业务连续性管理体系认证流程

　　该阶段主要包括确定业务连续性管理体系范围、业务影响分析、风险评估、制定业务连续性方针/业务连续性目标、管理体系涉及的岗位/职责/权限、BCP的建立和文件化信息的系统策划、监视和测量、绩效评价活动的系统策划等等方面。

　　① 确定业务连续性管理体系范围

　　业务连续性管理体系范围的界定通常由组织来决定。在组织确定范围后，避免对组织内外部因素、相关方及其需求、组织产品及服务的描述过于宽泛或受限，并对每一要求的适用性进行正确评估。

　　业务连续性管理体系的适用性方面使用“删减”一词，组织可根据其规模和复杂程度、所采用的管理模式、业务影响分析或风险评估和适用的法律法规要求，对相关要求的适用性进行评审。

　　组织应根据内外部环境分析、相关方的需求和期望、组织的产品和服务，界定业务连续性管理体系的边界和适用性，以确定其范围。

　　组织的业务连续性管理体系的范围应形成文件并加以保持，该范围应描述覆盖的产品和服务类型、过程(活动)、部门(机构)和场所等。业务连续性管理体系范围发生变更，相关业务连续性管理体系文件应作出相应变更并可被获取。

　　② 业务影响分析及风险评估

　　企业应进行业务影响分析，总体步骤如下：业务范围界定和数据采集分析、业务重要性分析、资源分析、恢复顺序与优先级确定、总结归档等。

　　业务范围界定和数据采集分析主要工作为：根据企业所在行业及其内部管理与业务的特点，合理选择信息采集工具，对即将进行业务影响的企业包括的具体业务类别、每一类业务归口的具体管理部门、业务与信息系统对应关系等内容进行信息搜集分析，形成一个或几个标示对应关系的表格。

　　业务重要性分析主要工作为：对所识别的业务进行功能分析，从业务功能上确定关键程度。以定量与定性相结合的方法，评估业务运行中断后造成的影响和损失。根据业务功能和中断影响的分析结果，初步确定各项业务及其对应系统的重要程度。

　　资源分析主要工作为：重点识别业务持续运行必须的资源和业务恢复必须的资源，对两类资源进行分析。

　　恢复顺序与优先级确定主要工作为：根据业务系统重要程度分类和资源分析，结合业务恢复成本情况，确定每项业务和信息系统的RTO和RPO。

　　③ 风险评估

　　企业应进行风险评估，风险评估的实施步骤如下:资产信息收集与识别、脆弱性分析、威胁识别分析、风险识别与分析、防护措施选取和可接受风险确定、风险评价结果资料的归档。

　　④ 制定业务连续性方针、业务连续性目标

　　组织的**管理者应依据明确的组织的战略方向，充分考虑影响组织运营的内部、外部环境因素，考虑法律法规要求、各利益相关方的需求和期望，针对组织的过程、产品和服务的性质和特点，在识别了风险和机会的基础上，建立业务连续性方针。

　　业务连续性方针组织应作为成文信息以正式的形式表述、发布、管理和维护，通过有效的渠道和方式与组织内各级员工进行沟通，使员工理解业务连续性方针并应用于其工作中。

　　组织在相关职能、层次、过程上建立与方针、战略、愿景相一致的业务连续性目标或绩效指标。

　　⑤ 管理体系涉及的岗位、职责、权限

　　组织应以文件形式发布与业务连续性有关人员的职责和权限，通常应就业务连续性管理体系有关职能明确各部门的职责并形成文件，部门的职责应分配到相关岗位，如以“岗位说明书”的形式，明确各岗位的任职要求及岗位的作用、职责和权限。

　　⑥ BCP的建立和文件化信息的系统策划

　　组织应确定业务连续策略，策略的确定应包括批准活动恢复的优先级时间表。企业事先策划制定一个完备的业务连续性计划，积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓延和损失控制在企业能够承担的范围之内。BCP的典型内容如下：基本项目、预防保护、紧急响应、业务接续、业务恢复、复原等。

　　根据ISO22301标准中条款要求，本标准所要求的存档信息，即需要形成文件的主要有：

　　——组织的环境(4.1)

　　——法律法规和其他要求识别、利用和评估(条款4.2.2);

