BCM相关的国际标准,国际标准中BCM相关条款,国际标准在BCM中的关系,国际标准在BCM的最佳实践。
一、BCM的发展
BCM的发展主要经历了如下几个阶段。1960年末,首先出现处理IT中断的方式,对单点故障采取冗余措施;1970年末,出现灾难恢复服务商,为企业提供计算机运行中断后的灾难恢复专业外包服务;1980年初,更多的灾难恢复服务商形成外包服务领域,如IBM提供热备援 (Hot Site)服务等;1990年,业务持续性管理不仅仅局限于IT灾难恢复服务,而是进入到了更为广泛的企业业务持续管理领域;1995年,国际标准中系统地讲述业务持续性管理,如BS7799,英国[ /n?k=%C9%CC%CE%F1%B2%BF]商务部[/url]推动,由BSI将其发展成为标准;2001年后,相关国际标准相继出台,依据国际标准,对IT相关的管理体系认证与IT人员的认证进入中国。
二、BCM相关的国际标准
与BCM相关的国际标准比较多,现在分别为大家进行介绍,主要包括:能力成熟度模型集成CMMI,主要对项目生命周期团队管理能力进行评估;IT治理框架COBIT,提供信息及相关技术的控制目标,重点突出财务方面的审核;质量管理体系ISO9001:2000,对IT系统的生命周期进行管理;IT服务管理标准ISO20000-1:2005;IT服务管理的使用指导规范ISO20000-2:2005,是建立体系的最优解决方案;信息安全管理体系ISO27001:2005;信息安全管理体系使用指导规范ISO27002:2005;信息技术基础架构库ITIL3.0,实现企业信息化的系统规划和全生命周期管理。
另外,针对信息安全审计方面的专业认证考试有注册信息系统审计师 CISA和信息系统安全认证专业人员CISSP。
三、国际标准中BCM相关条款
对应BCM,标准应该涵盖的范围包括项目管理、风险管理、业务影响分析、响应计划、管理能力培训、检查与持续改进。对应这些分值职能,不同的国际标准分别有不同侧重。其中,CISA和CISSP主要进行员工能力培训,CMMI主要侧重项目管理,COBIT侧重员工能力培训,ISO9001侧重项目管理、员工能力培训和检查与持续改进,ISO20000主要用于响应计划管理和检查与持续改进,ISO27000主要用于风险管理和业务影响分析,ITIL主要用于响应计划管理和能力培训。
四、国际标准在BCM中的关系
针对业务持续性管理方针,企业信息化需要满足法律法规、组织内部和顾客的要求。对此有两个标准框架进行支撑,分别是支持信息安全的框架ISO27001,支持服务承诺的框架ISO20000。国际标准的实现体现在一些相关的服务上,针对人员能力管理,可以参照CISA和CISSP;针对风险和业务影响分析,可以参照ISO27001;针对IT项目管理,参照CMMI,ITIL和COBIT;针对IT服务管理,参照ISO20000;针对IT故障演练,参照ISO27001;针对事件问题管理,参照ISO20000。当然,这一系列服务的实现必须依靠企业信息化的有力支撑,包括组织结构调整、企业资产的最佳配置和IT系统的构建,对应会产生一系列过程文件和流程管理。这个BCM的实现总体上由ISO9001和ISO2000辅助进行产品提供、质量和服务的监视测量,最终达到持续改进的组织业务。
大家可能会分别关注在业务连续性管理过程中每个阶段分别参照什么标准,这些在下一部分讲解中将会涉及。我们这里主要提到的是框架的标准,在实际操作中还应该采取相关技术手段。
五、国际标准在BCM的最佳实践
大家一定非常关注在BCM实施的各个阶段分别应该应用哪些标准,下面就介绍一下国际标准在BCM的最佳实践。概括说来,在项目管理阶段主要采用CMMI,风险管理阶段和业务影响分析阶段采用ISO27000,在相应计划管理阶段、能力培训阶段和检查与改进主要采用ISO20000。
此外,在一些关键环节应该参照的标准可以归纳如下:建立持续改进的管理体系可参照ISO27001,ISO20000;为达成企业质量与服务的承诺,流程和体系的管理可参照ISO9001,ISO20000-1;对于企业IT项目管理,可参照CMMI;对企业IT系统的设计、开发和使用可参照COBIT、ITIL、ISO20000-1和ISO27002;对企业IT人员能力的培训,可参照CISA和CISSP;为证明企业BCM相关能力,取得客户认可和取得第三方认证可参照ISO27001和ISO20000;为证明企业IT项目的管理能力,可进行CMMI评估;为证明企业IT人员能力,取得国际认可的资质,可参照CISA和CISSP。
Q&A
1.新的ITIL标准中有BS25999,他和其他国际标准的关系是这么样的?
BS25999是针对BCM的整体标准,囊括了很多内容,涵盖全过程,广泛应用于BCM。但是BS25999还不是国际标准,所以在规划和实施BCM时,应该将BS25999和国标结合起来,共同支撑业务连续化管理。
2.根据法律法规,除了银行业,其他IT行业有没有建立相关BCM的要求?
法律法规只对银行、证券这些关键性行业有要求,但是具体行业的实施与否是由行业需求来决定的,主要依靠企业内部的驱动和外部产业链的驱动。
此外,国务院信息办重点要求8个重点行业应该全面建设容灾系统,虽然尚未上升到法律法规的层面,但是对BCM的推进是势在必行的。
3.在众多标准中,企业在实施过程中应该任何选择?跟随国际标准的认证对企业有什么好处?标准的应用是否一定会促进企业的发展?
每个标准有自己的特点,企业需要根据自己的需要进行多体系多标准的整合。最重要的是根据企业的流程需要去选择相关标准。但是,具体哪个标准更适合哪个企业,需要咨询专家具体诊断,综合考评后决定哪些标准更适合企业的需求。
国际标准的认证可以使企业在IT规划和业务连续性管理方面更加规范和专业,不仅是对企业相关能力的展示,而且最重要的是促使企业的IT更稳定高效的支撑企业的业务运作,为企业创造长期的收益。
_sina_#8221_word__曜嫉挠τ檬欠褚欢ɑ岽俳笠档姆⒄梗馊【鲇诒曜嫉挠τ檬欠窈推笠档牧鞒毯芎玫慕岷希械姆攀傅娜シ务于流程的需要。在国内,有些企业通过标准可能只是为了认证来证明自己的实力,并没有将标准落实到实处;而有些企业看重的是长期效果,会通过一些措施来认真贯彻标准的实施,并测量标准执行的回报率,这样才能使标准的应用真正为企业创造价值。
|