近年来,自然灾害和人为事故频繁发生,组织环境的不确定性和风险大幅度增加,加强组织业务连续性管理成为打造最佳应急预案的必然选择。为了满足组织对统一的业务连续性管理国际标准的需求,ISO公共安全技术委员会ISO/TC223着手组织制定业务连续性管理国际标准,2006年ISO在意大利佛罗伦萨召开了应急响应研讨会,ISO 22301标准制定工作就此启动,并与2012年5月正式发布。
GB/T 30146-2013《公共安全 业务连续性管理体系 要求》是由中国信息安全认证中心和中国标准化研究院带头起草的,并由国家质监总局及国家标准化委员会于2013年12月17日联合发布2014年5月1日正试实施。该标准等同采用国际标准ISO 22301:2012。
一、业务连续性管理体系的定义
国家推荐标准GB/T 30146《公共安全 业务连续性管理体系 要求》中对业务连续性管理的定义为:识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。国家推荐标准GB/T 30146中对业务连续性管理体系(BCMS)的定义为:用于建立、实施、运行、监视、评审、保持和改进业务连续性,是一个组织整个管理体系的一部分。
简要来说,组织建立业务连续性管理体系目的在于通过实施和运行控制措施来管理组织应对中断事件的整体能力从而保障当组织的核心业务发生中断后(例如银行业ATM机故障导致所有ATM机无法存取款),在规定的时间内(例如我国银监会规定重要业务恢复事件不得多于4小时)将核心业务从中断事件中进行恢复,并通过控制措施保障组织在进行业务恢复过程中和业务恢复后能够与媒体、组织自身员工进行良好的沟通交流。
二、 业务连续性管理体系的起源
业务连续性管理的发展与计算机技术的发展密不可分。随着人类生产生活对计算机的依赖性越来越强,信息系统的安全要求也随之增长。在20世纪60年代末,计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施。业务连续性管理起源于上世纪70年代的容灾和恢复计划。在那个时代,金融组织,如银行和保险公司大都建设了另外的备份站点,备份磁带存储在远离主中心的地点。恢复活动经常是针对由火灾、水灾、风暴或其他原因造成的物理破坏。
20世纪70年代末至80年代初,由于大量计算机系统应用于不同的企业业务流程,同时在政府机构中也有较多应用。在这种情况下,业务部门对信息系统的持续运行提出了更高的要求,一些重大的系统宕机事故所导致的业务中断,给业务部门造成了重大的损失。在这样的背景下,专业的灾难恢复服务商应运而生并逐渐增多。他们为企业提供计算机运行中断后的灾难恢复专业外包服务,并且逐渐形成了以信息系统灾难备份与恢复为主业的外包服务领域。
无论什么样,什么类型的组织,在其业务活动正常开展时,都会存在着一些可能使组织业务活动产生中断的潜在威胁,而这些威胁一旦发生了,如何使这些发生业务中断的组织很快的能够对这些中断事件进行响应、恢复、重新开始和还原到预先确定的业务运行水平。其核心是以信息技术为基础,保障企业业务持续运行,跨越了风险管理、灾难恢复、紧急时间管理、安全管理、知识管理、危机通信和公共关系等多个学科。
三、业务连续性管理体系国际标准发展概况
早在ISO正式发布其国际标准前,已有多个国家发布了本国的业务连续性管理体系国家标准,例如:2006年,英国BSI颁布了用于指导组织实施业务连续性管理体系的国家标准BS 25999-1:2006《业务连续性管理-实施规程》,2007年BSI又颁布了可用于认证的BS 25999-2:2007 《业务连续性管理-规范》。美国也在2007年批准了NFPA 1600(2007版)作为本国的业务连续性管理标准。在亚洲地区,新加坡于2008年颁布了本国的业务连续性管理体系标准SS 540:2008。日本、以色列等国家也在ISO发布前,发布了适用于本国的业务连续性管理标准。
“9.11”事件之后,欧美各国及新加坡等国家加快了业务连续管理的理论研究和实践活动,日本政府开始高度重视业务连续在本国的发展,投入了大量的人力物力制定了一系列的危机管理和业务连续的标准指南,其目的在于为企业经营者建立一个共识和准则,以便于企业参照执行,从而加强企业抵御灾难的能力。从日本BCM标准指南的发展过程,可以看出日本政府对BCM发展的指导是BCM得到快速发展的重要因素之一。
立足于全球视角来看,以英国、美国、新加坡、日本等国为代表的发达国家成为业务连续性管理的主要推动力,这种推动力主要体现在国家层面的法律法规、行业层面的规范以及企业层面的实施几方面。这些国家均已制定业务连续性管理方面的国家标准,指导和规范各自国家的业务连续性管理发展。
国际标准化组织在美国NFPA1600、英国BS25999、新加坡SS540及日本等国标准的基础上,结合各国的最佳实践经验而于2012年5月发布了业务连续管理体系的认证标准ISO 22301"Social security-Business continuity management systems-Requirements",并于同年12月发布了ISO 22313“业务连续性管理体系实施指南”。
四、我国业务连续性管理标准发展概况
中国业务连续性管理起步较晚,从“9.11”之后,国内才开始这方面的工作,经历了从探索到实践的过程,目前虽仍处于初级阶段,但发展势头迅猛。
近几年,我国的一些行业主管部门从关系国计民生、社会稳定方面出发,也制定了一些适用于本部门或本行业的业务连续性管理指引规范。具有代表性的标准及要求如下:
1 | 国家标准《信息安全技术 信息系统灾难恢复规范》GB/T 20988-2007 |
2 | 银监会《商业银行业务连续性监管指引》 |
3 | 银监会《商业银行数据中心监管指引》 |
4 | 银监会《商业银行信息科技风险管理指引》 |
5 | 证券行业协会《证券公司证券营业部信息技术指引》 |
6 | 保监会《保险业信息系统灾难恢复管理指引》 |
7 | 电监会《国家处置电网大面积停电事件应急预案》 |
8 |
民航业《民用航空重要信息系统灾难备份与恢复管理规范》 |
9 | 电信业《电信网和互联网灾难备份及恢复实施指南》 |
其中,银监会于2011年发布的《商业银行业务连续性监管指引》对于金融领域的业务连续性管理提出明确的监管要求。
2014年1月,国家标准GB/T 30146《公共安全 业务连续性管理体系 要求》正式发布,并于2014年5月正式实施,这为各类组织如何策划、建立、实施、运行、监视、评审、维护和改进一个文件化的业务连续性管理体系指明了方向。
随着国家标准的发布、中国认证认可行业的蓬勃发展以及日益增长的认证需求,业务连续性管理体系认证将成为一个崭新的认证领域;与之相关的咨询、培训服务也正在形成一个不断成长的技术服务市场,在为组织带来价值的同时,为降低组织风险、保障组织的业务的连续性都有着积极的影响和深远的意义。