bs25999 2007之系统化展开.pdfVIP

BS25999:2007之系統化展開 前言： BS25999 Business Continuity Management(BCM)是 英 國 標 準 協 會 繼 ISO9001(原 BS5750)與 ISO14001(原 BS7750)系統認證標準之後，又創造一波 企業界反應高度熱切的一個新標準。它的目的是幫助組織鑑別威脅組織的潛在衝 擊，建立彈性的框架，以保護股東、聲望、品牌與利益，有效因應能力之全面性 管理程序。而所謂的全面性管理程序則是以利害關係者的需求為出發點，全面納 入有關品質、物流、環境、工安、資安、風險管理等等管理系統要求，最終則能 滿足利害關係者的要求並能持續不斷改善。而建置此套系統的難處就在於整合各 項管理系統要求。主導人員與其 BCM團隊需具備各方面的知識，方能統合協調 各種矛盾。 目的： 之前 BSI電子報已陸續介紹一些 BCM的基本資料與概念。依最近 BSI 英國總部 所傳回之 BS25999認證最新訊息，全球 BSI已認證發出證書的已超過十家，並 陸續有更多知名全球性企業集團準備實施與認證。這些資料也彙集出企業實施 BCM初期所稽核到的問題點，透露出非常值得深思的現象。其中第一名是組織 並未讀過與瞭解 BS25999標準，第二名是缺乏系統管理之觀念。簡言之即時在 建置時不能建立一完整之系統架構，各項活動不能連接，缺乏一致性，就會產生 許多資源浪費並且造成新的風險。 故本文章將依條文之架構，循序說明如何來系統化展開各項 BCM要求，以利將 來之維護與更新，並能和其他管理系統相容並進。 第一章： BCM 系統架構圖 了解組織 演練 , 維護 營運持續管理方案 決定營運持續 和審查 管理策略 發展和實行 營運持續管理 因應 上圖是 BS25999 Part-1指導綱要所揭示的生命週期圖，各階段之說明如下： 營運持續管理方案 ：主要為建立BCM 系統架構，指定角色、職掌與能力，並且 做持續之維護與管控。它也是整個 BCM 生命週期的核心。 瞭解組織 ：主要包括BIA營運衝擊分析與 RA風險評鑑。其目的是令組織能鑑別 關鍵活動及所需資源來支持關鍵產品和服務， 瞭解所受威脅以及選擇適當的風 險處理方式。 決定 BCM 策略 ：依照前一階段所分析之風險與衝擊狀況決定適當的處理策略。 發展和實行 BCM因應 ：其目的是令組織能發展與實施適當的BCM計劃與安排 來管理任何危急事件以及持續其關鍵活動，主要內容為 Incident Management Plan(IMP)危急事件管理計劃 與 Business Continuity Plan(BCP) 。 演練、維護與審查：目的是驗證 BCM 安排的持續有效性以及較大的確保危急事 件發生後，關鍵活動能依需求來恢復。 將 BCM 植入組織的文化中：目的為確保組織無論其規模或行業別能將營運持續 植入其日常運作和管理流程，包括宣導與訓練，以及提昇人員對 BCM的認知。 針對此生命週期圖我們的系統化展開架構為： 範圍 ， 產品1 流程A 關鍵活動 依存活動1 利害關係 -1 者之要求 產品2 流程B 關鍵活動 依存活動2 -2 流程C 關鍵活動 依存活動3 服務1 -3 依存活動4 BCP