BSI标准事业部(BSI British Standards)最近研发并颁布了BS25999-业务持续管理标准,这一标准在世界范围内引起了广泛的关注。BSI标准事业部在中国对这一标准进行了介绍和推广,相信BS25999标准的应用同样将为中国企业的发展壮大增添巨大的价值。
对于企业而言,面对突发事件和对正常业务发生巨大影响的干扰情况的发生,一个重要的解决方案就是为这些可能的灾害性事件建立应对机制。举例来说,这些事件可能包括突然的停电、计算机病毒的侵扰、火灾、罢工等等。业务持续管理(BCM)的概念在这一背景下提出,它关注于企业在突发事件发生后的恢复能力,包括如何应对灾害事件以及在事件之后如何恢复正常的运转,还包括应对措施的演练和组织的每一个成员贯彻持续性的理念。
英国标准协会(BSI)首先颁布了BS25999-1:业务持续发展指南,帮助企业建立相应的准备机制。负责该标准制订的技术委员会由来自政府、企业界、学术界等各方面的专家组成,成员还包括一系列非盈利组织,如业务持续管理学会(BCI)、持续性论坛、紧急事件应对协会(EPS)、风险管理经理人协会(ALARM)、英国贸工部、内政应急事务办公室、金融服务机构、英国工商业联合会、公司董事学会、英国保险业联合会,以及小企业联合会等。
技术委员会于2006年7月完成了第一稿,并公开进行了意见征询。这一过程得到了广泛的响应,有5000份标准草案通过网络被下载和研读。公众的反馈普遍认为这一标准的制定将具有重要的意义,对一系列的行业和用户产生广泛的影响。
BSI业务持续管理委员会主席、业务持续管理学会副主席Chris Green随后指出,“公众和业界对于BS25999-1的热烈反响给予我们极大的鼓舞。技术委员会的成员将会更加积极努力地工作,结合学术界的研究成果、技术的应用和业界的事件经验,制定出切实可行的标准,帮助企业建立完善的业务持续管理体系。我们高兴地看到各界人士对标准的草案提出了大量有建设性的意见,我们将在此基础上对标准作进一步的完善。”
BSI业务持续性管理技术委员会经理David Adamson解释说,“这一标准基于目前业务的最佳实践,建立一个业务持续管理的体系。其目的在于为业务持续管理提供一整套可衡量和可控的尺度。这一标准适合各种类型的企业,包括大型、中型和小型,以及工业企业、商业企业、公共部门及公益组织。
业务持续管理技术委员在标准制定的过程中考虑了下述因素:
- 各利益相关方的需求
- 为组织在突发性灾害性事件发生的情况下提供应对和恢复的信心
- 对于每一个组织成员的关注
- 在各种不同的情况下确保满足客户对于本组织的期望值,以及保证公司利益相关方对于企业的信心
- 可能最为重要的一点是:保护企业的声誉
BS25999第一部分取材于之前的多份标准性文件,包括2003年颁布的PAS56:对业务持管理的指导。这是一项由一部分组织在之前共同制定的一个公共规范,尚没有在更广的范围内征求过意见。PAS56是几年前在关注业务持续管理问题的专业人士以外的范围内颁布的第一份标准型文件,它的颁布受到了业界的普遍关注,BSI受到了许多对此的反馈意见,并在此基础上成立了专门的技术委员会,开始着手于BS25999-1的制定。
BSI关于业务持续管理的标准化工作在美国“911事件”以及英国“7•7”恐怖袭击事件发生后对于业界而言显得尤为重要。这些巨大的灾难性事件在提醒人们企业需要建立一个完善的灾难应对机制,这是因为在发生突发事件的情况下:
- 80%受到事件重大影响企业在18个月内倒闭
- 90%在灾难事件中丢失重要数据的企业在2年内倒闭
- 58%的英国企业因“911事件”而受到负面影响,八分之一的企业受到严重的负面影响
BSI相信,企业通过应用BS25999-1的标准,可以显著地提高业务的可持续性。
这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。
通过遵循指南的基本原则,各类型组织在“B-B”或“B-C”的业务模式下都能够在交易链中加强信心。该项标准还为企业提供了明确和持续的衡量标准。
该项标准包括以下部分:
- 定义和术语
- 什么是业务持续管理
- 业务持续管理总览
- 业务持续管理体系
- 项目管理
- 对组织的认识
- 决定业务持续管理的模式
- 制定和执行业务持续管理的机制
- 业务持续管理的实施、维护、审核和评价
- 将业务持续管理植入企业文化
标准第一部分还阐述了业务持续管理的生命周期,过程的评价以及更新文件系统,业务持续管理的选项,以及实施业务持续管理的方法和战略。
虽然该项标准并不仅仅是一个业务持续管理的入门指南,它在各类型组织和各个级别的负责人士中具有广泛的适用性:从董事会成员至企业的各级别经理;从只有一间办公室的小公司到业务遍及全球的跨国企业;从简单的贸易商到中小型制造企业,乃至拥有成千上万员工的国际公司。该项标准对任何负责企业持续经营的管理人员来说都是适合的。
BSI在2006年12月正式颁布了BS25999-1,并立即取得了巨大的成功。该技术委员会立即着手制定该项标准的第二部分,对第一部分要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。2007年7月,标准的第二部分对公众进行了意见征询并获得了更大的反响,表明业界对该项标准的广泛关注。同年11月,BS25999-2正式颁布。
目前,第一部分和第二部分的标准正在越来越多地被业界应用。BSI的技术委员会还在致力于该系列的其他标准文件,帮助企业具体实施业务可持续性管理体系。未来工作的方向包括体系的验证和演练、IT系统灾难恢复、危机处理等相关标准。
如需获取BS25999-1和BS25999-2的全文,可以访问www.bsigroup.com,也可以联系BSI标准事业部北京代表处(010-65157060转108)购买。
—完—
文:BSI David Adamson
译:BSI 滕钢
