隨著ISO22301業(yè)務(wù)連續(xù)性管理逐漸成熟,ISO22301業(yè)務(wù)連續(xù)性管理不再僅用于應(yīng)對(duì)災(zāi)難等低概率影響大的事件,而是逐步成為組織提升業(yè)務(wù)恢復(fù)能力,保護(hù)組織價(jià)值的管理過(guò)程,成為組織管理的一部分。
國(guó)內(nèi)組織對(duì)ISO22301業(yè)務(wù)連續(xù)性管理日趨重視,很多組織,尤其是金融、IT、云計(jì)算、云服務(wù)等企業(yè),開(kāi)展了ISO22301業(yè)務(wù)連續(xù)性管理體系的建設(shè)。然而在一些組織,業(yè)務(wù)連續(xù)性管理的規(guī)劃實(shí)施重點(diǎn)僅在災(zāi)備建設(shè)從基礎(chǔ)環(huán)境、硬件設(shè)施等方面入手,或全面撒網(wǎng)建立應(yīng)急預(yù)案,而應(yīng)急預(yù)案則多空洞或僅關(guān)注技術(shù)層面。再遇到這種情況時(shí),往往發(fā)現(xiàn)在業(yè)務(wù)連續(xù)性管理需求建立階段做得工作比較少,或沒(méi)有獲得充足的信息。
那如何識(shí)別組織的業(yè)務(wù)連續(xù)性管理需求呢?其中非常重要的一點(diǎn)就是要充分了解組織,這一活動(dòng)的重點(diǎn)是收集信息,從而幫助組織制定合理的業(yè)務(wù)連續(xù)性管理方案,管理那些可能對(duì)組織造成嚴(yán)重?fù)p失的業(yè)務(wù)中斷。具體的活動(dòng)包含業(yè)務(wù)影響分析、資源需求分析和風(fēng)險(xiǎn)評(píng)估。
一、業(yè)務(wù)影響分析
所謂業(yè)務(wù)影響分析也就是評(píng)估一項(xiàng)業(yè)務(wù)活動(dòng)在中斷一定時(shí)間后對(duì)組織業(yè)務(wù)運(yùn)營(yíng)能力的影響,重點(diǎn)在通過(guò)業(yè)務(wù)影響分析找到需要保護(hù)的活動(dòng)以及這些活動(dòng)的最長(zhǎng)可容忍中斷時(shí)間(MTPD)。
在這項(xiàng)工作開(kāi)展之前,有兩件事情需要完成:首先,得到管理層的支持,包括資源的提供和活動(dòng)的協(xié)調(diào),這是所有管理活動(dòng)成功實(shí)施的基礎(chǔ);第二,需要初步確定業(yè)務(wù)聯(lián)系性管理覆蓋的范圍,對(duì)于組織來(lái)說(shuō),可能有一些產(chǎn)品和服務(wù)必須納入業(yè)務(wù)連續(xù)性管理范圍內(nèi)(這些信息可能來(lái)自于管理層或外部監(jiān)管單位),因此,在業(yè)務(wù)影響分析之前就需要確定下來(lái),最終的范圍可以等到業(yè)務(wù)影響分析完成以后再確定。完成這兩件事情之后,組織就可以著手開(kāi)始業(yè)務(wù)影響分析,通常,業(yè)務(wù)影響分析包含如下步驟。
1.分析產(chǎn)品或服務(wù)
分析確定ISO22301業(yè)務(wù)連續(xù)性管理范圍內(nèi)的產(chǎn)品或服務(wù)。這一過(guò)程通常需要考慮很多方面,例如,產(chǎn)品或服務(wù)帶來(lái)的收益、中斷后的經(jīng)濟(jì)損失、名譽(yù)損失、可能帶來(lái)的法律糾紛等。
最好這些損失可以量化到經(jīng)濟(jì)損失,這對(duì)于說(shuō)服管理層很重要,同時(shí)也是成本效益分析的基礎(chǔ),當(dāng)然,這些量化工作需要豐富的經(jīng)驗(yàn)數(shù)據(jù)支撐。
2.識(shí)別支持產(chǎn)品和服務(wù)的活動(dòng)
活動(dòng)的識(shí)別需要通過(guò)信息收集的方式來(lái)完成,對(duì)收集的信息進(jìn)行梳理,將活動(dòng)與產(chǎn)品和服務(wù)進(jìn)行對(duì)應(yīng),當(dāng)然,有的活動(dòng)可以支持多項(xiàng)產(chǎn)品或服務(wù),活動(dòng)之間也會(huì)有相關(guān)支持的關(guān)系,這些信息同樣需要進(jìn)行收集。同時(shí)這一環(huán)節(jié)應(yīng)識(shí)別活動(dòng)的負(fù)責(zé)人以及可以提供活動(dòng)相關(guān)信息的人員,為后期的信息收集做準(zhǔn)備。
3.分析影響
分析活動(dòng)中斷持續(xù)一定時(shí)間后對(duì)提供產(chǎn)品和服務(wù)的影響。活動(dòng)識(shí)別完成后,需要確定活動(dòng)執(zhí)行的頻繁程度、高峰期及在平時(shí)和特殊時(shí)期活動(dòng)中斷后組織還能運(yùn)營(yíng)多久,從而確定活動(dòng)中斷后多久會(huì)對(duì)組織產(chǎn)生影響,以及影響程度。這時(shí)候往往需要財(cái)務(wù)數(shù)據(jù)的支持,例如某項(xiàng)產(chǎn)品或服務(wù)的年收益,高峰期收益,客戶(hù)的依賴(lài)程度,外部競(jìng)爭(zhēng)對(duì)手的數(shù)量和競(jìng)爭(zhēng)力等,這些信息可能是組織的秘密信息,無(wú)法提供,這時(shí),可以要求相關(guān)部門(mén)進(jìn)行協(xié)助,進(jìn)行影響程度的判斷。
4.定性評(píng)價(jià)
