
业务连续性管理 Business Continuity Management)
全球 企业平均损失额: $ 1,010,536 /hour $16,842 /minute
Million (USD)/hr $0.0
$ 0.5
$ 1.0
$ 1.5
$ 2.0
$ 2.5
Source : Deloitte BCM practice report, Network computing,
$ 3.0
Source : BS25999, 对象别 BCP文件构成
13. BCM效果
BEFORE
报告
最初发现者 部门长 ▪逃生命令
流程
event
Layer2:
商业基础设施
Layer3:
组织, Network
Source : Cranfield Univ. – Supply Chain Risk
创造价值 (产品, 服务)
物流
合作公司
13
10.组织的理解 ; BIA to RA
风险表 (RISK TABLE)
Source : Deloitte, 2005
进程别 核心支援 (Critical Resources) 分析 进程复原所需资源(人力,建筑物,设备,信息等)
通过价值链(Value Chain)的分析 具体体现
12
10. 组织的理解 ; BIA to RA
价值链(Value Chain), 供应链(Supply Chain) 分析
Layer1:
11
10. 组织的 理解 ; BIA to RA
BIA (Business Impact Analysis ; 商务影响分析)
导出创造价值高的活动领域内的进程 ;
按照运营, 支援, 战略方面导出
业务连续性管理规定
业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理,并依此建立业务连续性管理计划,将预防和恢复控制相结合,积极防范并且处理突发信息安全事件,防止业务活动中断,将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内,保证关键性业务流程的连续性运营,构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准,特制定本规定。
第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。
第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略,确定科技发展部业务连续性管理的策略、目标和范围,为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证,并对执行情况进行监督。
第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法,对科技发展部的业务连续性管理落实情况进行监督审核。
第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。
第六条各部门负责人负责确定本部门业务连续性管理策略,确定本部门业务连续性管理的目标和范围,审批本部门业务连续性计划,为相关管理活动提供资源和管理保证。
第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案,提交本部门负责人或信息安全指挥小组审批。
第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划,确定本部门业务连续性管理策略,主要为:(一)确定业务连续性管理的目标和范围。
(二)确定业务连续性管理的组织结构和职责。
(三)确定业务连续性管理的外部协作关系,各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。
ISO22301-2019业务连续性管理体系中英文对照版
IS022301-2019业务连续性管理体系中英文对照版4组织环境4 Context of the organization4.1了解组织及其环境4. 1 Understanding the organization and its context组织应确定与其宗旨及影响其达成BCMS预期结果的能力有关的内外部问题。
注:这些问题会受到组织的总体目标、产品和服务以及能承受或不能承受的风险的类型和数量的影响。
The organization shall det ermi刀e external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome (s) of its BCMS.NOTE These issues will be influenced by the organization ' s overall objectives, its products and services and the amount and type of risk that it may or may not take.4.2了解相关方的需要和期望4. 2 Understanding the needs and expectations of interested parties4.2.1总则在建立BCMS时,组织应确定:a)与BCMS有关的相关方;b)这些相关方的有关要求。
4. 2. 1 GeneralWhen establishing its BCMS, theorganization shall determine:a)the interested parties that are relevant to the BCMS;b)the relevant requirements of these interested parties・4.2.2法律和法规要求组织应:a)实现和保持一个过程,以识别、获取和评估与其产品和服务、活动和资源连续性有关的适用法律和法规要求;b)确保这些适用的法律、法规和其它要求在实现和保持BCMS时得到考虑;C)记录这些信息并保持更新。
业务连续性管理培训手册(2024版)
激励机制
建立激励机制,鼓励员工积极 参与业务连续性管理工作,对 表现优秀的员工给予奖励和晋 升机会。
持续改进
不断总结经验教训,持续改进 业务连续性管理工作,提高组
织的整体韧性和应对能力。
2023
PART 07
总结与展望
REPORTING
业务连续性管理的挑战与机遇
挑战
日益复杂的业务环境、不断变化 的法规要求、新技术应用带来的 不确定性。
定义与重要性
定义
业务连续性管理(BCM)是一种全面的管理过程,旨在识别潜在威胁,制定应 对策略,确保组织在面临灾难或中断事件时能够迅速恢复并维持关键业务功能 的运行。
重要性
随着全球化和数字化的发展,组织对各种风险的暴露度增加。业务连续性管理 能够确保组织在面临突发事件时,快速响应、恢复运营,减少财务和声誉损失 ,维护客户信任和市场份额。
02
恢复策略的实施
制定详细的恢复计划
03
恢复策略的选择与实施
01
02
03
获取必要的资源和技术 支持
执行恢复操作以恢复关 键业务功能
验证恢复结果并确保业 务连续性
演练、测试与持续改进
演练和测试
1
2
定期进行应急响应和恢复策略的演练
对演练结果进行评估和反馈
3
演练、测试与持续改进
01
针对演练中发现的问题进行改进
应急响应计划的内容与执行
01
启动应急响应 计划
02
通知相关人员 并协调资源
实施应急措施 以减轻影响
03
04
监控和记录应 急响应过程
恢复策略的选择与实施
恢复策略的选择
根据业务影响分析结果选择适当的恢复策略
业务连续性管理业务连续性管理(Business Continuity Management)
预防(Prevent) & 恢复(Recovery) 一项综合管理流程,它使企业认识到潜在的危机和相关影响,
制订响应、业务和连续性的恢复计划,其总体目标是为了提高 企业的风险防范能力,以有效的响应非计划的业务破坏并降低 不良影响。 BCM的出发点在于对潜在的灾难危险加以辨别并进行分析,以 确定其对企业运作造成的威胁,并建立一个完善的持续管理计 划来防止或减少灾难事件给企业带来的损失。
而我们所该做的,是在灾难发生后尽量将 损失降到最低。
每一层为邻近层提供稳定的基础
Business Applications
Strategic Planning, Architecture Definition, Planning & Control
SDLC, Data Structures, Naming Conventions, Quality Standards
NSFocus Information Technology Co. Ltd.
