· 公众号:业务连续性+ 原文链接 ↗

网络安全和业务连续性管理·业务连续性问与答·Q5(上)

问题 : 有哪些 主要的 业务连续性管理 知识体系?

简答: 目前主流的业务连续性管理相关知识体系主要有: 1. (美国 ) 国际灾难恢复协会专业惯例2 017 版 (DRII P rofessional P ractices 2017) ; 2. (英国 ) 国际业务持续 协会良好实践指南2 018 版 ( BCI Good Practice G uidelines 2018) ; 3. (新加坡 ) 亚洲业务持续管理协会业务连续性管理知识体系 ( BCM Institute BCM Body of K nowledge) ; 4. 国际标准化组织 ISO 22301 业务连续性管理 系列标准 (及PECB ISO 22301 实施和审核方法 ) ; 5. 美国消防协会 NFPA 1600 ; 6. 组织韧性国际联盟 组织韧性模型与框架 ( ICOR Organization Resilience Model and Framework) ; 7. 当然,还有 我们 完全自主知识产权、非主流的 业务连续性 实 践 框架 ( BCM Practice F ra mework) ; 下面逐一进行介绍。

国际灾难恢复协会 专业惯例2 017 版( DRII P r ofessional Practices 2017)

国际灾难恢复协会( DRI I nternational )成立于1 998 年,是一家非营利组织,通过在业务连续性及相关领域提供教育、认证和思想领导力( thought leadership) ,帮助世界各地的组织做好备灾和恢复。 国际灾难恢复协会创建和维护 了 业务连续性管理专业惯例( The Professional Practices for Business Continuity Management) , 这是一个可 用于帮助开发、 实施和维 护业务连续性规划的知识体系 ,也可用于 评估 当前 规划 ,其最新版为2 017 版 。

实现业务连续性管理目标的专业惯例( 10 项 ) 概要如下: 1) 规划启动和管理 ( Program Initiation and Management) • 确定业务连续性规划 ( business continuity program) 的需求; • 取得业务连续性规划的支持和经费; • 建立支持业务连续性规划的组织框架; • 引入关键概念,如规划管理、风险意识、关键功能/过程识别,恢复策略,培训和意识,以及演练/测试; 2) 风险评估 ( Risk Assessment) • 识别会对 组织 资源或形象产生负面影响的风险; • 评估风险以确定其对 组织 的潜在影响,使组织能对资源进行最有效的使用来降低这些潜在影响; 3) 业务影响分析 ( Business Impact Analysis) • 识别组织的功能和流程,并根据哪些功能和流程不可用时对组织影响最大对它们排序; • 评估支持业务影响分析过程必需的资源; • 分析发现,以确定组织的需求和为交付这些需求所需能力之间的差距; 4) 业务连续性策略 ( Business Continuity Strategies) • 选择具有成本效益的策略,以减小在风险评估和业务影响分析过程中识别的缺陷。 5) 事件响应 ( Incident Response) • 开发和帮助实施事件管理系统(Incident Management System),明确组织角色,权力结构和授权程序; • 明确开发和实施组织的事件响应计划(incident response plan)的需求; • 确保当需要时能及时有效地与外部组织协作来响应事件; 6) 计划 开发和实施 ( Plan Development an d Implementation) • 编写在事件中使组织能持续运作的计划; 7) 意识和培训规划 ( Awareness and Training Program) • 建立并维护培训和意识规划,使人员能够镇静有效地响应事件; 8) 业务连续性计划演练、评估和维护 ( Business Continuity Plan Exercise ,Ass essment, and Maintenance) • 建立演练、评估和维护以保持准备; 9) 危机沟通 ( Crisis Communications) • 提供一个开发危机沟通计划的框架; • 确保危机沟通计划能够提供及时有效地内外部沟通; 10) 外部机构协调 ( Coordination with External Agencies) • 建立政策和程序来协调与外部组织响应事件。

