· 公众号:业务连续性+ 原文链接 ↗

网络安全和业务连续性管理·业务连续性问与答·Q5(下)

问题 : 有哪些 主要 的 业务连续性管理 知识体系?

简答: 目前主 要 的业务连续性管理相关知识体系主要有: 1. (美国 ) 国际灾难恢复协会专业惯例2 017 版 (DRII P rofessional P ractices 2017) ; 2. (英国 ) 国际业务持续 协会良好实践指南2 018 版 ( BCI Good Practice G uidelines 2018) ; 3. (新加坡 ) 亚洲业务持续管理协会业务连续性管理知识体系 ( BCM Institute BCM Body of K nowledge) ; 4. 国际标准化组织 ISO 22301 业务连续性管理 系列标准 (及PECB ISO 22301 实施和审核方法 ) ; 5. 美国消防协会 NFPA 1600 ; 6. 组织韧性国际联盟 组织韧性模型与框架 ( ICOR Organization Resilience Model and Framework) ; 7. 当然,还有 我们 完全自主知识产权、非主流的 业务连续性 实 践 框架 ( BCM Practice F ra mework) ;

…… 续上期

美国消防协会 灾难/应急管理和业务连续性/运行连续性规划标准 N FPA 1600

配图

《 NFPA 1600 :2 016 Standard on Disaster/Emergency Management and Business Continuity/Continuity of Operations Programs 》 (灾难/应急管理和业务连续性/运营连续性规划 标准 ) , 1995年首次发布 ,目前已成为 西半球 的 主要标准 , 许多美国公司使用NFPA 1600作为其全球 灾难恢复/应急/业务连续性 计划的基础。NFPA 1600 广泛 应 用于地方 、 区域 、 国家 、 国际和全球的公共 、 非营利 、 非政府和私 营组织 , 美 国 受 恐怖袭击事件 国家调查 委员会 ( 9/11委员会 ) 认可NFPA 1600 为国家 准备 标准 ( National Preparedness Standard® ) , 被美国国土安全部采纳为应急准备的自愿共识标准。 当前 版本为 2016 版, 2015年11月14日发布,在2015年12月4日被批准为美国国家标准。

NFPA 1600 :2 016 明确将“运行连续性规划”(Co ntinuity of Operation Program ,简称COOP ) 纳入进来,使其适用于公共部门;同时,明确了危机管理规划( crisis management planning) ,纳入那些威胁组织声誉、战略和无形要素 而严重影响或可能严重影响组织运营、声誉、市场份额、经营能力或关键相关方关系的问题;业务连续性再次成为 2016 版的重点,多个地方提出了供应链风险和信息安全管理。供应链脆弱性评估加到了风险评估一节中,“信息”损失的影响评估加到了影响评估的要求中,信息安全的规划加入到了连续性规划一节中。

NFPA 1600 :2 016 是一份80页的文件,包含9章和11个 附件 (从A到K ) ,章节内容简洁,给出了结构化的要求 ,但 并未提供 实施 指导, 附件 增加 了内容的 深 度和细节 ,如 附件 A提供了较全面的解释, 附件 B 可直接用作 自评估的检查清单 。下面逐一介绍

第1章 管理 1 .1 范围( Scope) 指出, NFPA 1600为以下方面制定了“一 系列 共同准 则 ”: • 所有 的 灾害灾难 • 应急管理和业务连续性 • 运 行 连续性 1.3 适用( Application) 指出,该标准适用于“ 公共,私营,非营利和非政府 类组织 ”。

第2章 参考出版物 该 章 为 以后 引用/参考 其他NFPA出版物的 留出了 空间,“这些出版物应被视为本文件要求的一部分”。

第3章 定义 该 章 给出 了 标准 中 用到 的30个 术语的 具体定义。如,它将业务影响分析 ( BIA ) 定义为“ 一种 管理 水平 分析,用于识别 、 量化 、定性收组织 资源的中断或 破坏 产生的影响 ,该分析可识别时延敏感的功能、恢复优先级 …”

