浅谈ISMS与BCM体系融合实现的方法 .pdfVIP

浅谈ISMS与BCM体系融合实现的方法

作者：焦程鹏

来源：《中国新通信》2018年第10期

【摘要】本文首先分析了信息安全管理体系和业务连续性管理体系的含义，其次阐述了信

息安全管理体系和业务连续性管理体系的侧重点差异和共性，然后总结了实现信息安全管理体

系和业务连续性管理体系融合的思考，旨在通过对这两种管理体系的比较分析，促进两者共存

达到实现利益最大化的目的。

【关键词】信息安全管理体系业务连续性管理体系融合方法

一、信息安全管理体系和业务连续性管理体系的含义

1、ISMS体系的含义即是信息安全管理体系，由于全球网络信息环境缺乏足够的安全性，

为了有效保护信息资产，保障业务连续性并且降低业务风险，制定了信息安全管理体系，这一

体系具有程序化、长效化和制度化的特点。

2、BCM体系的含义即是业务连续性管理体系，可以有效应对突发事件，保障业务的连续性。

其框架可以辅助企业制定一体化的管理流程，让企业更清晰的分辨出潜在的威胁，并提供相应

的管理机制来解决这些问题，从而降低问题对企业运作造成的损失和影响。

二、信息安全管理体系和业务连续性管理体系的侧重点差异和共性

2.1信息安全管理体系和业务连续性管理体系的侧重点差异

信息安全管理体系可以辅助组织在某个范围内建立信息安全方针及目标，并且完成这些目

标，其建设基础和重心是风险管理，包含风险控制和风险评估两点，核心点在于利用业务风险

组织相关信息安全活动。通过风险管理的手段，来对可能对组织资产造成影响的风险进行评估

和管理，侧重点在于预防。

业务连续性管理体系一方面要全面恢复受灾后的业务功能，还要迅速的恢复业务功能的连

续运行，侧重点在于纠正。这种体系分析细化到各个业务流程中，对每个环节的潜在危机和影

响都有具体的分析以及对应措施，并且对其进行着持续管理。

2.2信息安全管理体系和业务连续性管理体系的共性虽然两种管理体系的侧重点有所不同，

但是同时这两者间也存在着一定共性，比如说其目标都是为了降低组织运营的风险，所以，从

某种意义上来看，这两种管理体系都属于风险管理。在实际情况当中，业务连续性管理的一些

内容和风险管理的内容如出一撤，比如说识别潜在风险并采取相应的控制措施来处理这些风险。

此外，业务连续性管理和信息安全管理都还有一个同样的重点目的，即保证信息的可用性。

三、实现信息安全管理体系和业务连续性管理体系融合的思考

3.1实现信息安全管理体系和业务连续性管理体系融合的可行性

除了侧重点有所区别之外，信息安全管理体系和业务连续性管理体系的目标都在于规范企

业组织的行为，降低组织运营风险从而促进企业效益最大化，将两种体系的共同要素进行有机

整合，可以优化组织的资源利用并且提高整体成效。通过对两种体系的标准要求对比分析得出

的结果来看，两种体系在人力资源管理、文件和记录控制、管理评审、设立可测量目标和准则

以及纠正措施等方面有着同样的要求，尤其是风险评估和事件管理两个方面的工作几乎重叠，

只不过风险评估和业务影响分析在业务连续性管理体系中同样用于指定业务联系性计划。

3.2实现信息安全管理体系和业务连续性管理体系融合的方法

1、以信息安全管理体系为主，将业务连续性管理体系作为信息安全管理体系建设的关键项

目，成立专门的业务连续性管理体系项目小组，对于业务连续性管理体系的关键点和其他方面

根据不同的标准要求来合理安排。

2、在最高管理层的支持下，建立共用型的组织架构。其中包含组织内部审核人员、制定专

业技术核心人员以及设定管理者代表等内容，业务连续性管理体系的实施小组成员必须要具备

应有的知识技能和经验，从而确保业务连续性管理体系工作的开展能够有效进行。

3、对于体系之内的人力资源管理、文件和记录控制、管理评审、设立可测量目标和准则以

及纠正措施等文件，要采取相应的办法进行融合，达到统一管理，以避免不必要的重复。

4、在信息安全管理体系和业务连续性管理体系的实施及维护过程当中，相应的具有较高一

致性的流程和环节可以保持同步进行，比如说日常的内审和管理评审等，从而减轻基层人员的

工作负担，从而节约资源、提升工作效率。

四、结束语

通过对信息安全管理体系和业务连续性管理体系的分析，实现两种体系的有效融合，可以

减少两个体系分别实施的工作量，优化组织资源利用，从而提升组织效益。融合这两种体系，

可以使二者之间起到优势互补的作用，并且让这两种体系更好的发挥出自身的作用。

参