4.1 我国业务连续性管理标准概况
我国的业务连续性管理标准化工作主要是由全国公共安全基础标准化技术委员会(SAC/ TC 351)(以下简称TC351)组织开展的。国标委于2008年批准成立了TC351,对口ISO/TC 292(安全与韧性标准化技术委员会),负责全国公共安全领域基础、通用以及应急标准的制修订工作,秘书处设在中国标准化研究院。TC351基于ISO/TC 292的标准体系框架,结合目前国内公共安全标准体系的实际情况,在充分调查研究和广泛征求意见的基础上,建立了所负责技术领域内的国家标准体系框架,如图1所示。
图1 公共安全基础标准体系框架
目前标准体系框架由以下7个部分组成。
(1)通用标准。本部分包括公共安全术语、分类编码以及图形标识等内容。
(2)连续性标准。本部分包括组织机构的业务连续性管理体系相关标准等内容。
(3)应急管理标准。本部分包括预防与应急准备、监测与预警、应急处置与救援和事后恢复与重建过程中的管理标准内容。
(4)欺诈对策与控制标准。本部分包括反欺诈相关标准。
(5)韧性标准。本部分主要包括城市、城市单元社区以及关键基础设施的韧性标准。
(6)安全保障基础标准。本部分主要包括安全保障中应急装备保障以及供应链安全保障相关的技术标准等。
(7)民营安保服务标准。本部分主要是针对民营安保服务相关的技术标准。
针对7个部分,技术委员会分别设立了7个工作组,其中WG2(连续性标准化工作组)主要负责业务连续性管理相关标准的制修订工作,并在2013年12月发布了GB/T 30146《公共安全 业务连续性管理体系 要求》,2015年5月发布了GB/T 31595《公共安全 业务连续性管理体系 指南》。该两项标准的发布实施推动了我国业务连续性管理体系认证工作的开展,目前经过国家认监委批准,已有多家机构获准在我国开展业务连续性管理体系的认证业务。2016年新立项了三项业务连续性管理国家标准,分别是《公共安全 业务连续性管理体系 业务影响分析》《公共安全 业务连续性管理体系 供应链连续性指南》和《公共安全 业务连续性管理体系 业务连续性管理能力评估》,该3项标准的发布实施将对组织机构建立和评价业务连续性管理体系提供关键技术支撑。
4.2 业务连续性管理标准体系框架构建
根据BCM的概念和范畴,结合ISO制定业务连续性管理标准的思路,建立我国业务连续性管理标准体系框架。整个标准体系统一采用PDCA模型,图2说明了BCM体系如何将相关方的业务连续性要求作为输入,通过必要的措施和过程建立实施BCM体系,并保持持续改进。
根据上图PDCA的过程,BCM标准体系框架第一层分别由《公共安全 业务连续性管理体系 要求》(做什么)、《公共安全 业务连续性管理体系 指南》(如何做)、《公共安全 业务连续性管理体系 业务连续性管理能力评估》(做得如何)以及《合格评定 业务连续性管理体系审核与认证能力要求》(第三方认证)4个方面组成,如图3所示。
对不同行业的组织来说,建立业务连续性管理体系的要求是一致的,但是如何建立和评价适应各自行业有效的业务连续性管理体系,各行业需制定适应自身特点的指南和评价标准。因此,标准体系框架的第二层主要是针对各行业的业务连续性管理体系建设指南和评价标准。
图2 应用于BCM体系过程的PDCA
图3 业务连续性管理标准体系框架
对于一个组织而言,业务连续性管理体系的建立是一项系统工程,其中的每一个环节都有大量的技术工作需要完成,从ISO的经验来看,需要针对每个技术环节制定技术规范来指导和规范具体的业务连续性管理体系建设过程。因此,诸如业务影响分析、业务连续性计划制定、演练等具体的方法标准构成了标准体系的第三层。