專業實踐
关于本专业惯例
Login to Access由国际灾难恢复协会(Disaster Recovery Institute,简称DRI)创建和维护的《业务连续性管理专业惯例》是一套知识体系,旨在协助开发、实施和维护业务连续性规划,并可作为评估现有规划的工具。
使用专业惯例框架来开发、实施和维护业务连续性规划可以减少规划中可能存在的显著漏洞,并增强一致性。使用专业惯例评估规划可以找出漏洞或不足之处,以便进行纠正。
业务连续性管理(BCM)是一整套管理过程,该过程识别组织可能面临的潜在威胁以及这些威胁一旦发生可能会对业务运营产生的影响,并提供一个框架来建立组织的韧性,从而具备有效响应的能力,以保护其主要利益相关者、声誉、品牌和创造价值的活动。
国际灾难恢复协会发布和维护的 《韧性国际词汇表》中定义了这些术语。
2023版专业惯例
作为国际灾难恢复协会不断努力维护本专业惯例的相关性和实用性工作的一部分,自2021年11月1日至2022年8月1日,国际灾难恢复协会对本专业惯例的内容、格式和功能进行了广泛修订。其目的是提供以下信息,包括:
- 增强版本的专业惯例五:事件准备和响应,包括与事件管理相关的更多准备活动;
- 更多关于识别各种网络威胁和通过将网络安全活动整合到业务连续性管理中的策略的信息;
- 加强保险作为风险转移工具的使用,并提供应作为业务连续性管理重要组成部分的更具体保险政策类型;
- 引介更强大的数据备份技术;
- 更多针对特定技术的策略,以及
- 更多制造业的策略
此外,其中四个专业惯例的标题进行了修改:
- 专业惯例一从“规划启动和管理”改为“规划管理”;
- 专业惯例五从“事件响应”改为“事件准备与响应”,以强调创建有效响应计划的活动;
- 专业惯例八从“业务连续性计划演练、评估和维护”改为“业务连续性计划演练/测试、评估和维护”,以保持与内容的一致性; 以及
- 专业惯例十从“与外部机构的协调”改为“与外部机构和资源的协调”。
概要
业务连续性管理专业惯例的目标
1. 规划管理
- 建立业务连续性规划的需求
- 引入关键概念,如规划管理、风险意识、对关键功能/流程的影响、恢复策略、培训和意识提高以及演练/测试。
2. 风险评估
- 识别可能会影响组织的资源、流程或声誉的风险。
- 评估风险,确定对组织的潜在负面影响,以使组织能够确定减少它们的最有效措施。
3. 业务影响分析
- 识别组织所有的功能、流程和依赖关系,并进行重要性分级,以确定如果这些功能不可用时对组织产生的最大影响。此分析结果应保存好以便用于帮助组织了解事件及其可能造成的后果。定量化描述对组织、其服务和受影响方面的影响程度。
- 分析、记录和沟通所得到的结果,以强调组织的要求与其当前能力之间的所有差距。
4. 业务连续性策略
- 根据风险评估和业务影响分析中确定的差距,选择减少差距的策略。
- 在业务影响分析的责任方的支持下,识别组织的主要功能,包括潜在的第三方服务提供商。
5. 事件准备和响应
- 了解可能威胁生命、财产、运营或环境以及它们的潜在影响的事件类型。
- 通过实施事件管理体系来建立保护生命、财产、运营和环境免受潜在事件的影响的能力,从而指挥、控制和协调内部和外部资源的响应、连续性和恢复活动。
6. 计划开发和实施
- 编写计划,以用于事件发生期间使组织能够继续运作。
- 确定演练/测试标准,以验证计划能够实现预期目标。
7. 意识和培训规划
- 建立和维护培训和意识提高规划,使人员能够以冷静和高效的方式应对破坏性事件。
8. 业务连续性计划演练/测试、评估和维护
- 建立业务连续性计划演练/测试、评估和维护规划,以改进组织的准备就绪状态。
9. 危机沟通
- 建立和维护危机沟通计划。
- 机沟通计划能够及时有效地与内部和外部各方进行沟通。
10. 与外部机构和资源的协调
- 根据专业惯例五:事件准备和响应,建立与适当的公共机构和私营资源进行协调响应活动的政策和程序。