该章 中未定义的任何术语均使用 “ 它们在使用它们的上下文中的通常接受的含义”来定义。

第4章 规划 管理 ( Program Management) 该 章要求组织的领导和 管理人员 通过以下方式做出承诺: • 致力于 规划 的所有阶段 - 开发,实施和维护 • 提供支持该 规划 的资源 • 确保 规划评审,并 持续评估 以保持 规 划的有效性 • 支持所需的纠正措施,以纠正该 规 划的不足之处

该 章还要求任命一名负责执行上述工作的 规划 协调员和 规 划委员会。 规 划管理要求还包括: • 方针、 范围 和 目标等的书面 规划; • 确 认,阐明并确保遵守适用的法律法规 ; • 财务和行政程序 以及 记录管理 第4.7 节 特别要求建立一个记录管理程序,以识别 、 备份验证和保护记录,以及实施记录审查过程和协调记录访问。

第5章 策 划 ( Planning) 该 章概述了 5 个方面的 策 划和设计过程: 1.组织的愿景,使命和目标的定义 2.风险评估和业务影响分析 ( BIA ) 3. 以下方面的 资源需求评估: • 应急指挥 /响应 • 危机沟通 • 制定业务连续性标准 • 可行的恢复计划 4.危机管理,以解决可能 对以下方面产生 严重影响的事件: • 组织的运 营 • 品牌的声誉 • 市场份额 • 组织的 经营能力 • 对关键 利益相关 方 的关系 的影响 5.将组织内外的关键利益相关 方 纳入 策 划过程 第5章提供了组织需要评估的危 险 清单 ( 地质,天气,疾病,事故, 人为 破坏和技术 ) 以及每种危 险 的例子。 该 章还 描述了 业务影响分析 ( BIA ) 的要素以及应识别和解决的 (分析)范围 。

第6章 实施 ( Implementation) 该章 要求 应急指挥和响应计划要明确 具体责任,并说明需要采取的行动和稳定局势的措施。需要包括恢复重要 运营 的连续性和恢复计划。 该 章 还 讨论 了 组织在制定 策 略时需 采取的措施: • 阻 止危及生命或其他严重事故 • 减轻或控制事故的后果 • 提供危机沟通和公共信息 • 建立 指挥 程序,以控制 访问、 识别和 追责关键人 ,调动必要 资源 等

第7章 培训和教育 ( Training and Education) 该 章规定了“基于能力的培训… 支持所有在 规划中有任务 的员工。”培训必须注重意识 方面 ,目标是“增强实施 、 支持和维护 规划 所需的知识,技能和能力”。

培训 规 划还必须包括公共教育计划,让公共部门了解任何 可能的 影响 ( 包括准备信息,或制定准备计划所需的信息 ) 。

第8章 演 练 和测试 ( Exercising and Testing) 定期 对计划进行 演 练 和 测试 会促进 持续改进。第8章要求 用 “标准化的方法来 练习 程序。” 演 练 和 规划 测试的设计包括评 价、 测量和识别缺陷,以提高团队和个人 绩效 。

总之, 演 练 “应评估 规划中的 计划 、 程序 、 培训和能力”,评估结果应标明为合格或不合格。测试“应按照建立和维持 必 需 的 能力所需的频率进行。”

第9章 规划 维护和改进 ( Program Maintenance and Improvement) 该 章规定了 一个过程来评估 组织 对 NFPA 1600 的符合 , 该过程 “ 通过 评估预防和纠正措施所产生的变更的实 施情况 ” 实现。该章还要求规划 必须定期 ,及在 组织的运营环境发生变化时 进行 重 新 评估 。

附件 ( NFPA 1600的 附件 不是 规划 要求的一部分,但如前所述,它们为用户提供了 出色 的背景信息和工具 )

附件 A 解释性材料 包含与各章节 相关的类似脚注的摘要信息 , 虽然冗长,但 提供了 重要 的见解和 补充 信息。

附件 B NFPA 1600 : 2016版 符合性的 自 评估 工具 这是一个用户友好的 检查 清单 , 依据 第4章到第9章中的 规划要素列出了 超过2 00 项符合性检查项 。

附件 C 小企业准备指南 基于小 型 企业或组织需要集中精力或增加准备的假设, 该 附件 突出并简化了NFPA 1600的关键 内容 。 它 简化 了第4、5、6、8和9章中的 “是/否” 检查 清单 , 重点是 在发生灾难时 保护小企业 的 资产, 持续 提供产品,履行合同和法律承诺。

