ISO22301业务连续性管理需求的识别

随着ISO22301业务连续性管理逐渐成熟,ISO22301业务连续性管理不再仅用于应对灾难等低概率影响大的事件,而是逐步成为组织提升业务恢复能力,保护组织价值的管理过程,成为组织管理的一部分。

国内组织对ISO22301业务连续性管理日趋重视,很多组织,尤其是金融、IT、云计算、云服务等企业,开展了ISO22301业务连续性管理体系的建设。然而在一些组织,业务连续性管理的规划实施重点仅在灾备建设从基础环境、硬件设施等方面入手,或全面撒网建立应急预案,而应急预案则多空洞或仅关注技术层面。再遇到这种情况时,往往发现在业务连续性管理需求建立阶段做得工作比较少,或没有获得充足的信息。

那如何识别组织的业务连续性管理需求呢?其中非常重要的一点就是要充分了解组织,这一活动的重点是收集信息,从而帮助组织制定合理的业务连续性管理方案,管理那些可能对组织造成严重损失的业务中断。具体的活动包含业务影响分析、资源需求分析和风险评估。

一、业务影响分析

所谓业务影响分析也就是评估一项业务活动在中断一定时间后对组织业务运营能力的影响,重点在通过业务影响分析找到需要保护的活动以及这些活动的最长可容忍中断时间(MTPD)。

在这项工作开展之前,有两件事情需要完成:首先,得到管理层的支持,包括资源的提供和活动的协调,这是所有管理活动成功实施的基础;第二,需要初步确定业务联系性管理覆盖的范围,对于组织来说,可能有一些产品和服务必须纳入业务连续性管理范围内(这些信息可能来自于管理层或外部监管单位),因此,在业务影响分析之前就需要确定下来,最终的范围可以等到业务影响分析完成以后再确定。完成这两件事情之后,组织就可以着手开始业务影响分析,通常,业务影响分析包含如下步骤。

1.分析产品或服务

分析确定ISO22301业务连续性管理范围内的产品或服务。这一过程通常需要考虑很多方面,例如,产品或服务带来的收益、中断后的经济损失、名誉损失、可能带来的法律纠纷等。

最好这些损失可以量化到经济损失,这对于说服管理层很重要,同时也是成本效益分析的基础,当然,这些量化工作需要丰富的经验数据支撑。

2.识别支持产品和服务的活动

活动的识别需要通过信息收集的方式来完成,对收集的信息进行梳理,将活动与产品和服务进行对应,当然,有的活动可以支持多项产品或服务,活动之间也会有相关支持的关系,这些信息同样需要进行收集。同时这一环节应识别活动的负责人以及可以提供活动相关信息的人员,为后期的信息收集做准备。

3.分析影响

分析活动中断持续一定时间后对提供产品和服务的影响。活动识别完成后,需要确定活动执行的频繁程度、高峰期及在平时和特殊时期活动中断后组织还能运营多久,从而确定活动中断后多久会对组织产生影响,以及影响程度。这时候往往需要财务数据的支持,例如某项产品或服务的年收益,高峰期收益,客户的依赖程度,外部竞争对手的数量和竞争力等,这些信息可能是组织的秘密信息,无法提供,这时,可以要求相关部门进行协助,进行影响程度的判断。

4.定性评价

确定关键活动以及关键活动的定性评价(MTPD)。通过对活动是影响的分析,可以确定哪些活动是关键活动,也就是纳入进一步分析范围内的活动。同时也可以初步确定关键活动在多长时间内必须恢复。也就是关键活动的最长可容忍恢复时间。

二、资源需求分析

在这一环节的主要工作是通过收集的信息,分析业务活动恢复需要的资源,包括环境、设施、人员和外部服务等。资源需求的分析需要和业务影响分析进行综合考虑,通常在关键业务确定以后,资源需求的信息收集就可以开展了。为了在一定的时间内恢复到约定的服务水平,需要的资源种类包括:人员、场所、设备、信息、技术和外部支持,需要根据活动的类型和恢复要求进行确定。其中数据资源是一种比较特殊的资源,在这一阶段需要确定执行活动的最大可容忍数据丢失(MTDL)。

除内部资源外,在业务活动中断后,可能还需要外部的支持,这需要在识别活动的同时识别内部活动与外部支持活动之间的接口,当中断发生时,外部支持活动也可能会受到影响,因此,需要识别获得外部支持需要的资源。

业务影响分析和资源需求分析的结果应经过反复评审,从而确定其准确性。

三、风险评估

分析评估活动主要是通过识别、分析和评价可能造成业务中断的风险,帮助组织建立预防措施,降低或避免造成业务中断的风险。风险评估的方法有很多种,在ISO31000:2009《风险管理原则和指南》中给出了风险评估的基本原则和实施指南,该标准也是ISO22301:2012中推荐使用的标准。根据ISO31000,对于业务连续性管理来说,风险评估主要从影响出发,识别那些可能引起中断的风险,分析风险发生的可能性和影响,从而评价风险是否需要处理。在这个基础上,再去识别风险发生的原因(内因和外因),从原因入手,建立措施控制风险的发生,也就是降低中断发生的可能性和影响。

四、注意事项

一般情况下,为了保持业务影响分析和风险评估的持续有效,需要对业务影响分析和风险评估的结果进行定期的评审。

在业务影响分析和资源需求分析过程中,都需要收集一定的信息,信息收集的方式有很多种,可以是问卷调查,也可以是会议讨论和人员访谈。信息收集的范围则取决于组织所处的环境,可能的范围包括组织的管理层、组织范围内的部门、外部客户和用户、供应商、监管单位、上层机构等。如果建立业务连续性管理体系是组织的一部分,那这一部分与组织其他部分之间的接口信息也很重要。

确定组织的业务连续性需求是ISO22301业务连续性管理系统建立过程中比较基础的环节,这一环节输出信息的充分和完整直接影响业务连续性管理体系的充分性、适宜性和有效性。因此,在这个环节建议组织投入足够的资源保证其有效。