业务连续性管理体系认证

一、项目背景介绍

业务连续性管理（Business Continuity Management，以下简称BCM），是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制定应急响应计划、灾难恢复计划和业务连续性计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

业务连续性管理的概念起源于上世纪70年代，与计算机技术的发展密不可分，随着计算机技术在各行各业的广泛应用，业务连续性管理活动在业务运营过程中的重要性被逐渐意识到，并发展成为一门学科。政府和立法部门则从降低社会破坏性事故方面的作用对该学科予以肯定。

2006年，ISO/PAS 22399:2007 《事故应对和连续性管理》指南文件成功发布，2012年，ISO22301：2012发布，作为真正的国际性标准，参考了澳大利亚、法国、德国、日本、朝鲜、新加坡、瑞典、泰国、英国和美国的重要建议。我国于2013年等同采用发布了《公共安全-业务连续性管理体系要求》国家标准(GB/T 30146-2013),并于2014年5月1日起实施。目前，全球的企业在通过权威的第三方认证向相关方展示其业务连续性的管理能力

国家推荐标准GB/T 30146《公共安全 业务连续性管理体系 要求》中对业务连续性管理的定义为：识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

二、开展BCMS对企业的益处

Ø  现今，由于自然灾害、IT 中断及人为事故频繁发生，企业业务运作的不确定性和风险大幅度增加，加强企业的业务连续性管理成为打造最佳企业应急能力的必然选择；

Ø  BCMS框架能够帮助企业制定一套标准化的管理流程，用于建立、实施、运行、监视、评审、保持和改进业务连续性，并与组织整体管理相适应。

Ø  BCMS提高了企业的风险防范能力，帮助其确定可能发生的冲击对企业的运作造成的威胁；提供一个有效的管理机制来阻止或抵消这些威胁；降低了风险的不良影响；减少灾难事件给企业带来的损失；

Ø  BCMS保护组织声誉，提高供应链环节相关企业的信心；达到监管机构、业务合作伙伴及其他重要利益相关方的期望。向监管方保证已符合来自内部、法规、及客户的连续性要求。

Ø  BCMS有机会节省内部及外部BCM的成本，提升财务绩效；并改善企业在保险商心目中的风险状况，以便降低业务连续性相关的保险费用；

Ø  BCMS的持续改进，可提高企业的应变能力和恢复能力。

三、CESI优势

Ø  BCMS项目同样采用了PDCA模型，在一定程度上保证了与其它管理体系标准（如质量、环境、信息安全、IT服务）的兼容性。CESI是同时具备该类认证服务能力的机构。

Ø  CESI是中国信息安全管理标准族（ISO/IEC27001系列标准）对应国家标准的制定单位，认监委和认可委的技术支撑机构。CESI作为全国信息安全标准化技术委员会秘书处单位，负责信息安全主要标准的研究制定，组织并主要承担信息安全管理体系标准的国标转化等工作，如ISO/IEC17799、ISO/IEC27001、ISO/IEC27002、ISO/IEC27006等。

Ø  CESI制定了“信息安全管理体系认证机构及认证人员认可规则”、“信息安全管理体系审核认证机构要求”等管理制度。并于2005 年，成为首批被认监委授权开展ISO27001信息安全管理体系认证的机构。

Ø  CESI跟踪并转化了 ISO/IEC 20000-1:2005 IT服务管理体系的相关认证、认可文件及系列标准。