附件 D 策 划 – 实施 – 检查 – 改进( PDCA )循环 从2010版开始,NFPA 1600标准 就采用 PDCA格式 进行 组织。 该 附件提供了每个章节 在PDCA中所处的位置。

配图

NFPA 1600 的PDCA循环

策划( Plan) :第4章和第5章 ; 实施( Do) :第6章; 检查 ( Check) :第7章和第8章 ; 改进( Action) :第9章 。

附件 E NFPA 1600 与 DRII 、 CS A Z1600和联邦连续性指令 1 的对照表 该 附件 是 NFPA 1600 中 要求的 对照索引 ,以及以下内容: • DRII ( 国际灾难恢复 协会) 业务连续性管理专业惯例 • CSA Z1600 ,应急管理和业务连续性 规划 • 联邦连续性指令1 该 附件 仅用于两列对比图表中列出的每种标准的组成部分的“高 层级 比较”。

附件 F 作为管理体系标准的 NFPA 1600,2016版 附件 F 基于ISO/ IEC 的高层级结构将 第1章至第9章 重写,有助于希望使用NPFA 1600 要求建立管理体系的组织使用。

附件 G成熟度模型 附件 G讨论了内部评估的高级步骤和管理模型。它为制定“记录方法以进行评估,以跟踪计划的持续改进和进展”提供了指导。

附件 H-APELL 地区级 突发事件 意识和准备 ( Awareness and Preparedness for Emergencies at Local Level , APELL ) 是灾害 应对 的综合方法。该 规划 是在联合国主持下制定的,是一个“多利益攸关方对话工具”,用于全球 级 的备灾协调和 沟 通 。

可采用APELL规划方法实施NFPA 1600 ,二者可以很好地集成,该 附件 介绍了APELL,描述了APELL的实施步骤和二者的关系。

附件 I 家庭准备 该 附件 为雇主提供了一个PDCA模型,以“ 识别 、 记录 、 沟通 、测 量 、 教育和培训员工如何在紧急情况下为自己和家人做好准备”。

附件 J 访问和功能需求 该 附件 涉及 如何解决规划 应急 ,以包括残疾人和其他访问需求。

附件 K 参考 资料

组织韧性国际联盟的组织韧性模型和框架( ICOR O rganizational R esilience Model and Framework)

组织韧性国际联盟( International Consortium For Organizational Resilience ,简写为ICOR ) 是全球组织 韧性 的领导者。ICOR 是少有的提出组织韧性模型和框架的组织,下面我们对其简要介绍。

组织韧性模型( Organizational Resilience Model)

配图

组织韧性模型

ICOR的组织韧性 提升 模型基于《ISO 22316 : 2017 安全和韧性 – 组织韧性 – 原则和属性》,由 3 种 环境、9 项战 略和16 种 行为组成。

每个组织都是独 特的,组织韧性的实现方式也是独特的 。 但有 研究表明,在变化和不确定时期 展现 生存和繁荣 组织拥有共同的 属性和行为。

3 种环境:这3种 环境 各自 分别由 3 项 策略 组成, 实施 这些策略可以 提升组织韧 性。9 项战 略 :每 条 战略可以单独实施或组合 起来 作为整体组织 韧 性战略的一部分 实施 。 16 种行为:所识别的行为描述了更具韧性的组织是如何运转的 。这些行为被认为对防止 崩溃 或失败 、或使能 采取适当和及时的行动 很重要。它们将更具韧性的组织与那些只是经营良好、成功或兴旺的组织区分开来, 具体 如下 :

领导力和战略 ( Leadership & Strategy) 当组织展示领导品质并有意实施策略时,组织韧 性就会得到 提升和增强 。 • 共同愿景 ( A Shared Vision) :组织的成员/员工清楚地理解组织的目的、愿景和价值 观; • 了解环境 ( Understands Context) :全面了解组织的内、外部环境; • 高 效领导 者 ( Effective Leaders) :领导者高 效 、得到授权、值得信赖和被尊重 ,并且领导力 遍 布于整个组织 。

