业务连续管理（BCM）在各管理体系应用

刚走过去的2017年为管理标准转版年，新版标准最新的管理思想：事前风险  事中管控，事后应急，应急响应从早期的ISO14001和OHSAS18001 几乎延伸到所有标准。

1）       新版IATF1949:2016在6.1.2.3应急计划中增加了相产关的BCM管理思想：

   组织应：

a)对保持生产输出并确保顾客要求得到满足而言必不可少的所有制造过程和基础设施设备，识别并评价相关的内部和外部风险；

b)根据风险和对顾客的影响制定计划；

c) 准备应急计划，以在下列任一情况下保证供应的持续性：关键设备故障（另见第8.5.6.1.1 条）；外部提供的产品、过程或服务中断；常见自然灾害、火灾；公共事业中断；劳动力短缺；或者基础设施破坏；

d)作为对应急计划的补充，包含一个通知顾客和其他相庆方的过程，告知影响顾客作业的任何情况的程度和持续时间；

e）定期测试应急计划的有效性（如：模拟，视情况而定）；

f）利用包括最高管理者在内的跨部门小组对应急计划进行评审（至少每年一次），并在需要时更新；
g）对应急计划形成文件，并保留描述修订以及更改制授权人员的形成文件的信息。

  应急计划应包含相关规定，用以在发生生产停止的紧急情况后重新开始生产之后，以及在常规停机过程未得到遵循的情况下，确认制造的产品持续符合顾客规范。
f）利用包括最高管理者在内的跨部门小组对应急计划进行评审（至少每年一次），并在需要时更新；
g）对应急计划形成文件，并保留描述修订以及更改制授权人员的形成文件的信息。

  应急计划应包含相关规定，用以在发生生产停止的紧急情况后重新开始生产之后，以及在常规停机过程未得到遵循的情况下，确认制造的产品持续符合顾客规范。

---------------------------------------------------------------------

2）TL9000 2016(6.0)

  7.1.1.C.1 业务连续性策划

组织必须建立和保持针对运行、灾害恢复、基础设施和安保复原的文件化持续性计划，确保组织有持续支持它的产品和服务的能力。业务连续性计划至少必须包含:危机管理、灾害恢复和技术。该计划必须被针对其有效性进行周期性评估和适当级别的管理层评审。

7.1.1．C.1 注:恢复能力类型应该包括相关于描述灾害恢复一系列措施.例子包括: 谁在什么情况下被通知了,谁有权限行施动作，谁协调在计划中描述的步骤。

--------------------------------------------------------------------------

3）ISO27001:2013  信息安全管理体系

A.17.1 信息安全持续性

目标：信息安全的持续性应嵌入组织的业务持续管理体系（BCMS）

A.17.1.1	信息安全持续的规划
	控制措施 组织应确定在不利情况下的信息安全和信息安全管理持续性要求，如危机或灾难。
A.17.1.2	信息安全持续的的实现
	控制措施 组织应建立、文件化，并实施、维护这些流程、规程和控制措施，用以在不利情况下保 证要求的信息安全持续水平。
A.17.1.3	验证、评审和评估信息安全持续
	控制措施 组织应定期验证其建立和实施的信息安全持续控制措施，以确保在不利情况发生时是有效的和生效的。

4）ISO20000:2011  6.3.2 服 务 连 续 性 和 可 用 性 计 划

     服务提供者应建立、实施和维护服务连续性计划和可用性计划。这些计划的变更应在变更管理流程的控制之下。

服务连续性计划至少应包括：

a） 服务重大损失情况下执行的程序，或引用的程序；

b） 当计划被启用时的可用性目标；

c） 恢复要求；

d） 恢复到正常工作环境的方法。

当访问正常的服务地点受阻时，应能访问到服务连续性计划、联系人名单和 CMDB。

         可用性计划至少应包括可用性需求和目标。

服务提供者应评估变更请求对服务连续性计划和可用性计划的影响。

注：服务连续性计划和可用性计划可以合并为一个文件。

各组织如何应对这点变更是个难点， 如何从BIA的业务分析业务中断分析，如何设定RTO /RPO目标；

其实BCM目前中国在2013年12月17日《公共安全 业务连续性管理体系 要求》中对相关的要求已经明确。

　    传统制造业需从关键设备故障（另见第8.5.6.1.1 条）；外部提供的产品、过程或服务中断；常见自然灾害、火灾；公共事业中断；劳动力短缺；或者基础设施破坏；随着国家两化的融合，对网络与信息安全、灾难与危机事件预警机制，已成为信息产业界极为关注的话题。

BCM是一个能够识别组织来自外部威胁和自身弱点，来分析潜组织在影响的管理过程，而不仅仅从危机管理、风险控制、灾难恢复或者技术恢复。它而是由业务自身驱动的一个综合管理体系。

