業務連續性管理體系認證

一、項目背景介紹

業務連續性管理（Business Continuity Management，以下簡稱BCM），是一項綜合管理流程，它使企業認識到潛在的危機和相關影響，制定應急響應計劃、災難恢復計劃和業務連續性計劃，其總體目標是為了提高企業的風險防范能力，以有效地響應非計劃的業務破壞并降低不良影響。

業務連續性管理的概念起源于上世紀70年代，與計算機技術的發展密不可分，隨著計算機技術在各行各業的廣泛應用，業務連續性管理活動在業務運營過程中的重要性被逐漸意識到，并發展成為一門學科。政府和立法部門則從降低社會破壞性事故方面的作用對該學科予以肯定。

2006年，ISO/PAS 22399:2007 《事故應對和連續性管理》指南文件成功發布，2012年，ISO22301：2012發布，作為真正的國際性標準，參考了澳大利亞、法國、德國、日本、朝鮮、新加坡、瑞典、泰國、英國和美國的重要建議。我國于2013年等同采用發布了《公共安全-業務連續性管理體系要求》國家標準(GB/T 30146-2013),并于2014年5月1日起實施。目前，全球的企業在通過權威的第三方認證向相關方展示其業務連續性的管理能力

國家推薦標準GB/T 30146《公共安全 業務連續性管理體系 要求》中對業務連續性管理的定義為：識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。

二、開展BCMS對企業的益處

?  現今，由于自然災害、IT 中斷及人為事故頻繁發生，企業業務運作的不確定性和風險大幅度增加，加強企業的業務連續性管理成為打造最佳企業應急能力的必然選擇；

?  BCMS框架能夠幫助企業制定一套標準化的管理流程，用于建立、實施、運行、監視、評審、保持和改進業務連續性，并與組織整體管理相適應。

?  BCMS提高了企業的風險防范能力，幫助其確定可能發生的沖擊對企業的運作造成的威脅；提供一個有效的管理機制來阻止或抵消這些威脅；降低了風險的不良影響；減少災難事件給企業帶來的損失；

?  BCMS保護組織聲譽，提高供應鏈環節相關企業的信心；達到監管機構、業務合作伙伴及其他重要利益相關方的期望。向監管方保證已符合來自內部、法規、及客戶的連續性要求。

?  BCMS有機會節省內部及外部BCM的成本，提升財務績效；并改善企業在保險商心目中的風險狀況，以便降低業務連續性相關的保險費用；

?  BCMS的持續改進，可提高企業的應變能力和恢復能力。

三、CESI優勢

?  BCMS項目同樣采用了PDCA模型，在一定程度上保證了與其它管理體系標準（如質量、環境、信息安全、IT服務）的兼容性。CESI是同時具備該類認證服務能力的機構。

?  CESI是中國信息安全管理標準族（ISO/IEC27001系列標準）對應國家標準的制定單位，認監委和認可委的技術支撐機構。CESI作為全國信息安全標準化技術委員會秘書處單位，負責信息安全主要標準的研究制定，組織并主要承擔信息安全管理體系標準的國標轉化等工作，如ISO/IEC17799、ISO/IEC27001、ISO/IEC27002、ISO/IEC27006等。

?  CESI制定了“信息安全管理體系認證機構及認證人員認可規則”、“信息安全管理體系審核認證機構要求”等管理制度。并于2005 年，成為首批被認監委授權開展ISO27001信息安全管理體系認證的機構。

?  CESI跟蹤并轉化了 ISO/IEC 20000-1:2005 IT服務管理體系的相關認證、認可文件及系列標準。