随着计算机的应用和普及,商业模式发生了巨大的变化,人们的工作方式也已产生根本性改变,计算机的运用极大地提升了工作效率并节省了大量的人力和物力。人们在生产和生活中对计算机的依赖性越来越强,信息系统的安全性要求也逐渐增长。
业务连续性是指组织在灾难发生期间和之后维持恢复业务的能力。这里的灾难可能包括极其恶劣的气候、火灾、洪水、自然灾害、盗窃、IT故障、员工疾病或恐怖袭击。业务连续性管理体系框架能够帮助企业制定一套完整一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。
2007年,ISO/PAS 22399《事故应对和连续性管理》指南文件成功发布。2012年,ISO 22301的发布,作为真正的国际性标准,ISO 22301参考了澳大利亚、法国、德国、日本、朝鲜、新加坡、瑞典、泰国、英国和美国的重要建议。我国于2013年等同采用发布了《公共安全 业务连续性管理体系 要求》国家标准(GB/T 30146),并于2014年5月1日起实施。ISO 22301为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求,用以实施保护,减少中断事件发生的可能性,以及当中断事件发生时准备、响应并恢复。业务连续性也应包括风险评估和业务影响分析,这是ISO 22301的内在组成部分和基本组成部分、是确定优先活动、受依赖和资源应支持的关键产品和服务,他们的失败将对组织产生的影响。
GB/T 30146《公共安全 业务连续性管理体系要求》中对业务连续性管理的定义为:识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。
业务连续性管理是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划。其总体目标是为了提高企业的风险防范能力,以有效响应非计划的业务破坏并降低不良影响,确保当事机构的主要业务操作在任何时候都能够持续运转。
业务连续性管理体系用于建立、实施、运行、监视、评审、保持和改进组织自身业务连续性,是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。
ISO 22301管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。
业务连续性管理体系适用于对业务稳定性要求高的组织,如金融组织、银行和保险公司、政府机构业务部门、大型企业等。
○ 《GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求》
○ 《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术 安全技术 信息安全管理体系 要求》
○ 《ISO/IEC 20000-1信息技术服务管理 第一部分:服务管理体系要求》
○ 《ISO 31000 风险管理 指南》
○ 《ISO 22313 公共安全 业务连续性管理系统 指南》
从业务的角度:
增强组织应对业务中断突发事件的不确定性,增强组织恢复能力,创造竞争优势,保护和提高其声誉和信誉。
从财务的角度:
当下企业经营压力剧增,建立良好的业务连续性管理体系,将能够直接和间接地减少中断恢复成本。
从内部流程的角度:
主动地控制风险,减少中断发生的可能性,有效提升企业的业务能力,解决企业的操作漏洞。