国际灾难恢复协会的专业惯例( Professional Practices) 是全球传播最广的业务连续性管理知识体系之一,值得关注,其最新版D RII PP 2017 的 英文版和中文版可 在国际灾难恢复协会网站 免费下载 (需注册账号 ) : • 业务连续性管理专业惯例2 017 英文版( The Professional Practices 2017) • 业务连续性管理专业惯例2 017 中文版( The Professional Practices 2017 Chinese)

国际业务持续协会良好实践指南2 018 版( BCI Good Practice Guidelines 2018 )

国际业务持续协会( B usiness Continuity Institute ) 是一家在英国注册的非营利组织 ,成立于1 994 年, 致力于通过共同体的专业精神、关系的力量、教育质量、知识的广度和洞察力,共同建 设一个每个组织都具有韧性的社会。

2017年11月7日, 国际业务持续协会 发布“良好实践指南2018版(G o od P ractice G uidelines 2018 Edition ,简写为GPG 2018 )。GPG 2018版借鉴了来自世界各地的从业者的知识以及国际标准中的信息,它是业务连续性和韧性专业人员的权威指南 。 GPG 2018版 提出,业务连续性管理生命周期是提高组织韧性( organizational resilience) 的核心,而 以下 6个 专业实践构成了业务连续性管理生命周期的基础 : 管理性实践 • PP1:Policy and Programme Management( 方针 和 规划 管理) • PP2:Embedding Business Continuity(嵌入业务连续性) 技术性实践 • PP3:Analysis(分析) • PP4:Design(设计) • PP5:Implementation(实施) • PP6:Validation(验证) 其中PP1 和PP 2 属于管理性实践,PP3、PP4、PP5和PP6是技术性实践。

注意,DRII和BCI均采用了Pr ofessional Pr a ctice 一词,但根据两个组织的使用习惯,两者分别被译为“专业惯例”和“专业实践” 。

配图

PP1 方针 和规划管理 ( Policy and Program Man agement) 方针和规划管理是建立组织业务连续性相关方针的专业实践,它也明确了如何在业务连续性规划 中通过持续的活动周期来实施该政策。业务连续性管理生命周期的这个阶段需要最高管理层的行动、支持和承诺,以建立、起草和审查与 业务连续性相关的方针 以及用于实施该 方针 的 规划 。

业务连续性 方针是阐明业务连续性规划的目的、环境 、范围和治理的关键文档。 业务连续性规划是实施该方针的持续 的 活动 循环。成功建立业务连续性规划需要完成以下规划阶段的工作: • 建立业务连续性方针 设 定业务连续性规划的边界和要求,并说明这么实施的原因;明确 组织衡量其绩效的指导原则, 以及 在发生事故时如何 持续交付产品和服务; • 明确业务连续性规划的范围 需考虑将哪些产品和服务纳入规划中; • 建立治理 为依据业务连续性方针实施和持续监视组织业务提供问责机制; • 分配角色和职责 管理业务连续性规划必需的角色、职责和权力的早期识别; • 业务连续性规划 在范围、治理、角色和职责明确后,业务连续性规划就开始实施了。

PP2 嵌入业务连续性( Embedding Business Continuity ) 嵌入业务连续性是将业务连续性意识和实践集成到业务日常活动和组织文化中的专业实践,应采用协作方式与相关管理学科共同改进整体的组织韧性。

嵌入业务连续性包括: • 通过沟通 提升 业务连续性意识; • 促进相关方的认同; • 确保必需的能力和技能到位; • 确保提供了合适的培训和学习机会。

成功的嵌入业务连续性需要完成以下活动: • 理解并影响组织文化 考虑当前能力,确保并理解当前的实践、以及为改进组织文化必需的能力 ; • 能力 和 技能 确保业务连续性相关的所有员工拥有开发和实施业务连续性方针 适宜的 教育、培训和经验 ; • 培训和意识 包括对已识别能力和技能作出响应,并确保培训和意识要求得到回应

