業務連續管理（BCM）在各管理體系應用

剛走過去的2017年為管理標準轉版年，新版標準最新的管理思想：事前風險 ?事中管控，事后應急，應急響應從早期的ISO14001和OHSAS18001?幾乎延伸到所有標準。

1）???????新版IATF1949:2016在6.1.2.3應急計劃中增加了相產關的BCM管理思想：

???組織應：

a)對保持生產輸出并確保顧客要求得到滿足而言必不可少的所有制造過程和基礎設施設備，識別并評價相關的內部和外部風險；

b)根據風險和對顧客的影響制定計劃；

c)?準備應急計劃，以在下列任一情況下保證供應的持續性：關鍵設備故障（另見第8.5.6.1.1?條）；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；

d)作為對應急計劃的補充，包含一個通知顧客和其他相慶方的過程，告知影響顧客作業的任何情況的程度和持續時間；

e）定期測試應急計劃的有效性（如：模擬，視情況而定）；

f）利用包括最高管理者在內的跨部門小組對應急計劃進行評審（至少每年一次），并在需要時更新；
g）對應急計劃形成文件，并保留描述修訂以及更改制授權人員的形成文件的信息。

??應急計劃應包含相關規定，用以在發生生產停止的緊急情況后重新開始生產之后，以及在常規停機過程未得到遵循的情況下，確認制造的產品持續符合顧客規范。
f）利用包括最高管理者在內的跨部門小組對應急計劃進行評審（至少每年一次），并在需要時更新；
g）對應急計劃形成文件，并保留描述修訂以及更改制授權人員的形成文件的信息。

??應急計劃應包含相關規定，用以在發生生產停止的緊急情況后重新開始生產之后，以及在常規停機過程未得到遵循的情況下，確認制造的產品持續符合顧客規范。

---------------------------------------------------------------------

2）TL9000 2016(6.0)

??7.1.1.C.1?業務連續性策劃

組織必須建立和保持針對運行、災害恢復、基礎設施和安保復原的文件化持續性計劃，確保組織有持續支持它的產品和服務的能力。業務連續性計劃至少必須包含:危機管理、災害恢復和技術。該計劃必須被針對其有效性進行周期性評估和適當級別的管理層評審。

7.1.1．C.1?注:恢復能力類型應該包括相關于描述災害恢復一系列措施.例子包括:?誰在什么情況下被通知了,誰有權限行施動作，誰協調在計劃中描述的步驟。

--------------------------------------------------------------------------

3）ISO27001:2013??信息安全管理體系

A.17.1?信息安全持續性

目標：信息安全的持續性應嵌入組織的業務持續管理體系（BCMS）

A.17.1.1	信息安全持續的規劃
	控制措施 組織應確定在不利情況下的信息安全和信息安全管理持續性要求，如危機或災難。
A.17.1.2	信息安全持續的的實現
	控制措施 組織應建立、文件化，并實施、維護這些流程、規程和控制措施，用以在不利情況下保 證要求的信息安全持續水平。
A.17.1.3	驗證、評審和評估信息安全持續
	控制措施 組織應定期驗證其建立和實施的信息安全持續控制措施，以確保在不利情況發生時是有效的和生效的。

4）ISO20000:2011? 6.3.2?服 務 連 續 性 和 可 用 性 計 劃

??? ?服務提供者應建立、實施和維護服務連續性計劃和可用性計劃。這些計劃的變更應在變更管理流程的控制之下。

服務連續性計劃至少應包括：

a） 服務重大損失情況下執行的程序，或引用的程序；

b） 當計劃被啟用時的可用性目標；

c） 恢復要求；

d） 恢復到正常工作環境的方法。

當訪問正常的服務地點受阻時，應能訪問到服務連續性計劃、聯系人名單和?CMDB。

?????????可用性計劃至少應包括可用性需求和目標。

服務提供者應評估變更請求對服務連續性計劃和可用性計劃的影響。

注：服務連續性計劃和可用性計劃可以合并為一個文件。

各組織如何應對這點變更是個難點， 如何從BIA的業務分析業務中斷分析，如何設定RTO /RPO目標；

其實BCM目前中國在2013年12月17日《公共安全 業務連續性管理體系 要求》中對相關的要求已經明確。

　????傳統制造業需從關鍵設備故障（另見第8.5.6.1.1?條）；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；隨著國家兩化的融合，對網絡與信息安全、災難與危機事件預警機制，已成為信息產業界極為關注的話題。

BCM是一個能夠識別組織來自外部威脅和自身弱點，來分析潛組織在影響的管理過程，而不僅僅從危機管理、風險控制、災難恢復或者技術恢復。它而是由業務自身驅動的一個綜合管理體系。

一、BCM相關術語

　　BCM是業務連續管理（Business Continuity Management）的縮寫簡稱，早期是由銀行和IDC業務自身驅動而逐漸發展起來的“容災”系統，經過多年成功的實踐已被國外巨頭公司所采用，它能為企業提供一個彈性企業的框架和有效響應的能力來保護企業股東的利益、企業的名譽、品牌和創造的價值。

BCM是一個強調由業務自身驅動的綜合管理體系，其中傳統企業管理關注設施管理、供應鏈管理、質量管理、健康和人身安全都是人們比較熟悉，但以前的管理由各單獨來部門管理，協調能力不強。在業務發生中斷后，已適應不了當今組織的全面的、整體的企業業務連續管理需要。

BCM所涉及的范圍在傳統的理念中增加了目前最風靡的風險管理、災難恢復、緊急時間管理、安全管理和知識共享管理、危機通信和公共關系等。

　二、BCM體系運行階段

BCM是幫助公司應對災難和災難快速恢得的有效方法， 按照事件發展的生命周期觀點，BCM的所有活動都是按照事前、 事中、 事后三個基本階段來展開的。 這三個方面雖然是所有應對災難的方法（ 如風險管理、危機管理及應急管理）都需要考慮的。

1、?事前風險評價：

企業應通過風險分析（RA）和業務影響分析（BIA）， 識別出企業可能會受到的威脅和潛在風險，以及這些風險對業務造成的可能損失和嚴重度，從而采取必要的控制措施來防范風險，并使其影響減到最小。

事前的準備還包括制定關鍵設備故障；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；各種預案的制定及其貫徹實施?！?

