隨著ISO22301業務連續性管理逐漸成熟,ISO22301業務連續性管理不再僅用于應對災難等低概率影響大的事件,而是逐步成為組織提升業務恢復能力,保護組織價值的管理過程,成為組織管理的一部分。
國內組織對ISO22301業務連續性管理日趨重視,很多組織,尤其是金融、IT、云計算、云服務等企業,開展了ISO22301業務連續性管理體系的建設。然而在一些組織,業務連續性管理的規劃實施重點僅在災備建設從基礎環境、硬件設施等方面入手,或全面撒網建立應急預案,而應急預案則多空洞或僅關注技術層面。再遇到這種情況時,往往發現在業務連續性管理需求建立階段做得工作比較少,或沒有獲得充足的信息。
那如何識別組織的業務連續性管理需求呢?其中非常重要的一點就是要充分了解組織,這一活動的重點是收集信息,從而幫助組織制定合理的業務連續性管理方案,管理那些可能對組織造成嚴重損失的業務中斷。具體的活動包含業務影響分析、資源需求分析和風險評估。
一、業務影響分析
所謂業務影響分析也就是評估一項業務活動在中斷一定時間后對組織業務運營能力的影響,重點在通過業務影響分析找到需要保護的活動以及這些活動的最長可容忍中斷時間(MTPD)。
在這項工作開展之前,有兩件事情需要完成:首先,得到管理層的支持,包括資源的提供和活動的協調,這是所有管理活動成功實施的基礎;第二,需要初步確定業務聯系性管理覆蓋的范圍,對于組織來說,可能有一些產品和服務必須納入業務連續性管理范圍內(這些信息可能來自于管理層或外部監管單位),因此,在業務影響分析之前就需要確定下來,最終的范圍可以等到業務影響分析完成以后再確定。完成這兩件事情之后,組織就可以著手開始業務影響分析,通常,業務影響分析包含如下步驟。
1.分析產品或服務
分析確定ISO22301業務連續性管理范圍內的產品或服務。這一過程通常需要考慮很多方面,例如,產品或服務帶來的收益、中斷后的經濟損失、名譽損失、可能帶來的法律糾紛等。
最好這些損失可以量化到經濟損失,這對于說服管理層很重要,同時也是成本效益分析的基礎,當然,這些量化工作需要豐富的經驗數據支撐。
2.識別支持產品和服務的活動
活動的識別需要通過信息收集的方式來完成,對收集的信息進行梳理,將活動與產品和服務進行對應,當然,有的活動可以支持多項產品或服務,活動之間也會有相關支持的關系,這些信息同樣需要進行收集。同時這一環節應識別活動的負責人以及可以提供活動相關信息的人員,為后期的信息收集做準備。
3.分析影響
分析活動中斷持續一定時間后對提供產品和服務的影響。活動識別完成后,需要確定活動執行的頻繁程度、高峰期及在平時和特殊時期活動中斷后組織還能運營多久,從而確定活動中斷后多久會對組織產生影響,以及影響程度。這時候往往需要財務數據的支持,例如某項產品或服務的年收益,高峰期收益,客戶的依賴程度,外部競爭對手的數量和競爭力等,這些信息可能是組織的秘密信息,無法提供,這時,可以要求相關部門進行協助,進行影響程度的判斷。
4.定性評價
確定關鍵活動以及關鍵活動的定性評價(MTPD)。通過對活動是影響的分析,可以確定哪些活動是關鍵活動,也就是納入進一步分析范圍內的活動。同時也可以初步確定關鍵活動在多長時間內必須恢復。也就是關鍵活動的最長可容忍恢復時間。
二、資源需求分析
在這一環節的主要工作是通過收集的信息,分析業務活動恢復需要的資源,包括環境、設施、人員和外部服務等。資源需求的分析需要和業務影響分析進行綜合考慮,通常在關鍵業務確定以后,資源需求的信息收集就可以開展了。為了在一定的時間內恢復到約定的服務水平,需要的資源種類包括:人員、場所、設備、信息、技術和外部支持,需要根據活動的類型和恢復要求進行確定。其中數據資源是一種比較特殊的資源,在這一階段需要確定執行活動的最大可容忍數據丟失(MTDL)。
除內部資源外,在業務活動中斷后,可能還需要外部的支持,這需要在識別活動的同時識別內部活動與外部支持活動之間的接口,當中斷發生時,外部支持活動也可能會受到影響,因此,需要識別獲得外部支持需要的資源。
業務影響分析和資源需求分析的結果應經過反復評審,從而確定其準確性。
三、風險評估
分析評估活動主要是通過識別、分析和評價可能造成業務中斷的風險,幫助組織建立預防措施,降低或避免造成業務中斷的風險。風險評估的方法有很多種,在ISO31000:2009《風險管理原則和指南》中給出了風險評估的基本原則和實施指南,該標準也是ISO22301:2012中推薦使用的標準。根據ISO31000,對于業務連續性管理來說,風險評估主要從影響出發,識別那些可能引起中斷的風險,分析風險發生的可能性和影響,從而評價風險是否需要處理。在這個基礎上,再去識別風險發生的原因(內因和外因),從原因入手,建立措施控制風險的發生,也就是降低中斷發生的可能性和影響。
四、注意事項
一般情況下,為了保持業務影響分析和風險評估的持續有效,需要對業務影響分析和風險評估的結果進行定期的評審。
在業務影響分析和資源需求分析過程中,都需要收集一定的信息,信息收集的方式有很多種,可以是問卷調查,也可以是會議討論和人員訪談。信息收集的范圍則取決于組織所處的環境,可能的范圍包括組織的管理層、組織范圍內的部門、外部客戶和用戶、供應商、監管單位、上層機構等。如果建立業務連續性管理體系是組織的一部分,那這一部分與組織其他部分之間的接口信息也很重要。
確定組織的業務連續性需求是ISO22301業務連續性管理系統建立過程中比較基礎的環節,這一環節輸出信息的充分和完整直接影響業務連續性管理體系的充分性、適宜性和有效性。因此,在這個環節建議組織投入足夠的資源保證其有效。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