PP3 分析( Analysis ) 分析是业务连续性管理生命周期中用于审查和评估组织以确定其目标、运行方式以及运行环境限制的专业实践。

用于分析组织业务连续性目的主要技术是业务影响分析( BIA) 。业务连续性专业人员使用BIA来确定组织的业务连续性要求,共有以下 4 种类型的BIA:

配图

BIA 识别业务连续性要 求,提供信息以确定最合适的业务连续性 方案( business continuity solutions) 。 B IA 通过评估组织活动对产品和服务交付的潜在和实际中断造成的随时间推移的影响,来确定组织每项活动的紧迫性。 业务连续性要求可明确为在中断后为持续交付重要的产品、服务、过程和活动所必需的时间段、资源和能力。以下是分析的一般原则: • 业务影响分析 BIA可以帮助 厘清 业务连续性 规划 的范围, 并用于确定和选择业务连续性方案; • 风险与威胁评估 用于识别不可接受的风险级别和单点故障。 风险和威胁评估使得设计 有效的解决方案和 缓解 措施 成为可能; • 最终分析和合并 在所有BIA工作完成后, 采用最终分析和合并来确认结果。

PP4 设计( Design ) 设计是业务连续性管理生命周期中用于识别并选择 适 宜 的解决方案、 以确定在事件发生时如何实现连续性 的专业实践 。 在业务持续性管理生命周期的这个阶段,业务连续性专业人员应 设计 方案 使组织能够响应事件,并 持续 提供 优先活动( 在分析阶段所识 别 的 ) 。 该 阶段的重要部分是加强所选方案, 确保在进 行到 实施阶段之前 在全组织内 考虑协作机会。

设计业务连续性 方案时应考虑以下: • 设计业务连续性 方案 基于风险和威胁评估的结果,在设计方案通常使用价格和绩效,成本和收益。 • 风险和威胁缓解措施 识别并实施这些措施以降低中断对组织优先活动的影响。 在该阶段,应与风险、物理安全和信息安全专业人员进行协作。

PP5 实施( Implementation ) 实施是业务连续性管理生命周期中的 实 施 在设计阶段中 已商定 方案的专业实践 。实 施 是通过开发业务连续性计划来 达成 的, 这些计划可以 满足组织商定的业务连续性要求 、以及在生命周期 分析和设计阶段中确定的 方案。 实施 阶段还包括开发响应 机制 ,该响应 机制明确 管理事件所需的角色、权限和技能。

术语“业务连续性计划”( BCP ) 暗示 了 单个文档, 但 在组织层 面 可能存在多个计划,事实上 BCP 是一个文件体系 , 可以包括多个文档 , 它可以覆盖 完整的组织或组织的一部分,并 可以根据 规模 、复杂 度 和类型来构造 和调整 ,例如,通过产品、服务、位置、部门或部门。

计划的三个层次如下:

配图

PP6 验证( Validation ) 验证是业务连续性管理生命周期内 用于确认业务连续性规划满足方针中设定目标,并且所制定计划和程序 有效的专业实践。验证的目的是确保业务连续性 方案和响应 机制 反映 了 组织的 规模 、复杂性和类型,并确保 业务连续性计划是最新的、准确的、有效的和 完整的。 该过程将持续改进组织韧性的总体水平。

验证 组合了以下3类 活动 来达成其目的: • 演练: 用于 培训、测试、评估、实践并提 升组织业务连续性能力的过程; • 维护: 用于 确保组织的业务连续性安排和计划保持相关、最新和 做好准备的过程; • 审查:评估业务连续性规划适用性、充分性和有效性,并识别改进机会的过程;

验证阶段包括以下关键活动: • 开发演练规划 为验证,必须演练选定的方案或计划,目标是通过验证持续改进业务连续性管理能力。 • 维护维护业务连续性规划确保组织随时准备好应对事件,即使组织随时间而变化。