　　——BCMS的范围和与范围有关的任何删减(条款4.3.2);

　　——业务连续性方针(条款5.3);

　　——业务连续性目标(条款6.2);

　　——业务影响分析过程(条款8.2.2);

　　——风险评估过程(条款8.2.3);

　　——业务连续性策略(条款8.3.1);

　　——连续性、事件管理和恢复程序(条款8.4)

　　——业务连续性监视、测量、分析和评价程序(条款9.1)

　　b. 组织为过程运行沟通信息的目的而保持的成文信息(低层、特定文件-隐含要求)，如：

　　——组织结构图、岗位说明书;

　　——程序;

　　——作业和/或测试指引;

　　——包含内部沟通的文件;

　　——测试和演练计划;

　　——业务连续性计划;

　　——战略计划;

　　——表格。

　　c. 组织基于为已实现的结果提供证据的目的而需保留的存档信息 “记录”)的是：

　　——客户协议和服务等级;

　　——业务影响分析的结果(条款8.2.2);

　　——风险评估的结果(条款8.2.3);

　　——与员工和相关方就BCMS及事件进行的沟通，如通讯、会议纪要等;

　　——组织和个人的培训记录;

　　——演练和测试记录、维护记录;

　　——与供应商的合同和服务级别协议;

　　——对已发生的事件和未遂事件的报告和采取纠正措施的记录(10.1);

　　——内审记录(9.2);

　　——管理评审记录等(9.3)

　　组织可开发其他可需要的记录，以证实其过程、产品和服务及业务连续性管理体系符合性。

　　⑦ 监视和测量、绩效评价活动的系统策划

　　为确定达到预期的结果，组织应监视、测量、分析和评价的对象、方法和时机，以确保监视、测量、分析和评价活动的有效性。

　　a. 目标实现程度的监视/测量和改进行动;

　　b. 业务连续性程序的监视/测量和评价行动;

　　c. 体系运作要求的监视和改进行动。

　　4、业务连续性管理体系运行

　　业务连续性体系文件编制完成后，业务连续性体系将进入运行阶段。

　　① 体系运行准备

　　组织在业务连续性管理体系文件发布后，应进行管理体系运行前的准备，准备工作包括：

　　a. 法律法规、标准等收集;

　　b. 记录表单的复制与配备;

　　c. 业务连续性管理体系文件的培训：组织各部门有针对性进行业务连续性管理体系文件的宣贯和培训工作。按领导层、管理层和执行层不同层面，分别进行相应的培训，确保各级人员准确理解体系文件规定的工作程序和应达到的要求;

　　d. 培训考核;

　　e. 管理体系运行氛围的营造(会议、宣传等);

　　f. 体系运行计划制定与运行职责落实。

　　② 体系运行(运行时间3个月以上)

　　组织各部门按照业务连续性管理体系规定实施。实施过程中，相关部门应做好如下工作：

　　a. 管理部门进行现场宣传与指导;

　　b. 相关部门与作业场所应全面落实业务连续性管理体系文件等控制要求;

　　c. 信息管理和组织协调：高效、及时的信息传递和反馈是体系正常运行的有力保证。所有与业务连续性活动有关的人员都应按体系文件要求，做好业务连续性信息的收集、分析、传递、反馈、处理和归档等工作。

　　d. 公司全体员工应将业务连续性体系文件在运行中暴露出的问题和改进意见如实反映给有关部门，以便采取纠正措施，解决运行中可能出现的理论和实际脱节的“两张皮”问题。

　　5、内部审核

　　① 内审员培训：举办内审员培训班，使参加培训的人员掌握内审的方法、步骤和技巧，建议采用全封闭式培训。

　　② 内审及内审整改。

　　内审频次建议每年至少安排一次。

　　内审应关注组织业务连续性管理体系文件执行、法律法规和标准执行的落实情况，重点应关注：

　　a. 与业务连续性管理体系相关的法律法规和行业标准的符合性;

　　b. 组织业务连续性管理的绩效;

　　c. 改进机制的持续性和有效性。

　　6、管理评审

　　**管理层组织管理评审，评价业务连续性管理体系的充分性、适宜性和有效性，完成管理评审决定所采取的改进措施。