客服热线:
手机版
二维码
BS25999认证
BS 25999认证
BS25999的基本概念
指一种整体管理流程。该流程的目标在于及早明确可能发生的冲击对企业运作造成的威胁,并提供合理的架构有效阻止或抵消不明确事件造成的威胁,保证企业日常业务运行的平稳有序。业务连续性管理是比灾难恢复更高一层面的概念。
BSI公司在2007年正式发布了业务连续性管理的标准BS25999,目的就是使业务连续性管理有章可循。作为一套整体的管理标准和管理流程,BS25999标准协助企业进行业务冲击分析及风险分析,并将其量化,继而开发制定各种相应应急及恢复计划、方法和流程,减轻灾难事件对企业造成的不利影响。
BS25999这样描述业务连续性管理“业务连续管理是1个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。
标准发展历程:
PAS56:2003
是一份业务连续性管理的指南。从标题上可见,2003年由BSI发布的。在英国的BCI(Business Continuity Institution)的《业务连续性管理:最佳惯例指南》基础上,说明了业务连续性管理的过程、原则和术语,描述了明确业务连续性管理过程中的活动和结果,并提供了一系列关于最佳业务连续性管理的建议、事件预期、事件反应、评估技术/标准。
BS25999-1:2006
第一部分:BCM实践指南-指引文件
协助企业建立相应的准备机制。这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期,过程的评价以及更新文件系统,业务持续管理的选项,以及实施业务持续管理的方法和战略。
BS25999-2:2007
第二部分:BCM规范。对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。
标准组成
BS25999标准由英国标准协会(BSI)制定,标准分为两大部分:BS25999-1为业务持续发展指南,协助企业建立相应的准备机制。负责该标准制订的技术委员会由来自政府、企业界、学术界等各方面的专家组成,成员还包含一系列非盈利组织,如业务持续管理学会(BCI)、持续性论坛、紧急事件应对协会(EPS)、风险管理经理人协会(ALARM)、英国贸工部、内政应急事务办公室、金融服务机构、英国工商业联合会、公司董事学会、英国保险业联合会,以及小企业联合会等。
这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。还阐述了业务持续管理的生命周期,过程的评价以及更新文件系统,业务持续管理的选项,以及实施业务持续管理的方法和战略。
该项标准包含以下部分:
l定义和术语
l什么叫业务持续管理
l业务持续管理总览
l业务持续管理体系
l项目管理
l对组织的认识
l决定业务持续管理的模式
l制定和执行业务持续管理的机制
l业务持续管理的实施、维护、审核和评价
l将业务持续管理植入企业文化
BS25999-2于2007年11月正式颁布,对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。
目前,第一部分和第二部分的标准正在越来越多地被业界应用。BSI的技术委员会还在致力于该系列的其它标准文件,协助企业具体实施业务可持续性管理体系。未来工作的方向包含体系的验证和演练、IT系统灾难恢复、危机处理等相关标准。
标准实施步骤
BS25999把业务连续管理框架分成六个部分,分别为BCM管理程序,理解组织,决定战略,开发并实施BCM响应,演练、维护和评审回顾,以及把BCM植入组织文化。参考这六个步骤,组织能够建立自己的BCM管理框架,在正常是做好准备,在灾害发生时能够从容应对,灾害后能尽快恢复。
BCM管理程序—包含职责的分配,在组织中实施和持续管理。BCM方案管理—包含职责的分配,在组织中实施和持续管理。
了解你的组织—了解组织的产品和服务,识别关键活动,搞清楚其供应链上的依赖关系;
明确BCM战略—找出业务最大容忍的中断时间,这是非常关键的1步,最大中断时间要满足行业监管和利益相关方的要求,也代表着资源的投入,包含人员,场所,设备,技术,供应商,利害相关方,信息;
开发和实施BCM响应—根据企业的规模大小,可能有1个或多个连续性的计划。针对不同业务的特殊部分或者特殊的场所和情形,计划要详细而不冗长,可读可执行。包含事件的应急处理计划,连续性计划和灾难恢复计划等内容。
演练维护和评审—通过演练证明BCM的计划是有效的,并不断地维护保持更新。新的灾难场景和新的业务类型都会造成BCM的改变。演练的方法包含桌面到部分或全部模拟演练等各种形式,成本费用和产生的演练效果是不同的。
把BCM植入组织文化—BCM应对的就是小概率大灾难事件,仅有通过不断的意识培训和演练来加强全体员工的应变能力。高层要明确职责分配,确保BCM成为企业核心价值和企业文化的一部分。
将BS 25999与您的业务管理体系相整合
业务持续管理(BCM)包含组织业务在遇到运营中断时所采取的恢复性及业务持续性活动。业务持续管理(BCM)方案通过培训、演练、评审等活动来管理业务,确保组织始终拥有最先进的业务持续计划。即使组织从来没有遇到过重大事故,在BS 25999基础上建立业务持续管理体系(BCMS),能协助组织明确重要业务流程及事故可能带来的影响。
BS 25999(英国业务持续管理标准)在业务持续管理(BCM)最佳操作指南基础上,为组织提供一套覆盖整体业务持续管理(BCM)运营周期的综合控制方法。它通过明确组织计划及应对事故或营运中断的战略决策能力,协助组织在预定水平上维持业务的营运。BS 25999为通用标准,旨在引导组织建立适合自己的业务持续管理(BCM)体系,从而未雨绸缪,提升组织应对危机的能力。
业务持续管理体系应当包含业务影响分析(BIA),它是BS 25999的固有部分,并协助组织明确支持其核心产品及服务的重要活动、依赖物及资源,以及业务营运事故可能给组织带来的影响。业务影响分析(BIA是业务持续计划的重要构成。
BS 25999认证为组织带来的益处
组织上下都能明确并理解重点业务流程及业务中断所带来的影响;
提升组织的适应性及恢复能力,促进组织的长期生存;
相比适应性稍弱的竞争对手,更具有优势;
在危机情况时,向媒体及股东传递正面消息;
加强保险商的风险预测,从而减少保险费的投入;
证明组织对企业风险管理的承诺;
始终符合法规要求、实现保险商、业务合作伙伴以及它重要股东的期望;
减少事故带来的财务影响;
确保信息资产的安全;
通过专业的方法管理营运中断问题,从而维护并提高组织的声誉;
重要服务的连续性,确保顾客服务的持续。
组织通过提高对事故的能力处理及避免事故对重要运营流程的影响从而实现其目标;
组织通过可持续发展的建立,使工作岗位得到明显保障。
今日通过对《BS 25999认证》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
BS7799,ISO17799与ISO27001的关系
BS7799, ISO17799与ISO27001的关系
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准—ISO27001(即以前所称的BS7799标准),则成为能够指导我们现实工作的最好的参照。
BS7799是英国标准协会(British StandaRDS Institute,BSI)于1995年2月制定的信息安全管理标准,分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间探讨修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005。
ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of PractiCE for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2005中的11个主题分别是:
安全策略(Security policy);
信息安全组织(Organization of information security);
资产管理(Asset management);
人力资源安全 (Human resource security);
物理和环境安全(Physical and environmental security);
通信和操作管理(Communication and operation management);
访问控制(Access control);
信息系统获取、开发和维护(Information systems acquisition, development and maintenance);
信息安全事件管理(Information security incident management);
业务连续性管理(Business continuity management);
符合性(Compliance)。
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,假如要得到BSI最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的申请注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业必须的信息安全管理体系。
今日通过对《BS7799, ISO17799与ISO27001的关系》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