国际业务持续 协会的 良好实践指南 ( Go od Practice Guidelines ) 也 是全球传播最广的业务连续性管理知识体系之一,值得关注,其最新版 BCI G PG 2018 的 英文版需付费获得,其简版可 免费下载(需账号 ) : • 业务连续性管理良好实践指南 2018简 版(GPG 2018 Lite)

亚洲业务持续管理协会业务连续性管理知识体系 ( B CMI BCM B ody o f K nowledge)

亚洲业务持续管理 协会 ( Business Continuity Management Institute, BCM Institute ) 是一个全球性的业务持续和灾难恢复管理协会, 2 005 年成立,总部设在新加坡。 目前,BCMI是全球第三大的 专业 BCM培训和认证机构。

“ A Guide to the Business Continuity Management Body of Knowledge ”( BCM BOK Guide ) 最初由BCM I 在2009年以白皮书的形式 发布 ,目的是对普遍接受的BCM ( CM、CC和DR ) 定义和实践进行文档化和标准化。 B CMBoK 描述 了业务连续性管理专业内 知识 的 总和。 由于通 常不可能将 (甚至只是 一个 学科的)全部知识, 如ISO 22301 BCMS审计、业务连续性 ( BC ) 、危机 沟通( CC ) 、危机管理 ( CM ) 或灾难恢复 ( DR ) 放入单个文档中,因此需要 一个业务连续性管理知识体系的指南( BCM B o K Guide) 。 因为业务连续性 专业人员不仅必须具有 业务连续性 审计 ( BCM Audit) 、 业务连续性管理( BCM) 、 危机沟通( CC) 、 危机管理( CM) 或 灾难恢复( DR) 方面的知识,还必须 拥有 其他相关学科的知识 ,所以该指南 寻求识别和描述被普遍接受的 相关 知识 体系 的 每个子集 。

配图

BCMBo K 内容 该 指南包含BCM审计、BCM、CC、CM或DR专业人员所需的 7方面的 主要知识 , 以下是BCM I BCMB oK 业务连续性管理知识体系 的内容 , 例如,BCMBoK 1:项目管理 ( Project Management) 明确了 业务连续性相关的项目管理定义和知识,其它的BCMBo K 部分也一样: • BCMB oK 1 :项目管理 ( Project Management) • B CMBoK 2 :风险分析和评审 ( Risk Analysis and Review) • BCMB oK 3 :业务影响分析 ( Business Impact Analysis) • BCMBo K 4 :计划开发 ( Plan Development) • BCMB oK 5 :测试和演练 ( Testing and Exercising) • BC MBoK 6 :规划管理 ( Program Management)

配图

BCM B o K 1 项目管理( Project Management) 提供了业务连续性管理专业人员在项目管理领域 应具备的最少知识: • 调整 并设定 高管层 的预期 ; • 建立成功项目的基础; • 建立 并 沟通 业务连续性 、 危机沟通 、 危机管理 或 灾难恢复规划 的需求 ; • 建立项目预期; • 取 得明确的角色和责任的适当承诺; • 选择适 宜 的表示形式; • 建立有效的工作计划和现实的时间表; • 根据资源需求的最优估算 编制 预算。

BCMBoK 2 风险分析与 评审 (Ri sk Assessment and Review) 提供了业务连续性管理专业人员在风险分析和评审领域 应具备的最少知识: • 评估组织中业务连续性管理方面的风险 • 理解风险评估的原则; • 设计合适的评分机制; • 确定 可能造成中断的内外部威胁类型,并评估其可能性和影响; • 评估并排序威胁; • 确定风险处置 • 理解风险处置的类型 • 从事 风险处置活动 – 风险规避,风险缩减,风险转移和风险接受; • 制定风险处置策略 • 依 据规 格 和成本 限制 评估风险最小化 的备选方案; • 审查当前的操作程序, 确保 形成适当的风险保障和计划; • 向高管层提交风险处置策略 以供批准。