確定關(guān)鍵活動(dòng)以及關(guān)鍵活動(dòng)的定性評(píng)價(jià)(MTPD)。通過(guò)對(duì)活動(dòng)是影響的分析,可以確定哪些活動(dòng)是關(guān)鍵活動(dòng),也就是納入進(jìn)一步分析范圍內(nèi)的活動(dòng)。同時(shí)也可以初步確定關(guān)鍵活動(dòng)在多長(zhǎng)時(shí)間內(nèi)必須恢復(fù)。也就是關(guān)鍵活動(dòng)的最長(zhǎng)可容忍恢復(fù)時(shí)間。
二、資源需求分析
在這一環(huán)節(jié)的主要工作是通過(guò)收集的信息,分析業(yè)務(wù)活動(dòng)恢復(fù)需要的資源,包括環(huán)境、設(shè)施、人員和外部服務(wù)等。資源需求的分析需要和業(yè)務(wù)影響分析進(jìn)行綜合考慮,通常在關(guān)鍵業(yè)務(wù)確定以后,資源需求的信息收集就可以開(kāi)展了。為了在一定的時(shí)間內(nèi)恢復(fù)到約定的服務(wù)水平,需要的資源種類(lèi)包括:人員、場(chǎng)所、設(shè)備、信息、技術(shù)和外部支持,需要根據(jù)活動(dòng)的類(lèi)型和恢復(fù)要求進(jìn)行確定。其中數(shù)據(jù)資源是一種比較特殊的資源,在這一階段需要確定執(zhí)行活動(dòng)的最大可容忍數(shù)據(jù)丟失(MTDL)。
除內(nèi)部資源外,在業(yè)務(wù)活動(dòng)中斷后,可能還需要外部的支持,這需要在識(shí)別活動(dòng)的同時(shí)識(shí)別內(nèi)部活動(dòng)與外部支持活動(dòng)之間的接口,當(dāng)中斷發(fā)生時(shí),外部支持活動(dòng)也可能會(huì)受到影響,因此,需要識(shí)別獲得外部支持需要的資源。
業(yè)務(wù)影響分析和資源需求分析的結(jié)果應(yīng)經(jīng)過(guò)反復(fù)評(píng)審,從而確定其準(zhǔn)確性。
三、風(fēng)險(xiǎn)評(píng)估
分析評(píng)估活動(dòng)主要是通過(guò)識(shí)別、分析和評(píng)價(jià)可能造成業(yè)務(wù)中斷的風(fēng)險(xiǎn),幫助組織建立預(yù)防措施,降低或避免造成業(yè)務(wù)中斷的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估的方法有很多種,在ISO31000:2009《風(fēng)險(xiǎn)管理原則和指南》中給出了風(fēng)險(xiǎn)評(píng)估的基本原則和實(shí)施指南,該標(biāo)準(zhǔn)也是ISO22301:2012中推薦使用的標(biāo)準(zhǔn)。根據(jù)ISO31000,對(duì)于業(yè)務(wù)連續(xù)性管理來(lái)說(shuō),風(fēng)險(xiǎn)評(píng)估主要從影響出發(fā),識(shí)別那些可能引起中斷的風(fēng)險(xiǎn),分析風(fēng)險(xiǎn)發(fā)生的可能性和影響,從而評(píng)價(jià)風(fēng)險(xiǎn)是否需要處理。在這個(gè)基礎(chǔ)上,再去識(shí)別風(fēng)險(xiǎn)發(fā)生的原因(內(nèi)因和外因),從原因入手,建立措施控制風(fēng)險(xiǎn)的發(fā)生,也就是降低中斷發(fā)生的可能性和影響。
四、注意事項(xiàng)
一般情況下,為了保持業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的持續(xù)有效,需要對(duì)業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行定期的評(píng)審。
在業(yè)務(wù)影響分析和資源需求分析過(guò)程中,都需要收集一定的信息,信息收集的方式有很多種,可以是問(wèn)卷調(diào)查,也可以是會(huì)議討論和人員訪談。信息收集的范圍則取決于組織所處的環(huán)境,可能的范圍包括組織的管理層、組織范圍內(nèi)的部門(mén)、外部客戶(hù)和用戶(hù)、供應(yīng)商、監(jiān)管單位、上層機(jī)構(gòu)等。如果建立業(yè)務(wù)連續(xù)性管理體系是組織的一部分,那這一部分與組織其他部分之間的接口信息也很重要。
確定組織的業(yè)務(wù)連續(xù)性需求是ISO22301業(yè)務(wù)連續(xù)性管理系統(tǒng)建立過(guò)程中比較基礎(chǔ)的環(huán)節(jié),這一環(huán)節(jié)輸出信息的充分和完整直接影響業(yè)務(wù)連續(xù)性管理體系的充分性、適宜性和有效性。因此,在這個(gè)環(huán)節(jié)建議組織投入足夠的資源保證其有效。
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún),檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了,如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī),咨詢(xún)輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)跟我們聯(lián)系刪除并致歉!