文化与行为 ( Culture & Behaviors) 当有意识地努力确保整个组织的健康文化时,组织 韧 性就会得到 提升和 增强。 • 健康文化 ( Healthy Culture) : 存在 核心价值观和行为 ,支持 其成员/员 工 的健康和福利 、 培养创造力 、 赋 能 其成员/员 工高 效沟通 ; • 共享信息 ( Shares Information) : 共享 信息和知识 使能够高效 决策, 鼓励和重视从经验和其他人学习, 认 同信息是组织的关键资源; • 持续改进 ( Continually Improves) :持续监 视绩效 并鼓励持续改进的文化。

准备和管理风险 ( Preparedness & Managing Risk) 当组织有意识地管理风险并为意外情况做好准备时,组织 韧 性就会得到 提升和增强 。 • 资源可用 ( Available Resources) : 为提供适应变化环境的能力时,随需 有 适当、可用的 资源 ; • 管理风险 ( Manages Risk) :风险 在 全 组织 内 管理, 并在适 当地 时采用 管理 体系; • 管理变革 ( Manages Change) :能预见、计划和应对变化的环境和事件。

16种行为: 适应性和灵活性(Adaptive and Flexible)、敏感(Aware)、合作(Collaborative)、承诺(Committed)、创造(Creative)、多元(Diverse)、包容(Inclusive)、整合(Integrated)、有准备(Prepared)、冗余(Redundant)、反思(Reflective)、资源丰富(Resourceful)、尊重(Respected)、响应(Responsive)、健壮(Robust)、自我调节(Self-regulated)。

组织韧性框架 ICOR的组织 韧 性框架确定了有效管理风险的十二个管理 学科 , 其中每个学科都 作为一个体系实现 并集成进框架 ,当然必须 消除竖井现象。

配图

组织韧性框架 除了有效地管理风险 外,同样重要的是,组织 在各个层级应 具有 高 效和 获得授权的领导-

得 到 信任和尊重 并能 决策的领导者。

韧性需要协调方法 虽然不存在使组织具有韧性的单一战略和解决方案,但是组织可以通过以下方式增强韧性: • 以综合和协调的方式, 加强 组织管理风险的人员管理 纪律 ; • 建立确保组织以健康方式行事的文化; • 提高其适应能力和管理变革的能力。 其中每一方面在建设 更具弹性的组织方面都起着重要作用,但是作为一个框架和综合战略来实施 会 带来最大 收益 。

业务连续性(BC) / 运行连续性(COO) 业务连续性管理(BCM)是识别组织潜在威胁以及威胁对组织业务运营影响的管理过程。

危机管理和沟通(Crisis Management and Communications) 危机管理和沟通主要处理由最高管理层和在组织战略层面管理的危机。

关键环境(Critical Environments) 关键环境的重点是设计、建设、运行、管理、治理和审计数据中心和用于容纳计算机系统和相关组件(如通讯和存储系统)的其他关键环境。

财务健康和可行 性 ( Financial Health & Viability ) 组织韧性不只是管理风险、领导参与以及拥有健康的文化,组织还必须具有财务可行性,能在变化环境中提供产品或服务。

人力资源管理( Human Resource Management ) 人力资源管理是一个专注于最大化员工生产力的商业领域。它是一项组织功能,旨在服务于雇主的战略目标而最大限度地提高员工绩效。人力资源管理也关注管理和鼓励组织变革。

ICT连续性( Information & Communication Technology Continuity ) ICT连续性处理组织保护其技术和通信系统并最小化中断影响的需求。

事件响应( Incident Response ) 事件响应的重点是规划在高效响应事件时所必做的。组织需要准备程序管理影响生命和财产安全的事件。

信息安全( Information Security ) 今天比以往任何时候都更需要在尽可能高的层级了解和防护对计算机系统的威胁。随着威胁的增加,信息安全领域不断发展扩大。

法律、审计和合规( Legal, Audit, and Compliance ) 法律、合规和审计在组织韧性中扮演着两个角色。首先,它是由各个行业组织、监督组织和政府机构确定的最佳实践的集合;其次,可使用检查程序以至第三方审计在内,确保实务与其一致。

组织行为学( Organizational Behavior ) 组织行为学研究组织环境中人的行为、人的行为与组织的接口以及组织自身的行为。

风险管理( Risk Management ) 风险管理是对风险(在ISO 31000中定义为不确定性对目标的影响)的识别、评估和优先排序,然后协调和经济地应用资源,以便最小化、监视和控制事故发生的概率和/或影响,或者最大化机会的实现。