BCMBoK 3 业务影响分析( Business Impact Analysis) 提供了业务连续性管理专业人员在 业务影响分析领域 应具备的最少知识: • 执行业务影响分析过程 • 理解业务影响分析过程的原则和范围; • 业务影响分析过程; • 理解可用的BIA数据收集机制; • 确定并使用适当的业务影响分析数据收集机制; • 设计一个定制、裁剪的BIA问卷; • 收集BIA信息 • 识别支持业务功能的活动,并确定责任方; • 确定可能损害组织声誉、资产和财务状况的中断对组织中每项活动/过程的影响; • 量化对组织不可接受的中断的时间范围; • 确定组织级可容忍停工的关键要求; • 确定内部和外部的相互依赖性; • 识别恢复必需的重要纪录; • 识别并记录关键业务功能( CBFs) ,关键过程和关键应用; • 确定连续性资源 • 提供资源信息以决定或推荐业务连续性策略; • 识别支持活动的内外部资源要求; • 量化在中断的最大可接受时间及可接受水平必需的人员、技术、通信资源; • 寻求高层管理者批准 • 寻求过程负责人的签字 • 向高层管理者展示要求,并寻求对分析结论的批准,为确定业务连续性策略建立基础

BCMBoK 4 业务连续性策略(BC Strategy) 提供了业务连续性管理专业人员在业务连续性策略领域应具备的最少知识。 • 选择适宜的行动方案( Course Of Action, COA) 或未来任务 ( 业务连续性 (BC) , 危机沟通 (CC) , 危机管理 (CM) 或灾难恢复 (DR) 策略 ) 以增强关键业务功能的可生存能力; • 识别 BC, CC, CM or DR 策略和要求; • 确定业务单元、公司级、 IT 和通信恢复策略; • 为选择策略进行成本效益分析; • 选择备用场地和场外存储; • 识别进行恢复时关键业务持续运行的备用处理程序; • 识别并正式化为在灾备时生存下来所需的后备业务和IT过程; • 合并策略,并向高层管理者展示恢复优先业务功能的策略计划列表;

BCMBoK 5计划编制(Plan Development) 提供了业务连续性管理专业人员在计划编制领域应具备的最少知识。 • 依据在风险分析和审查阶段识别的风险和威胁、业务影响分析阶段的关键业务功能、以及业务连续性策略阶段的BC、CC、CM和DR策略,精心整理 一系列的 行动以抵消或减轻影响 ; • 创造一个识别组织中关键业务功能的文档,以便用 尽可能短的时间和最低的成本中 进行重建; • 提供易于使用的业务连续性 ( BC ) 、危机 沟通( CC ) 、危机管理 ( CM ) 或灾难恢复 ( DR ) 计划 的模板; • 确保BC、CC、CM或DR计划 务必 由最终用户 编制, 使用 常见的术语,并包括了修复或替换服务资源; • 确保 所有恢复人员都能轻松浏览并理解 计划 ; • 提议恢复团队结构,包括具体员工姓名的恢复团队的人员组成; • 制定和执行 突发事件 或事故后应对和稳定局势的程序 ; • 建立程序灾难期间 协调 公共当局和外部机构 ; • 计划和协调危机期间媒体的管理; • 设计和实施BC、CC、CM或DR计划。

BCMBoK 6 测试和演练(Testing and Exercising) 提供了业务连续性管理专业人员在测试和演练领域应具备的最少知识。 • 对文档化BC、CC、CM和DR计划的测试进行协调、计划、评价和验证; • 明确目标、方针、指导、责任和演练规范; • 通过测试评价程序和资源访问的有效性; • 有序建立和协调演练; • 评价、更新和向高层管理者报告演练结论。

