第4章 组织环境
确定与组织宗旨相关、并影响其达成BCMS预期结果的能力的内外部问题,如:
Ø 组织的活动(业务)、职能、服务、产品、伙伴关系、供应链、与相关方的关系以及破坏性事件的潜在影响;
Ø 业务连续性方针与组织目标和其他方针之间的联系,包括其总体风险管理策略;
Ø 组织的风险偏好;
Ø 有关相关方的需求和期望;
Ø 适用的法律、法规和组织同意的其他要求;
Ø 确定BCMS的范围,同时考虑组织的战略目标、关键产品和服务、风险容忍度,以及任何监管、合同或相关方的义务也是本条款的一部分。
第5章 领导力
最高管理层需要展示其对BCMS的持续承诺。通过领导和行动,管理层可以创造一种环境,在这种环境中,不同的角色充分参与,管理体系与组织的目标协同并有效地运行。最高管理层负责:
Ø 确保BCMS与组织的战略方向相适应;
Ø 将BCMS要求整合到组织的业务流程中;
Ø 为BCMS提供必要的资源;
Ø 传达有效的业务持续性管理的重要性;
Ø 确保BCMS达到预期的结果;指导和支持持续改进;
Ø 建立和沟通业务连续性方针;
Ø 确保BCMS目标和计划的建立;
Ø 确保为相关角色分配职责并授权。
第6章 策划
这是关键的一步,因为它涉及到从整体上建立战略目标和指导原则。BCMS的目标是表达组织两方面的意图:处置所识别的风险和/或遵守组织必需满足的要求。因此,业务连续性目标必须:
Ø 与业务连续性方针相一致;
Ø 考虑组织达成其目标可接受的产品和服务的最低水平;
Ø 可测量;
Ø 考虑适用的要求;
Ø 可监测和酌情更新。
第7章 支持
有效BCMS的日常管理依赖于为每个任务使用适当的资源,还包括:有相关培训(可证明)、得到支持服、有意识和沟通的能干人员;适当管理的存档信息的支持;组织的内外部沟通都必须包括业务连续性,如沟通的方式、内容和时要;在本章中还指明了对存档信息创建、更新和控制方面的要求。
第8章 实施
在BCMS规划完成后,组织必须把它实施并运行起来。本章内容包括:
业务影响分析(BIA):使组织能够识别支持其关键产品和服务的关键业务、业务之间的互依赖性,以及以最低可接受水平运营业所必需的资产和资源。
风险评估(Risk Assessment):ISO 22301建议参考ISO 31000标准来实施风险评估,目标是建立、实施和维护一个正式文档化的风险评估过程,用以系统地识别、分析和评价破坏性事件对组织的风险。
业务影响分析与风险评估
业务连续性策略(Business Continuity Strategy):在由BIA和风险评估确立需求后,可以制定策略以确定使组织保护和恢复关键业务的安排(基于组织的风险容忍度和确定的恢复时间目标)。经验和良好实践表明,尽早准备组织业务连续性策略将确保BCM活动符合并支持组织的总体业务战略。业务连续性策略应该是机构公司战略的组成部分。
业务连续性程序(Business Continuity Procedures):组织应记录程序(包括必要的安排),以确保业务的连续性和对破坏性事件的管理。这些程序必须:
Ø 建立适当的内部和外部沟通协定;
Ø 具体说明在中断期间要采取的步骤;
Ø 灵活应对非预期威胁和变化的内外部状况;
Ø 重点关注那些可能会破坏运营的事件的影响;
Ø 基于已阐明假设和互依赖性分析制定;并
Ø 通过实施适当的缓解策略有效地最小化后果。
演练和测试(exercising and testing):为确保业务连续性程序与其业务连续性目标一致,组织应定期对其进行测试。演练和测试是验证业务连续性计划和程序的过程,以确保所选策略能够在管理层商定的时间范围内提供响应和恢复结果。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。