中文

Powertime共享课堂 | 业务连续性管理体系

文章发布日期:2021-05-26

业务连续性管理的意义

图片

1

什么要进行业务连续性管理

2020年,突如其来的新冠病毒肆虐全球。无数企业的业务因疫情而中断,面临极大的风险。在这种特殊时期,业务连续性管理体现出至关重要的作用。完善组织的业务连续性管理体系,不仅仅对于企业业务的正常进行具有重大的保障作用;面临灾难时,企业的稳定也能保障社会就业岗位的稳定,从而对整个社会起积极作用。

2

业务连续性管理体系案例

2001年9月11日,纽约世贸大厦双塔遭受恐怖袭击,导致双塔坍塌。摩根士丹利在灾难发生的30分钟后,就在其灾备中心建立了第二办公室,恢复了主要业务。第二天,全部业务恢复运行。
时代新威等级保护业务连续性管理体系

3

业务连续性管理的历史与发展

18世纪的风险管理。 
20世纪70年代的容灾恢复计划,之后逐渐出现专业灾难恢复服务商。 
1997年,DRI(国际灾难恢复协会)发布“业务连续性管理实务指南”。 
21世纪初,美国(NFPA1600)、英国(BS25999)、新加坡(SS540)、日本(业务持续计划)等制定和发布了业务连续性管理国家标准。 
2012年,ISO/TC223发布了ISO22301(业务连续性管理体系要求)等系列国际标准。2019年更新发布第二版。

业务连续性管理基础

图片

1

业务连续性基本概念

业务连续性 business continuity
在中断发生期间,组织在可接受的时间范围内以预定的水平持续交付产品和服务的能力。
业务连续性计划 business continuity plan (BCP)
指导组织应对中断并继续,恢复和还原与其业务连续性目标相一致的产品和服务的交付的文件化信息
业务影响分析 business impact analysis (BIA)
分析组织业务中断逐渐影响的过程
中断 disruption
根据组织的目标,导致对产品和服务的预期交付产生非计划的负面偏差的、无论预期的还是未预期的事件。
业务连续性管理体系 Business Continuity Management Systems (BCMS)

时代新威等级保护业务连续性管理体系


2

业务连续性管理的模型和目的

模型:

时代新威等级保护业务连续性管理体系

MTPD 最大容忍中断时间 maximum tolerable period of disruption
RTO 恢复时间目标 recovery time objective
RPO 恢复点目标 recovery point objective
目的:
识别和管理导致的组织业务中断的威胁(风险)
预防为主,以减少和降低突发事件的影响
保障组织在突发事件和危机时刻时核心业务正常运作
确保在最短的时间内恢复业务正常运行
可以证明组织对突发事件和危机的应变能力和恢复能力

3

ISO 22301:2019 业务连续性管理体系要求

组织环境要求的重点
  1. 确定BCMS的内外部环境
  2. 识别相关方和相关方的要求
  3. 识别法律法规的要求
  4. 确定BCMS的范围:哪些业务;哪些部门和
    厂商;哪些IT系统;哪些人员等
  5. BCMS的过程和过程间的关系
领导力要求的重点
  1. 领导重视
  2. 最高管理者制定方针
  3. 业务连续性目标框架
  4. 在组织内部宣贯方针
  5. 明确岗位和岗位职责、权限
规划
  1. 确定业务连续性的风险和机会

  2. 规划应对风险和计划的措施

  3. 建立业务连续性目标:业务和系统的

    MTPD、RTO、RPO等,目标应可测量,

    沟通到位

  4. 为实现目标,要做什么,需要什么资源,

    谁负责,何时完成,如何评价结果等

  5. BCMS的变更管理

支持
  1. 确定并提供BCMS所需的资源
  2. 确定岗位人员能力,教育培训
  3. 人员的业务连续性意识
  4. 就BCMS进行内部和外部沟通,沟通内容,
    时机,对象,如何沟通,谁负责沟通等
  5. 编制BCMS的体系文件,文件控制,更新等
运行
  1. 识别并建立BCMS的过程,并建立过程标
    准,按标准化执行
  2. 定期执行业务影响分析(BIA)和风险评估
  3. BIA目标是确定业务连续优先级和要求,
    包括威胁、业务活动、中断影响、MTPD、
    RTO和RPO、支持资源和依赖关系
  4. 确定中断前、中、后的应对策略和解决方案
  5. 建立和维护业务连续性计划(BCP),包括中
    断时立即采取的步骤,应对变化的环境,关
    注中断事件影响,降低影响的方案,分配角
    色和职责等
  6. BCP演练和业务连续性能力评估
  7. 确定应急机制和组织架构,应急团队应判断并
    宣告中断事件,命令启动应急预案,决定采取
    的行动,确定优先事项,与相关方沟通
  8. 预警和危机管理
  9. 中断后的业务恢复,明确恢复的先后顺序
绩效评价
  1. 应评价BCMS的有效性、适宜性、充分性
  2. 建立和维护审核方案,执行内部审核
  3. 管理者应定期执行管理评审,确定评审输入和
    输出
改进
  1. 识别改进机会:是写错了还是没有按照写的去做
  2. 持续改进,PDCA

如何建立和实施业务连续性管理体系

图片
  1. 建立和维护业务连续性管理制度(体系文件)
  2. 建立组织架构(日常管理+应急处置管理)
  3. 开展业务影响分析(BIA)
  4. 建立和维护业务连续性计划(BCP)
  5. 建设和维护资源(备用场地、运营中断事件指挥中心、灾备中心、关键岗位)
  6. 开展业务连续性计划演练(至少三年一次,覆盖全部场景)
  7. 执行业务连续性管理体系评估(完整性、合理性、有效性,可认证)
  8. 运营中断事件应急处置
时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部