BCMBoK 7 规划管理(Program Management) 提供了业务连续性管理专业人员在规划管理领域应具备的最少知识。 • 确保计划 起作用并适应当前情况 ; • 规范计划维护过程; • 保持高水平的认知/意识; • 将BC、CC、CM或DR工作与组织绩效相联系; • 将BC、CC、CM或DR作为业务战略形成的关键决策因素; • 依据国际标准作为 业务连续性(BC)、危机通信(CC)、危机管理(CM)或灾难恢复(DR)计划和BCM 规划的基准; • 规划 一个客观 的机制来验证整个计划的“可操作性”; • 审查和修改BC、CC、CM或DR计划,以反映人员、 装 备和程序的变化 ; • 维护业务持续性管理 ( BCM )文化; • 确保对BCM 规划 和BC、CC、CM或DR计划进行定期审计。

亚洲业务持续管理协会的业务连续性管理知识体系可通过在线W iki 网站访问: http://www.bcmpedia.org/wiki/BCM_Body_of_Knowledge_(BCMBoK)

国际标准化组织 ISO 22301 业务连续性管理 系列标准 (及PECB ISO 22301 实施和 审计方法 )

2012年,国际标准化组织(ISO)正式发布了《ISO 22301: 2012 Societal security – Business continuity management system – Requirements》和《ISO 22313: 2012 Societal security – Business continuity management system – Guidance》,ISO 22301指明了建立和管理一个高效业务连续性管理体系的要求,ISO 22313则阐述了如何建立、实施、保持和改进组织的业务连续性管理体系。我国已等同采用ISO 22301和ISO 22313为国家标准。

ISO 22301提供了一个框架,用于规划,建立,实施,运行,监控,评审,保持和持续改进业务连续性管理体系(BCMS)。它可以帮助组织为应对破坏性事件时进行预防,准备,响应和恢复。开发标准的ISO技术委员会秘书Stefan Tangen博士指出:“实施ISO 22301的组织将能够向立法者,监管机构,客户,潜在客户和其他相关方证明他们遵循BCM的良好实践”,“它也可以由需要向管理层报告的审计人员用于衡量组织的实践”。

ISO 22301将协助组织设计适合其需求并满足相关方要求的BCMS。这些要求由法律法规、行业环境、组织的产品和服务、规模和结构、流程以及相关方等因素确定。负责编写ISO 22301的项目负责人Dave Austin解释说:“为了更好地运作,ISO 22301需要组织彻底了解相关方的需要和期望。BCM不只是一个项目或制定“预案”,而是一个持续的管理过程,要求为关键人员在需要时提供适当的支持和结构。”

鉴于业务连续性在各个领域的重要作用,ISO 22301具有巨大的全球潜力。到目前为止,许多国家已采用ISO 22301作为国家标准。世界各地的企业都希望采用良好实践并获得该标准的认证。

关于ISO 22301 业务连续性管理系列标准,本公众号已进行过详细介绍, 可参阅 以下 文章: • 2018.10.31 《ISO 22301白皮书 》 • 2018.08.12 《 BCM & Resilience 更新 》

下面介绍PECB ISO 22301 业务连续性实施和审核方法论

国际专业人士评估和认证委员会(PECB,Professional Evaluation and Certification Board )成立于2005年,是一个基于广泛国际标准的人员、管理体系和产品的认证机构。作为培训、检查、审计和认证服务的全球提供商,PECB在多个领域提供专业知识,包括但不限于信息安全、IT、业务连续性、服务管理、质量管理体系、风险与管理、健康、安全和环境。

为便于业务连续性管理体系的实施,PECB基于其独特的Integrated Implementation Methodology for Management Systems and Standards(IMS2)方法,将管理体系实施和审核的活动组织成不同的阶段,再细分为步骤,以至活动、任务,如下图所示:

配图

IMS 2 方法

如将业务连续性管理体系的实施分为4个阶段、21个步骤和101项活动,并针对每项活动进行详细讲解,具体如下:

