業(yè)務(wù)連續(xù)性管理體系認(rèn)證

一、項(xiàng)目背景介紹

業(yè)務(wù)連續(xù)性管理（Business Continuity Management，以下簡(jiǎn)稱BCM），是一項(xiàng)綜合管理流程，它使企業(yè)認(rèn)識(shí)到潛在的危機(jī)和相關(guān)影響，制定應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險(xiǎn)防范能力，以有效地響應(yīng)非計(jì)劃的業(yè)務(wù)破壞并降低不良影響。

業(yè)務(wù)連續(xù)性管理的概念起源于上世紀(jì)70年代，與計(jì)算機(jī)技術(shù)的發(fā)展密不可分，隨著計(jì)算機(jī)技術(shù)在各行各業(yè)的廣泛應(yīng)用，業(yè)務(wù)連續(xù)性管理活動(dòng)在業(yè)務(wù)運(yùn)營過程中的重要性被逐漸意識(shí)到，并發(fā)展成為一門學(xué)科。政府和立法部門則從降低社會(huì)破壞性事故方面的作用對(duì)該學(xué)科予以肯定。

2006年，ISO/PAS 22399:2007 《事故應(yīng)對(duì)和連續(xù)性管理》指南文件成功發(fā)布，2012年，ISO22301：2012發(fā)布，作為真正的國際性標(biāo)準(zhǔn)，參考了澳大利亞、法國、德國、日本、朝鮮、新加坡、瑞典、泰國、英國和美國的重要建議。我國于2013年等同采用發(fā)布了《公共安全-業(yè)務(wù)連續(xù)性管理體系要求》國家標(biāo)準(zhǔn)(GB/T 30146-2013),并于2014年5月1日起實(shí)施。目前，全球的企業(yè)在通過權(quán)威的第三方認(rèn)證向相關(guān)方展示其業(yè)務(wù)連續(xù)性的管理能力

國家推薦標(biāo)準(zhǔn)GB/T 30146《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》中對(duì)業(yè)務(wù)連續(xù)性管理的定義為：識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對(duì)威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)。

二、開展BCMS對(duì)企業(yè)的益處

?  現(xiàn)今，由于自然災(zāi)害、IT 中斷及人為事故頻繁發(fā)生，企業(yè)業(yè)務(wù)運(yùn)作的不確定性和風(fēng)險(xiǎn)大幅度增加，加強(qiáng)企業(yè)的業(yè)務(wù)連續(xù)性管理成為打造最佳企業(yè)應(yīng)急能力的必然選擇；

?  BCMS框架能夠幫助企業(yè)制定一套標(biāo)準(zhǔn)化的管理流程，用于建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)業(yè)務(wù)連續(xù)性，并與組織整體管理相適應(yīng)。

?  BCMS提高了企業(yè)的風(fēng)險(xiǎn)防范能力，幫助其確定可能發(fā)生的沖擊對(duì)企業(yè)的運(yùn)作造成的威脅；提供一個(gè)有效的管理機(jī)制來阻止或抵消這些威脅；降低了風(fēng)險(xiǎn)的不良影響；減少災(zāi)難事件給企業(yè)帶來的損失；

?  BCMS保護(hù)組織聲譽(yù)，提高供應(yīng)鏈環(huán)節(jié)相關(guān)企業(yè)的信心；達(dá)到監(jiān)管機(jī)構(gòu)、業(yè)務(wù)合作伙伴及其他重要利益相關(guān)方的期望。向監(jiān)管方保證已符合來自內(nèi)部、法規(guī)、及客戶的連續(xù)性要求。

?  BCMS有機(jī)會(huì)節(jié)省內(nèi)部及外部BCM的成本，提升財(cái)務(wù)績(jī)效；并改善企業(yè)在保險(xiǎn)商心目中的風(fēng)險(xiǎn)狀況，以便降低業(yè)務(wù)連續(xù)性相關(guān)的保險(xiǎn)費(fèi)用；

?  BCMS的持續(xù)改進(jìn)，可提高企業(yè)的應(yīng)變能力和恢復(fù)能力。

三、CESI優(yōu)勢(shì)

?  BCMS項(xiàng)目同樣采用了PDCA模型，在一定程度上保證了與其它管理體系標(biāo)準(zhǔn)（如質(zhì)量、環(huán)境、信息安全、IT服務(wù)）的兼容性。CESI是同時(shí)具備該類認(rèn)證服務(wù)能力的機(jī)構(gòu)。

?  CESI是中國信息安全管理標(biāo)準(zhǔn)族（ISO/IEC27001系列標(biāo)準(zhǔn)）對(duì)應(yīng)國家標(biāo)準(zhǔn)的制定單位，認(rèn)監(jiān)委和認(rèn)可委的技術(shù)支撐機(jī)構(gòu)。CESI作為全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處單位，負(fù)責(zé)信息安全主要標(biāo)準(zhǔn)的研究制定，組織并主要承擔(dān)信息安全管理體系標(biāo)準(zhǔn)的國標(biāo)轉(zhuǎn)化等工作，如ISO/IEC17799、ISO/IEC27001、ISO/IEC27002、ISO/IEC27006等。

?  CESI制定了“信息安全管理體系認(rèn)證機(jī)構(gòu)及認(rèn)證人員認(rèn)可規(guī)則”、“信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求”等管理制度。并于2005 年，成為首批被認(rèn)監(jiān)委授權(quán)開展ISO27001信息安全管理體系認(rèn)證的機(jī)構(gòu)。

?  CESI跟蹤并轉(zhuǎn)化了 ISO/IEC 20000-1:2005 IT服務(wù)管理體系的相關(guān)認(rèn)證、認(rèn)可文件及系列標(biāo)準(zhǔn)。