中文BS_25999-2_要求规范.docVIP

实用标准 文档大全 BS 25999-1:2006 英国标准 业务持续性管理 第二部分：规范 ICS 03.100.01 前言 这份英国标准是由英国标准化协会（BSI）发布并生效。它是在BCM/1技术委员会监督下由BCM/1/-/2小组提交的业务持续性管理文档。可以通过秘书获得委员会中提到的组织名单。 这份英国标准由业务持续性领域广大业内专家所开发，凝聚了他们在业务持续性管理（BCM）方面的理论、技术和实践经验。这份标准已经被用于定义业务持续性管理的体系方法方面的要求，而这些方法源自遍布工业、商业、公共事业和非官方领域的大中小型组织的最佳实践。 BS25999由两部分组成： -第一部分：业务持续性管理实践准则 -第二部分：业务持续性管理规范 这份标准中定义的需求已经作为原则和惯例包含在BS25999-1中。 这份英国标准提供了满足内部和外部组织使用的详细说明，包括帮助组织提升能力以达到监管要求的认证部分内容、客户和组织自身的要求。 英国标准仅仅包含了那些能被客观审计的要求。那些需要在更广泛业务持续性管理问题上得到指导的组织可以参考BS25999-1。 这份英国标准中提到的成功案例可以用于组织保障他们重要部门的业务持续性管理体系就位。 与现代管理体系标准的共同之处在于，这份标准也使用规划-执行-控制-改进（PDCA）模型来开发、实现和改进组织业务持续性管理体系的有效性。 这份出版物不易为这包含所有必要的合同事项，用户有责任自行正确应用。 遵从英国标准并不表示组织可以免除自身法律义务。 页码摘要： 这份文档由封面、内部封面、i到v页、1到19页和底页组成。 简介 总则 这份英国标准详细说明了通过建立和管理有效的业务持续性管理体系来定义业务持续性管理程序的要求。 它强调了以下内容的重要性： 理解业务持续性的需求和建立业务持续性政策和目标的必要性； 组织整体业务持续性风险管理的实施和操作控制； 监控和评审BCMS的绩效和有效性； 基于目标持续改进的方法。 管理体系包括： 职责明确的人员； 有关管理过程： 政策； 规划； 实施和操作； 绩效评估； 改进； 管理评审； 一组提供审计依据的文档； 与业务持续性主题有关的专门议题的过程，如BIA，业务持续性预案开发等。 规划-执行-控制-改进（PDCA）模型 本标准采用“Plan-Do-Check-Act”（PDCA）方法来建立、实施、操作、监视、演练、维护和改进组织BCMS的效用。 在一定程度上，这确保了与其它管理体系标准的一致性，如BS EN ISO9001-2000（质量管理体系）、BS EN ISO 14001-1996（环境管理体系）、BSI/IEC 27001:2005（信息安全管理体系）、BS ISO/IEC 20000-2:2005（IT服务管理），以及支持与有关管理体系相一致的综合实施与操作（见附录A）。 图一说明了BCMS如何获取业务持续性需求和重要部门的期望，并通过必要的措施和过程来得到业务持续性成果（如可管理的业务持续性），从而满足那些需求和期望。 图一（略） 规划（Plan） 建立业务持续性政策、目标、对象，与风险管理和改进业务持续性有关的过程和手段来达到与组织整体政策和目标相一致的结果。 执行（Do） 实施与操作业务持续性的政策、控制、过程和手段。 控制（Check） 评估并且在任何应用的地方都要度量阻碍业务持续性政策，目标和实际运行的过程绩效，并将结果上报管理评审。 改进（Act） 基于管理评审的结果，采取纠正和预防措施来取得BCMS的持续改进。 BS25999-1推荐了与PDCA模型每个活动相结合的一个广泛接受的方法，并在图二中做了描述。这个迭代过程保障了业务持续性在组织中得以建立并被持续管理。PDCA过程保障了BCMS持续管理能够与图二所示BCM程序管理保持同步。 图二（略） 目 录 TOC \o 1-3 \h \z \u 1 范围 6 2 引用标准 7 3 术语和定义 8 4 规划业务持续性管理体系 13 4.1 通则 13 4.2 建立和管理BCMS 13 4.2.1 需求 13 4.2.2 供应商和外包活动 13 4.2.3 BCM政策 13 4.2.4 资源提供 13 4.2.5 培训，意识和能力 14 4.3 将BCM植入组织文化 14 4.3.1 管理与培训 14 4.4 BCM文档和记录 15 4.4.1 BCMS文档 15 4.4.2 BCMS记录 15 5 实施和运作BCMS 17 5.1 理解组织 17 5.1.1 业务影响分析 17 5.2 风险评估 17 5.2.1 风险评估过程 17 5.2.2 确定选