国内某大型数据机房接入公司业务连续性BCMS的二阶段审核

业务连续性管理体系（BCMS——BusinessContinuityManagementSystem）是中国同样变换ISO业务连续性管理体系的国家行业标准。“业务连续性”的定义来自电子信息技术中的“容灾备份”和“修复方案”，是一个机构总体或一部分全过程不断运作工作能力的指标值。历经很多年发展趋势，“业务连续性”已广泛运用于各种各样经营规模的加工制造业和服务化机构，并进一步发展趋势变成“业务流程联系性管理体系”（通称BCMS），变成每个机构总体管理体系中的关键一部分。BCMS选用PDCA的全过程方式，利用对风险性的鉴别、深入分析和预警信息来协助机构避开潜在性恶性事件的产生，而且制订完善的“业务连续性方案“，合理的解决终断产生后的迅速修复，维持关键作用一切正常运作，将损害和修复成本费降至最少。

BCMS是好几个全过程的结合，它将机构管理体系中的重要环节联系并统一起來，为鉴别的风险性制订适合的风险性对策和风险性方案，而且为机构制订一套合理的业务连续性方案演习和测量方案。BCMS普遍适用网络信息安全、现代信息技术服务项目、公共文化服务、社会团体等社会发展服务业，另外还适用各种各样经营规模的商业服务、金融行业、机械制造业等风险性级別较高的机构。

（1）业务连续性管理是一个综合性的计划，不仅仅是业务部门的事，也不仅仅是科技部门的事，它需要从高级管理层到基层员工一起重视且参与。商业银行需要将构建业务连续性管理体系提升至公司治理层面，要将业务连续性管理体系融入到到企业文化建设中。

“业务流程危害深入分析”（通称BIA）是BCMS的关键全过程之一，它利用评诂机构的商品或服务项目主题活动产生终断时需造成的危害水平，来明确商品或服务项目的优先、修复次序和指标值。BIA包含经营范围定义和数据收集深入分析、业务流程必要性深入分析、資源深入分析、明确优先和修复次序等好多个流程。

案例背景

认证领域：业务连续性管理体系（BCMS）

受审核组织：国内某大型数据机房接入公司

认证范围：与互联网接入、基于数据中心的IT基础设施运行维护相关的业务连续性管理

认证标准：GB/T 30146-2013 idt ISO 22301: 2012

审核类别：监督审核

 

认证审核情况

该企业的经营范围：互联网接入业务、互联网数据中心业务；互联网信息服务业务（除新闻、出版、教育、医疗保健、药品、医疗器械和BBS以外的内容）；经营电信业务；技术开发、技术转让、技术咨询、技术服务；计算机系统服务；数据处理；销售计算机、软件及辅助设备、通讯设备；专业承包。

体系人数为70人左右，公司最高管理者指定了管理责任人，全面负责组织业务连续性管理体系运行情况，并定期向最高管理者报告；同时为了保证BCMS 有效运行，提供了必要资源，包括人员、安全设备、信息技术（数据备份）等，基本满足组织的BCMS 运行需求。

基于业务中断风险的控制要求，组织积极识别内、外环境的威胁等因素、制定了对风险动态检测的控制措施，按照公司体系文件要求，定期进行业务中断风险评估；当发生重大变更时及时实施风险评估，监督周期内没有发生重大变更。

为了保证组织的业务连续性管理体系有效的运行，各个部门设置了管理员，由部门领导担任，由管理员和总经理成立应急策略委员会。

 

审核综述

通过现场审核确认，公司提供了实现BCMS 保障运行的资源：公司提供了所需的硬件设备冗余和网络安全设备防范风险；体系运行以来人员入离职基本平衡，关键核心人员没有变化；

公司的办公环境安全防范措施持续有效；各个信息系统的数据备份管理措施持续有效，公司领导积极组织业务连续性相关的培训，来实现提高全员的业务连续性意识和对业务连续性方针、目标的理解；

综上所述公司的BCMS 运行基本有效，但也存在不足之处，参见审核的不符合项清单，希望组织持续改进业务连续性管理体系运行的有效性。