供应链管理( Supply Chain Management ) 长的全球化供应链、不断收缩的产品周期、以及多变和不可预测的市场周期,它们可能性和影响升高,加剧了对您的供应链和组织的威胁。

组织韧性国际联盟(ICOR)是最早在全球推广组织韧性相关方法论的国际组织之一,其提出的组织韧性模型和框架值得关注和跟踪。

业务连续性实务框架( Business Continuity Management Practice Framework)

在实践业务连续性管理的过程中,我们发现这些国际先进理念与中国实践中间尚有不少“缺口”,因此,在不断的“实践-反思-发展”循环中,我们结合国际先进理念和中国经验,发展(尚待更多完善 ) 了 自主知识产权、非主流的业务连续性管理知识体系 — 业务连续性实践框架( BCM Practice Framework) ,下面就抛砖引玉,希望能有更多朋友参与探讨,对其进行丰富和完善。

业务连续性实务框架(BCM Practice Framework,简称BCMPF) 全面覆盖了业务连续性管理体系从规划、建设、运行到优化的全过程,由 实施导图(BCM Implementation Roadmap)、参考实践库(Reference Library)、标准与案例汇编(Standards and Cases) 组成。

配图

实施导图

实施导图(Implementation Roadmap) 实施导图是采用项目管理方法论,将业务连续性管理体系的规划、建设、运行和优化以及项目管理过程分为6个阶段,30项任务,分别是: 项目前(Prepare) :获得管理层认同,确定实施方案,启动项目; 规划框架(Plan) :了解组织环境,确定体系范围,制定业务连续性战略,发布业务连续性方针,设计制度体系; 构建体系(Build) :业务影响分析,风险评估,资源和能力评估,确定业务连续性策略,资源建设,编制应急预案和业务连续性计划; 运行体系(Run) :应急准备,应急响应,业务恢复,事后重建,ICT连续性,资源保障与支持,危机管理和沟通,培训与意识,演练,持续改进; 监控评估(Monitor) :有效性测试,内部审核,管理评审; 项目后(Close) :项目结束,监管和外部审核,项目后评价。

基于这6个阶段、3 0 项任务,我们给出了不同参与方(最高管理者、BCM委员会、BC负责人、BC协调员、员工/业务人员、内审员和BCM专家 ) 在每一阶段与任务中所需要完成的主要工作,每个阶段的主要交付物,以及在完成这些任务时可参考的 监管要求、标准和最佳实践(详见下图 ) 。

配图

BCM实施导图(一 )

配图

BCM实施导图(二 )

参考实践库( Reference Library) 参考实践库类似于经典的业务连续性管理知识体系,将业务连续性管理 相关的实践分为9个领域( D o main) : 领域一:治理和管理 领域二:规划和项目管理 领域三:RA和BIA 领域四:BCP和资源建设 领域五:事件管理 领域六:宣教培训和演练 领域七:评估和改进 领域八:特定领域风险管理 领域九:组织韧性进展

标准和案例汇编( Standards and Cases) 标准和案例汇编是补充性内容,用于收集、整理与业务连续性相关的法律法规、标准和典型案例。

业务连续性实践框架的目标,是为业务连续性管理专业人员提供一整套参考框架,在组织内规划、建设、评估和优化业务连续性管理工作时,实施导图(可裁剪 ) 提供实施步骤和任务的逻辑,参考实践库为每一项任务提供具体指导,标准和案例汇编则提供补充性的领域参考。

总之,我们希望通过使用这个目前 非主流的“业务连续性实务框架” ,帮助组织轻松、快速、可靠地推动、实施和改进业务连续性管理工作。

=

==========

======= 精采回顾

===

业务连续性问与答(大纲 ) 1. 业务连续性问与答Q 1 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?( 下 ) 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM? 5. 业务连续性问与答Q 5 :有哪些主 要 的业务连续性管理知识体系?(上 )

“一 个好问题,胜过一百个好答案!” 欢迎你带着问题来,当然,也欢迎你 给出更好的答案!( 入选均 有小礼品赠送 )

由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。

配图

另,本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接