BS25999把BCM归纳为六个组成部分,即理解组织、制定BCM战略、开发并实施BCM响应计划、BCM管理程序、把BCM植入企业文化,以及演练、维护和评审回顾。参考这六个步骤,企业可以建立自己的BCM管理框架,以便在灾害发生时能从容应对,在灾后能尽快恢复。
BS25999主要包含哪些内容?
BS25999把BCM归纳为六个组成部分,即理解组织、制定BCM战略、开发并实施BCM响应计划、BCM管理程序、把BCM植入企业文化,以及演练、维护和评审回顾。参考这六个步骤,企业可以建立自己的BCM管理框架,以便在灾害发生时能从容应对,在灾后能尽快恢复。BCM管理框架如图10-2所示。
资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn
(1)理解组织
理解组织需要用到业务冲击分析(BIA)和风险评估(RA)等工具和手段,找出关键服务及其依赖因素所能容忍的损失,主要包括分析企业自身的业务和所依赖的业务环境,找出关键服务/产品及其依赖因素(包括资源、资产、活动等),以及识别该关键活动所能容忍的中断时间及业务所能容忍的最低服务水平等。
(2)制定BCM战略
采用适当的控制措施,降低威胁发生的可能或者发生之后的影响;考虑预定的弹性恢复机制和缓建方案;在事件发生时和发生后,提供关键活动的持续性;分析那些尚未被识别为关键活动的部分。
(3)开发并实施BCM响应计划
当灾难事件发生后,可以把后续的过程分成三个阶段来看待:首先是应急响应阶段,即从灾难发生的几分钟到数小时之内;其次是业务持续阶段,即在灾难发生的数分钟到数天之内,根据预先的准备,在一定程度上保持业务,并启动恢复计划;最后是恢复阶段,在灾难发生后几周到几个月的时间内,按照预先的准备,把业务全部恢复到原来的水平。
(4)演练、维护和评审回顾
理想的演练方式应该是在真实环境下进行全盘演练。在资源有限的情况下,企业也可以进行模拟环境演练。对于一般性的业务,企业也可以采用排练的方式演示计划的可操作性。此外,企业还应对BCM计划进行定期评审,发现问题后及时调整和改进。
(5)BCM管理程序
上述四个步骤是对BCM构建项目的管理,需要调动资源、制定日程、跟踪策划和实施状况,但更重要的还是BCM管理程序,通过培训让BCM理念深入到每个相关人士的头脑中。
(6)把BCM植入企业文化
通过相关技能的培训,加深企业管理层对BCM的理解和认知。当BCM融入企业的核心价值观中,BCM的管理才能更加高效。
BCM管理是需要企业高层推动的。一个好的BCM管理框架能够让企业有足够的弹性来应对不同的事件。
如同其他现代管理标准体系一样,管理体系的核心都离不开“PDCA循环”(戴明环)方法,它们都必须将此方法运用在其管理过程当中。BS 25999-2利用规划-实施-检查-改进(PDCA)循环来有效的建立、实施、运行、监控、培训、保持和改进组织的业务持续性管理体系(BCMS),保证与其他管理体系在某种程度上的一致性。
BS 25999-1推荐了一个被广泛接受的方法,在其每一个活动中整合PDCA循环,归纳如图10-4。通过这样一个循环的过程,保证在组织内业务持续性的建立和持续的管理。
图10-4 业务连续性生命周期
资料来源:BSi,BS 25999-2:2007
京ICP备06004481号 Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved