北京某大型软件公司业务连续性BCMS的监督审核
BCMS是好几个全过程的结合,它将机构管理体系中的重要环节联系并统一起來,为鉴别的风险性制订适合的风险性对策和风险性方案,而且为机构制订一套合理的业务连续性方案演习和测量方案。BCMS普遍适用网络信息安全、现代信息技术服务项目、公共文化服务、社会团体等社会发展服务业,另外还适用各种各样经营规模的商业服务、金融行业、机械制造业等风险性级別较高的机构。
(1)业务连续性管理是一个综合性的计划,不仅仅是业务部门的事,也不仅仅是科技部门的事,它需要从高级管理层到基层员工一起重视且参与。商业银行需要将构建业务连续性管理体系提升至公司治理层面,要将业务连续性管理体系融入到到企业文化建设中。
“业务流程危害深入分析”(通称BIA)是BCMS的关键全过程之一,它利用评诂机构的商品或服务项目主题活动产生终断时需造成的危害水平,来明确商品或服务项目的优先、修复次序和指标值。BIA包含经营范围定义和数据收集深入分析、业务流程必要性深入分析、資源深入分析、明确优先和修复次序等好多个流程。
案例背景
认证领域:业务连续性管理体系(BCMS)
受审核组织:北京某大型软件公司
认证范围:与计算机应用软件研发及软硬件运维服务相关的业务连续性管理
认证标准:GB/T 30146-2013 idt ISO 22301: 2012
审核类别:监督审核
认证审核情况
该企业的经营范围:开发、生产计算机软硬件;计算机系统集成;计算机网络技术服务;信息处理及数据库技术服务;提供技术服务、技术培训、技术咨询、信息咨询;数据处理(数据处理中的银行卡中心、PUE值在1.5以上的云计算数据中心除外);接受金融机构委托从事金融信息技术外包服务;接受金融机构委托从事金融知识流程外包服务;接受金融机构委托从事金融业务流程外包服务。
体系人数为120人左右,公司最高管理者指定了管理责任人,全面负责组织业务连续性管理体系运行情况,并定期向最高管理者报告;同时为了保证BCMS 有效运行,提供了必要资源,包括人员、安全设备、信息技术(数据备份)等,基本满足组织的BCMS 运行需求。
基于业务中断风险的控制要求,组织积极识别内、外环境的威胁等因素、制定了对风险动态检测的控制措施,按照公司体系文件要求,定期进行业务中断风险评估;当发生重大变更时及时实施风险评估,监督周期内没有发生重大变更
为了保证组织的业务连续性管理体系有效的运行,各个部门设置了管理员,由部门领导担任,由管理员和总经理成立应急策略委员会。
审核综述
通过现场审核确认,公司提供了实现BCMS 保障运行的资源:公司提供了所需的硬件设备冗余和网络安全设备防范风险;体系运行以来人员入离职基本平衡,关键核心人员没有变化;
公司的办公环境安全防范措施持续有效;各个信息系统的数据备份管理措施持续有效,公司领导积极组织业务连续性相关的培训,来实现提高全员的业务连续性意识和对业务连续性方针、目标的理解;
综上所述公司的BCMS 运行基本有效,但也存在不足之处,参见审核的不符合项清单,希望组织持续改进业务连续性管理体系运行的有效性。
电话:400-016-9000
邮箱:post@bcc.com.cn
联系地址:北京市东城区广渠门内大街45号D座5层