业务连续性管理体系认证

一、业务背景

现今，由于自然灾害、IT 中断及人为事故频繁发生，企业业务运作的不确定性和风险大幅度增加，加强企业的业务连续性管理成为打造最佳企业应急能力的必然选择。业务连续性管理（Business Continuity Management，以下简称BCM），是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制定应急响应计划、灾难恢复计划和业务连续性计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

业务连续性管理的概念起源于上世纪70年代，与计算机技术的发展密不可分，随着计算机技术在各行各业的广泛应用，业务连续性管理活动在业务运营过程中的重要性被逐渐意识到，并发展成为一门学科。政府和立法部门则从降低社会破坏性事故方面的作用对该学科予以肯定。

二、业务介绍

业务连续性管理收i识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

ISO 22301是国际框架标准，旨在帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。并且该标准可帮助企业建立高效的备份系统和流程，用于防范 盗窃、自然灾害、疾病爆发、恐怖袭击和其他特别事件。ISO 22301规定了计划、实施、监控、审查和改进公司业务连续性管理系统的要求，从而将中断可能产生的影响降至最低。ISO 22301管理体系框架能够整体BCM方案必须通过确定范围、风险评估、业务连续性管理战略、业务连续性目标、开发计划、教育训练、演习、测试、审查和持续改进等活动得到管理。

BCMS也应包括风险评估(RA)和业务影响分析(BIA)，这是ISO 22301的内在组成部分和基本组成部分、确定优先活动、受依赖和资源应支持的关键产品和服务，以及他们的失败将对组织产生的影响。

三、实施该业务的价值

BCMS框架能够帮助企业制定一套标准化的管理流程，用于建立、实施、运行、监视、评审、保持和改进业务连续性，并与组织整体管理相适应。

BCMS提高了企业的风险防范能力，帮助其确定可能发生的冲击对企业的运作造成的威胁；提供一个有效的管理机制来阻止或抵消这些威胁；降低了风险的不良影响；减少灾难事件给企业带来的损失；

BCMS保护组织声誉，提高供应链环节相关企业的信心；达到监管机构、业务合作伙伴及其他重要利益相关方的期望。向监管方保证已符合来自内部、法规、及客户的连续性要求。

BCMS有机会节省内部及外部BCM的成本，提升财务绩效；并改善企业在保险商心目中的风险状况，以便降低业务连续性相关的保险费用；

BCMS的持续改进，可提高企业的应变能力和恢复能力。

四、业务流程

申请认证的组织组织应建立符合ISO 22301标准要求的文件化业务连续性管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上；     

组织应向赛西认证提供业务连续性管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核；

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论；

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。