一、BCM相关术语

　　BCM是业务连续管理（Business Continuity Management）的缩写简称，早期是由银行和IDC业务自身驱动而逐渐发展起来的“容灾”系统，经过多年成功的实践已被国外巨头公司所采用，它能为企业提供一个弹性企业的框架和有效响应的能力来保护企业股东的利益、企业的名誉、品牌和创造的价值。

BCM是一个强调由业务自身驱动的综合管理体系，其中传统企业管理关注设施管理、供应链管理、质量管理、健康和人身安全都是人们比较熟悉，但以前的管理由各单独来部门管理，协调能力不强。在业务发生中断后，已适应不了当今组织的全面的、整体的企业业务连续管理需要。

BCM所涉及的范围在传统的理念中增加了目前最风靡的风险管理、灾难恢复、紧急时间管理、安全管理和知识共享管理、危机通信和公共关系等。

　二、BCM体系运行阶段

BCM是帮助公司应对灾难和灾难快速恢得的有效方法， 按照事件发展的生命周期观点，BCM的所有活动都是按照事前、 事中、 事后三个基本阶段来展开的。 这三个方面虽然是所有应对灾难的方法（ 如风险管理、危机管理及应急管理）都需要考虑的。

1、 事前风险评价：

企业应通过风险分析（RA）和业务影响分析（BIA）， 识别出企业可能会受到的威胁和潜在风险，以及这些风险对业务造成的可能损失和严重度，从而采取必要的控制措施来防范风险，并使其影响减到最小。

事前的准备还包括制定关键设备故障；外部提供的产品、过程或服务中断；常见自然灾害、火灾；公共事业中断；劳动力短缺；或者基础设施破坏；各种预案的制定及其贯彻实施。　

2、 事中应对措施

企业不仅要按计划对事件进行响应 （抢救人员和财产）， 还要对业务将会受到的损失程度进行评估，以决定是否要启动部分或全部 BCP计划， 从而确保灾难发生期间，关键业务功能或流程能够持续运行，使企业所受的损失减到最小。　

3、 事后恢复

灾难过后，或者当关键业务功能的运行已恢复到稳定状态后，企业应按计划开始进行灾后重建，尽快将业务运行返回到原中心，从而全面恢复正常运行。　

三、BCM十大最佳实践标准

1.项目启动和管理

确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制

确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析（BIA）

确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

核心业务或过程	可能性	严重度	业务中断最大容忍时间MTPD	优先级	RTO (恢复时间目标）	RPO 恢复点目标	是否需要演练
供应链中断
生产设备
动力设施
核心系统和网络（ERP
员工短缺
潜在火灾
自然灾害
食物中毒

4.制定业务连续性策略

确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。

5.应急响应和运作

制定和实施用于事件响应以及稳定事件所引起状况的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。

6.制定和实施业务连续性计划

设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。

7.意识培养和培训项目

准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

8.维护和演练业务连续性计划

对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。

9.公共关系和危机通信

制定、协调、评价和演练在危机情况下与媒体交流的计划。制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主、股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。确保所有利益群体能够得到所需的信息。

10.与公共当局的协调

建立适用的规程和策略用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。

四、BCM管理过程和生命周期

　　BCM是一个一体化的管理过程，是一个动态、前瞻和实时过程，它必须根据情况适时更新并保持有效。

　　第一阶段：明确本企业的内涵

　　明确业务目标，识别关键业务流程，以及业务流程得以实现的关键因素；确定可以接受的损失范围，关键业务恢复的优先顺序以及恢复时间目标。

　　第二阶段：制定业务连续策略

　　确定指导备用业务恢复运行的策略，即组织BCM策略、过程层面BCM策略、资源恢复BCM策略等三个层次的业务连续策略。

　　第三阶段：规划并执行业务连续计划

　　确定业务连续计划制定的需求，规划和实施一系列的业务连续性计划，要根据具体情况因地制宜开发，其核心都是有效的保障业务连续运行。

　　第四阶段：建立形成企业BCM文化

　　确定意识培养和培训的目标，建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

　　第五阶段：计划评估、演练和维护

　　对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果，制定维持持续能力和BCM文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的评估来验证BCM的效率，为真正实施BCM项目管理扫清障碍。

　　第六阶段：实施BCM项目管理与再评估

　　确定业务连续管理过程的需求，制定BCM项目计划和预算，协调和组织管理BCM项目和整体BCM过程，确定对BCM过程进行持续管理和审计的需求和方法，BCM项目管理贯穿于整个BCM过程。

BCM不仅仅是企业管理的理念与标准，更应该是一种文化，也只有把BCM作为文化元素融入社会组织机构的管理中的时候，社会的公共安全体系就又加固了一道护栏。

更多资讯请关注CSI中标国际公众号

或访问官网：www.csi-edu.cn

有您领跑 有容乃大  有智无界 有梦无惧

    深圳中标国际标准咨询有限公司

     地址：广东省深圳宝安区银田路

     宝安智谷创新园H栋一层108