close


 




無法預警的災難給眾多企業造成了難以彌補的損失,而電力、通訊、交通等基礎行業在災難中造成的業務中斷,不僅給企業本身帶來嚴重的影響,企業如何在遇到這些災害時能迅速復元,恢復營運,BCM(營運持續管理系統)的概念應蘊而生。




 




  一、 ISO22301(前身BS25999)的基本概念




營運持續管理系統(BCM)的概念很早就已經提出了,它是特指一種整體管理流程。該流程的目標在於及早確定可能發生的衝擊對企業運作造成的威脅,並提供合理的架構有效阻止或抵消不確定事件造成的威脅,保證企業日常業務運行的平穩有序。營運持續管理系統(BCM)是比災難恢復更高一層面的概念。




 




BSI公司在2007年正式發佈了營運持續管理系統(BCM)的標準BS259999,目的就是使營運持續管理系統(BCM)有章可循。作為一套整體的管理標準和管理流程,BS25999標準協助企業進行業務衝擊分析及風險分析,並將其量化,繼而開發制定各種相應緊急及恢復計畫、方法和流程,減輕災難事件對企業造成的不利影響。而2012年,國際標準組織(ISO)將這套標準轉換成國際標準:ISO 22301:2012




 




ISO22301這樣描述營運持續管理系統(BCM)“營運持續管理是一個整體的管


理過程,它能鑑別威脅組織潛在的影響,並且提供構建彈性機制的管理架


構,以及確保有效反應的能力;以保護它的關鍵利益相關方的利益、聲譽、


品牌以及創造價值的活動




 




  二、ISO22301的標準組成




説明企業建立相應的準備機制。負責該標準制訂的技術委員會由來自政府、企業界、學術界等各方面的專家組成,成員還包括一系列非盈利組織,如營運持續管理學會(BCI)、持續性論壇、緊急事件應對協會(EPS)、風險管理經理人協會(ALARM)、英國貿工部、內政應急事務辦公室、金融服務機構、英國工商業聯合會、公司董事學會、英國保險業聯合會,以及小企業聯合會等。




 




這一標準建立了營運持續管理的相應過程、原則和術語體系,提供了在企業內貫徹業務持續性理念、發展和貫徹營運持續管理體系的基礎。還闡述了營運持續管理的生命週期,過程的評價以及更新檔案系統,營運持續管理的選項,以及實施營運持續管理的方法和戰略。




該項標準包括以下部分:




   1.定義和術語




   2.什麼是營運持續管理




   3.營運持續管理總覽




   4.營運持續管理系統




   5.對組織的認識




   6.決定營運持續管理的模式




   7.制定和執行營運持續管理的機制




   8.營運持續管理的實施、維護、稽核和評估




 




  三、ISO22301的實施步驟




ISO22301把營運持續管理框架分成六個部分,分別為BCM管理程式,理解組織,決定戰略,開發並實施BCM回應,演練、維護和評審回顧,以及把BCM植入組織文化。參考這六個步驟,組織可以建立自己的BCM管理框架,在正常是做好準備,在災害發生時能夠從容應對,災害後能儘快恢復。




 




BCM管理程序包括職責的分配,在組織中實施和持續管理。BCM方案管理包括職責的分配,在組織中實施和持續管理。 瞭解你的組織瞭解組織的產品和服務,識別關鍵活動,搞清楚其供應鏈上的依賴關係; 確定BCM戰略--找出業務最大容忍的中斷時間,這是非常關鍵的一步,最大中斷時間要滿足行業監管和利益相關方的要求,也意味著資源的投入,包括人員,場所,設備,技術,供應商,利害相關方,資訊; 開發和實施BCM回應--根據企業的規模大小,可能有一個或多個連續性的計畫。針對不同業務的特殊部分或者特殊的場所和情形,計畫要詳細而不冗長,可讀可執行。包括事件的應急處理計畫,連續性計畫和災難恢復計畫等內容。




 




演練維護和評估--通過演練證明BCM的計畫是有效的,並不斷地維護保持更新。新的災難場景和新的業務類型都會造成BCM的改變。演練的方法包括桌面到部分或全部類比演練等各種形式,成本費用和產生的演練效果是不同的。




 




BCM植入組織文化:BCM應對的就是小概率大災難事件,只有通過不斷的意識培訓和演練來加強全體員工的應變能力。高層要明確職責分配,確保BCM成為企業核心價值和企業文化的一部分。




 




  四、依據ISO22301標準,實行BCM的注意事項




在實行BCM過程中,以下因素是組織重點應考慮的:




爭取管理層的支持和參與。沒有管理層的支持,業務連續性計畫(BCP)的制定和實施都是十分困難的,很有可能會流產。




建立BCM文化。通過培訓和意識教育,使BCM成為企業核心價值和有效管理的一部分。




BCP團隊要有明確的組織結構,角色和責任應明確、清晰,要對相關人員進行培訓。如果參與人員不能清楚知道自己該做什麼,災難發生時只能是一片混亂。




恢復策略的確定要綜合考慮恢復成本與災難損失,在其中取得一個適當的平衡點。超過損失的恢復是毫無意義的。




BCP包括的各種規程要步驟清楚、操作詳細,確保實施人員拿到規程後,能立刻開始操作。不清楚的規程只會延誤恢復的時間。




BCP要定期進行測試、演練,總結缺陷並進行更新,一般至少為一年一次。確保計畫準確和不斷改進也是非常重要的。測試計畫要仔細斟酌,不要讓演習變成一場事故。




 




更多ISO22301 (BCM)認證訊息,歡迎與我互相交流




王顧問(Edison)/0930858713




Mail: isoedison@hotmail.com.tw




 







 






arrow
arrow
    全站熱搜

    isoedisonwang 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