Professional Services
业务连续性管理(Business Continuity Management)
Professional Security Solution Provider
提纲
为什么需要业务连续性管理? 业务连续性管理的国际专业操作步骤 应急处理
根据权威机构统计,美国在近10年间遭遇过灾难事件的公司中,有 55%的公司马上倒闭,因为数据丢失造成业务无法持续,有29%的公 司在两年之内倒闭。
根据明尼苏达大学统计,美国证券金融行业平均可容忍的最大停机时间 是2天,没有实施灾难备份措施的公司在遇到灾难后60%将在2~3年 内破产。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过对强健、明晰的分布式领导力、差异化的响应和灾难恢复措施,以及新 型通信模式要求的反思,企业可以实现更好的业务连续性管理,并且更加稳 妥地履行其对监管机构、董事会和股东的承诺。
面临危机时,富有体谅 和责任心的领导力可以 鼓舞士气,并表达出一 个团队众志成城战胜挑 战的决心。
强健、明晰的分布式领导力
近期事件表明可靠的领导力在危机中的重要性。尽管领导团队、危机管理架构 和资源必须全部到位,但任何东西都无法取代科学敏捷的决策。在危机期间, 富有体谅和责任心的领导力可以鼓舞士气,并表达出一个团队众志成城战胜挑 战的决心。
重新重视治理问题
业务连续性管理(BCM)目前再次受到企业和团体领导者的关注,他们越来 越重视检验所在组织在制定应急预案和应对灾难方面的能力。
监管合规和企业董事会是驱动落实业务连续性管理的主要动因。对于受监管 的行业,例如银行业需要满足中国银监会颁布的《商业银行业务连续性监管 指引》对业务连续性组织架构、计划制定、资源建设、演练改进等方面的监 管要求。
业务连续性管理 - 对灾难性事件的反思
应急通信技术正在使企 业和团体在恢复能力方 面的界限变得模糊,因 而可以使大家在应对灾 难时同心协力。
新的通信模式
旧的通信模式主要包括“一对一”和“一对多端”的通信范式以及大众传媒。 新的通信模式可推进持续的“多端对多端”通信范式,并且同时连接多人并允 许相互之间进行实时沟通,从而使在灾难前线的个人和小型团体进行通信成为 可能。
由于消费者或客户是衡量业务连续性管理成功与否的真正标准,企业应该在制 定实践方法和法规中考虑到他们的需求,进行严格和务实的业务影响评估 (BIA),从消费者或客户的角度识别最关键流程,并据此分配规划资源。
另外,企业必须重视稳健的业务连续性管理框架、策略以及资源配置,以配合 在客观上符合目的、务实的业务持续性计划,尤其是经过演练的持续性计划。
这种新的通信范式的真正优势在于协助企业和团体利用分布式领导在管理危机 事件中获得巨大的潜在利益。
业务连续性管理 - 对灾难性事件的反思
安永大中华区信息科技风险咨询服务
联系人
郭力进 Troy Kelly 亚太区主管合伙人
陈小珍 Jenny Chan 大中华区主管合伙人
阮祺康 Keith Yuen 大中华区信息安全服务 合伙人
在危机期间,持续且明晰的高层领导力仍然是保持战略重点和信心的关键。然 而,由于企业和团体力求从灾难中得到更加快速、强有力的恢复,他们愈发认 识到强健的高层管理需要得到进行实地操作的本地领导团队和个人的配合。
那些通过任用并赋权给相关人员以释放出分布式领导力的企业和团体,迈出了 灾后恢复的关键一步。在破坏性严重的事件中,当压力和不确定性弥漫时,相 关人员的智谋、决心和果断的决策在很大程度上决定了危机管理的效果。
灾难能够将社会各界力量凝聚在一起应对极端挑战,而勇敢、慷慨和无私合 作的行为在企业和团体组织中渐趋常态化。另外,应对危机时如果能够发挥 个人和组织的才能与智谋效果还会更佳。
灾难发生后能否快速、积极地应对既是对应急预案的考验,也是对我们角色 的考验。毋庸置疑的是,企业、团体和个人都拥有生存和重建的决心,但事 实证明,只有做好充分应对准备才能最快地在灾后恢复。
在区域性重大事件发生期间,企业、团体和个人的需要有所不同。近期事件再 次突显了这些群体之间的相互依存关系,这是团体恢复理念的核心。较以往任 何时候相比,业务连续性管理更需要考虑并纳入网络化恢复方式。
领导模式需要考虑利益关联方的认知方式,即认识到每一方的灾难经历是不同 的,这有助于确保互相之间的关系在灾难侵袭前得以确立,从而可以在灾难响 应和恢复中进行更好的沟通与协作。
业务连续性管理
对灾难性事件的反思