2、?事中應對措施

企業不僅要按計劃對事件進行響應 （搶救人員和財產）， 還要對業務將會受到的損失程度進行評估，以決定是否要啟動部分或全部?BCP計劃， 從而確保災難發生期間，關鍵業務功能或流程能夠持續運行，使企業所受的損失減到最小。　

3、 事后恢復

災難過后，或者當關鍵業務功能的運行已恢復到穩定狀態后，企業應按計劃開始進行災后重建，盡快將業務運行返回到原中心，從而全面恢復正常運行?！?

三、BCM十大最佳實踐標準

1.項目啟動和管理

確定業務連續性計劃（BCP）過程的需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預算的限制。

2.風險評估和控制

確定可能造成機構及其設施中斷和災難、具有負面影響的事件和周邊環境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調整控制措施方面的投資達到消減風險的目的。

3.業務影響分析（BIA）

確定由于中斷和預期災難可能對機構造成的影響以及用來定量和定性分析這種影響的技術。確定關鍵功能、其恢復優先順序和相關性以便確定恢復時間目標。

核心業務或過程	可能性	嚴重度	業務中斷最大容忍時間MTPD	優先級	RTO (恢復時間目標）	RPO 恢復點目標	是否需要演練
供應鏈中斷
生產設備
動力設施
核心系統和網絡（ERP
員工短缺
潛在火災
自然災害
食物中毒

4.制定業務連續性策略

確定和指導備用業務恢復運行策略的選擇，以便在恢復時間目標范圍內恢復業務和信息技術，并維持機構的關鍵功能。

5.應急響應和運作

制定和實施用于事件響應以及穩定事件所引起狀況的規程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發布命令。

6.制定和實施業務連續性計劃

設計、制定和實施業務連續性計劃以便在恢復時間目標范圍內完成恢復。

7.意識培養和培訓項目

準備建立對機構人員進行意識培養和技能培訓的項目，以便業務連續性計劃能夠得到制定、實施、維護和執行。

8.維護和演練業務連續性計劃

對預先計劃和計劃間的協調性進行演練、并評估和記錄計劃演練的結果。制定維持連續性能力和BCP文檔更新狀態的方法使其與機構的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結果。

9.公共關系和危機通信

制定、協調、評價和演練在危機情況下與媒體交流的計劃。制定、協調、評價和演練與員工及其家庭、主要客戶、關鍵供應商、業主、股東以及機構管理層進行溝通和在必要情況下提供心理輔導的計劃。確保所有利益群體能夠得到所需的信息。

10.與公共當局的協調

建立適用的規程和策略用于同地方當局協調響應、連續性和恢復活動以確保符合現行的法令和法規。

四、BCM管理過程和生命周期

　　BCM是一個一體化的管理過程，是一個動態、前瞻和實時過程，它必須根據情況適時更新并保持有效。

　　第一階段：明確本企業的內涵

　　明確業務目標，識別關鍵業務流程，以及業務流程得以實現的關鍵因素；確定可以接受的損失范圍，關鍵業務恢復的優先順序以及恢復時間目標。

　　第二階段：制定業務連續策略

　　確定指導備用業務恢復運行的策略，即組織BCM策略、過程層面BCM策略、資源恢復BCM策略等三個層次的業務連續策略。

　　第三階段：規劃并執行業務連續計劃

　　確定業務連續計劃制定的需求，規劃和實施一系列的業務連續性計劃，要根據具體情況因地制宜開發，其核心都是有效的保障業務連續運行。

　　第四階段：建立形成企業BCM文化

　　確定意識培養和培訓的目標，建立對機構人員進行意識培養和技能培訓的項目，以便業務連續性計劃能夠得到制定、實施、維護和執行。

　　第五階段：計劃評估、演練和維護

　　對預先計劃和計劃間的協調性進行演練、并評估和記錄計劃演練的結果，制定維持持續能力和BCM文檔更新狀態的方法使其與機構的策略方向保持一致。通過與適當標準的評估來驗證BCM的效率，為真正實施BCM項目管理掃清障礙。

　　第六階段：實施BCM項目管理與再評估

　　確定業務連續管理過程的需求，制定BCM項目計劃和預算，協調和組織管理BCM項目和整體BCM過程，確定對BCM過程進行持續管理和審計的需求和方法，BCM項目管理貫穿于整個BCM過程。

BCM不僅僅是企業管理的理念與標準，更應該是一種文化，也只有把BCM作為文化元素融入社會組織機構的管理中的時候，社會的公共安全體系就又加固了一道護欄。

更多資訊請關注CSI中標國際公眾號

或訪問官網：m.wqjxjyw.cn

有您領跑 有容乃大??有智無界 有夢無懼

????深圳中標國際標準咨詢有限公司

?????地址：廣東省深圳寶安區銀田路

?????寶安智谷創新園H棟一層108