配图

BCMS实施的 4 个阶段和2 1 个步骤

规划阶段包括以下9 个步骤 : • 启动业务连续性管理体系项目( Initiating the BCMS) ; • 了解组织( Understanding the organization) ; • 分析体系现状( Analyze the existing system) ; • 设定范围( Scope) ; • 领导力和策略( Leadership and planning) ; • 业务连续性方针( BC Policy) ; • 组织结构( Organizational structure) ; • 存档信息( Documented information) ; • 能力和意识( Competence & awareness)

实施阶段包括以下7 个步骤 : • 业务影响分析( Business Impact Analysis(BIA)) ; • 风险评估( Risk assessment) ; • 业务连续性策略( Business continuity strategy) ; • 保护和缓解措施( Protection & mitigation measures) ; • 业务连续性计划和程序( Business continuity plan & procedures) ; • 沟通( Communication) ; • 演练和测试( Exercising and tes ting) ;

检查阶段包括以下3 个步骤 : • 监视、测量、分析和评价( Monitoring, measuremen t , analysis and evaluation) ; • 内部审核( Internal audit) ; • 管理评审( Management review) ;

改进阶段包括以下2 个步骤 : • 不符合和纠正措施( Nonco nformities & corrective action ) ; • 持续改进 ( continuous improvement) ;

类似的,PECB将ISO 22301 审计规划(A udit Program) 分成了6个阶段,3 3 个步骤,然后再将这些步骤细分为不同的活动,如下图:

配图

PECB 审计规划管理

启动审计项目 ( Initiating the Audit) 主要 包括9 个步骤 : • 评审认证 申请 ( Application review) ; • 任命审计小组负责人 ( Appointing the audit team leader) ; • 建 立初步联系 ( Establishing initial contacts) ; • 明确审核目标 ( Defining audit objectives) ; • 确认审计范围 ( Validating the audit scope) ; • 明确审计准则 (De fining the audit criteria) ; • 确定审计可行性 ( Feasibility of the audit) ; • 签署认证协议 (Ce rtification agreement) ; • 选定审核小组人员 (Audit team) ;

第1阶段审核心主要包括4 个步骤: • 现场参观 (Si te visit) ; • 关键相关方联络 ( Contacts with key stakeholders) ; • 文件评审 ( Document review) ; • 第1阶段审核报告 ( Stage 1 audit report) ;

准备第2阶段审核主要包括4 个步骤 : • 准备审核计划 ( Preparing the audit plan) ; • 指定审核人员 (Assign ing the auditors) ; • 创建审核测试 ( Creating audit tests) ; • 准备工作文件 ( work documents) ;

第2阶段审核主要包括5 个步骤 : • 首次会议 ( Opening meeting) ; • 收集信息 ( Collecting information) ; • 执行审核测试 ( Conducting audit tests) ; • 审计发现和不符合报告 ( Audit findings and non-conformity reports) ; • 质量评审 ( Quality review) ;

审核结论阶段主要包括8 个步骤 : • 准备结论 ( Preparing the conclusions) ; • 对结论进行讨论 ( Discussing the conclusions) ; • 末次会议 ( Closing meeting) ; • 准备报告 ( Preparing the report) ; • 分发报告 ( Distributing the report) ; • 审核后续 (Audi t follow-up) ; • 认证讨论 ( Certification discussion ) ; • 结束审核 ( Closing the audit) ;

初次审核后主要包括3 个步骤 : • 监督活动 ( Surveillance activities) ; • 监督审核 ( Surveillance audits) ; • 再认证审核 ( Re-certification audit) 。

PECB的 这套 IMS 2 方法功能强大,给人印象深刻,无论是业务连续性领域 的入门菜鸟、还是沉浸 企业安全多年的行业 专家 都可以从这 套 系统化、流程化、模块化 、 工程化 的 方法 中受益。

未完待续 ……

=

=========

精采回顾

===

============

业务连续性问与答(大纲 ) 1. 业务连续性问与答Q 1 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?( 下 ) 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

“一 个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你 给出更好的答案!( 入选均 有小礼品赠送 ) 由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。

配图

另,本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接