近期发生的多起灾难性 事件更加坚定了亚太地 区领导者在推动制定业 务连续性措施的决心, 这不仅是落实在书面上, 还要付诸实践。
2011年第1季度发生在亚太地区的重大灾难性事件显示出人类面对自然灾害 等严峻挑战的恢复能力。澳大利亚昆士兰和维多利亚的洪水灾害、昆士兰州 北部的雅思飓风、中国汶川八级强烈地震、新西兰基督城的地震以及日本有 史以来最大地震及其引发的毁灭性海啸使数千人面临非常现实的灾后重建挑 战。这些灾难造成的生命代价和经济损失令人惊愕。
+86 10 5815 3236 sherman.leung@ +86 21 2228 2383 estella.li@ +852 2629 3751 vincent.chan@ +852 2846 9888 leroy.yau@ +86 755 2502 8033 kelvin.fung@ +86 10 58152688 steven.xiong@ +86 10 5815 2980 jane.zhang@ +852 2629 3756 henry.pau@ +86 20 2881 2731 winson.woo@ +886 2 2720 4000 tony.chang@
基于风险的灾难恢复规划方法企业可以参照相关国家标准或行业标准,例如中 华人民共和国国家标准《信息安全技术 信息系统灾难恢复规范GB/T 20988》 中针对灾难恢复需求确定、灾难恢复策略、灾难备份技术实现和灾难恢复预案 等方面的标准规范。
具体的行业标准和规定(例如中国银行业标准——银监会颁布的《商业银行业 务连续性监管指引》 )不仅必须为所适用的企业所遵守,而且还应被用于推 动业务连续性管理的持续改进以及同时强调良好的治理。
/china
强健、明晰的分布式领导力不是与生俱来的,但领导团队理应确保适当的危机 管理架构、团队和流程全部到位。即使危机管理框架的各方面都很健全,危机 管理能力还必须定期演练以验证企业是否具备下述能力:
► 识别并确立危机事件管理的目标
► 计划、传达并实施危机策略
► 适应性地实施危机策略直到危机解决
差异化响应与恢复
梁尚文 Sherman Leung 华北区合伙人
李敏敏 Estella Li 华中区合伙人
陈永诚 Vincent Chan 华南区合伙人
邱启华 Leroy Yau 华南区合伙人
冯绍坤 Kelvin Fung 华南区合伙人
熊斌 Steven Xiong 华北区执行总监
张健 Jane Zhang 华北区执行总监
© 2012 安永(中国)企业咨询有限公司 版权所有。 FEA no. 03001676
本刊物所载资料以概要方式呈列,旨在用作一般 性指引,不能替代详细研究或作出专业判断。安永 (中国)企业咨询有限公司或安永全球机构中任 何其他成员概不对任何人士根据本刊物的任何资 料采取或不采取行动而引致的损失承担任何责任。 阁下应向适当顾问查询任何具体事宜。
Ernst & Young 安永 Assurance | Tax | Transactions | Advisory 关于安永 安永是全球领先的审计、税务、财务交易和 咨询服务机构之一。拥有共同的信念以及对 优质服务坚定不移的承诺把我们全球各地 152,000名员工联系在一起。亦因安永能协 助员工、客户和社会各界发挥潜能,我们在 行业中别树一帜。 安永是指Ernst & Young Global Limited的 全球成员机构组成的组织,各成员机构都是 独立的法人实体。Ernst & Young Global Limited是英国一家担保有限公司,并不向 客户提供服务。如欲进一步了解安永,请浏 览。
鲍汉维 Henry Pau 华南区执行总监
胡立基 Winson Woo 华区执行总监
张腾龙 Tony Chang 台湾执行总监
电话 +852 2629 3238
电子邮箱 troy.kelly@
+86 21 2228 2602 jenny.s.chan@
+86 21 2228 2252 keith.yuen@
Web2.0技术带来了以Facebook和Twitter等社交网站为代表的范式转移,而 在此基础上建立并维系的个人、团体和企业之间的相互依存关系正在迅速形成 一种重要的机制,以共同应对并走出逆境。
应急通信技术正在使企业和团体在恢复能力方面的界限变得模糊,因而可以使 大家在应对灾难时同心协力。深入了解这些新通信范式的企业可以在组织中创 建具有恢复力的通信网络,从而使员工相互沟通。在危机中保持通信联系无论 对个人利益还是企业的生存都是至关重要的。