中金数据:BCM的格局之变

2012年的5月15日,是一个全世界所有BCM从业者应该铭记的日子,首部BCM国际标准于当日由ISO组织正式颁布,意味着各个国家、各个行业在制定、执行以及认证BCM活动过程中有了可以参照的国际化标准。

中金数据系统有限公司咨询业务部(以下简称“中金咨询”)长期致力于BCM标准的跟踪与研究,积极推动BCM在国内的应用与发展。这部国际标准的发布,为各国开展BCM提供了规范依据,有力地促进BCM在各行业的推广和实施,其意义重大而深远。

1, 将BCM有关的活动进行了总结归纳,提升了BCM的系统性和专业性。在较早的信息安全标准BS7799中,提出了对业务连续性管理的要求,并是十个安全控制域之一。继BS7799之后,信息安全国际标准ISO27000系列将BCM纳入到信息安全管理体系(ISMS)中,进一步从信息安全的角度规范了BCM要求。随着BCM的普及和实践,以及各个BCM专业协会的宣传和推广,人们认识到BCM不仅是信息安全领域的问题,更是社会层面应当广泛关注的重要方面。从ISO所赋予的标准号我们可以看出此次标准的主要牵头组织单位是ISO/TC223,该技术委员会成立于1984年,主要负责有关社会安全领域的学术研究和标准制定,他更加关注有可能导致社会或组织关键职能缺失危机或事件的管理,而此次TC223将BCM纳入到其下所管理的社会安全类标准,是顺应BCM发展的新要求,为各个国家和组织对BCM进行正确的认识、执行和运营提供了重要依据。

2, 对我国BCM国家标准的制订是一次极大的推动和促进。从90年代末期,银行业信息系统大集中工程迅速带动了容灾备份和业务连续性管理的建设。随着中国加入WTO,国内银行积极应对国际竞争,同时着力增强自身风险管理能力,其重要措施之一便是构建业务连续性管理体系。国有大型和先进的股份制商业银行依据国际金融监管要求或标准,例如巴塞尔委员会的High-level principles for business continuity、BS25999,陆续建设其业务连续性管理体系。国内监管机构也逐步加强了监管力度,尤其是银监会在2011年12月28号正式颁布了104号文件《商业银行业务连续性监管指引》,进一步规范了银行业BCM要求。然而在国家标准方面,涉及BCM的标准还是空白。中金咨询长期参与国家标准制订工作,将积极推动相关标准的研究和制订。

3, BCM管理体系的建设实施已经成为大势所趋,特别是对于那些关系到国计民生、社会稳定,需要承担较大社会责任的组织和企业。中金咨询多年来一直致力于国内金融行业的容灾和业务连续性管理体系的咨询服务,除了帮助企业构建BCM体系,还积极参与了银监会信息科技十二五规划相关专题的研究和104号文件的起草和发布工作。通过这些工作,一部分商业银行的BCM管理框架逐步明确、管理职责细化、管理内容落地,在处理灾难性突发事件时能够整合内外部各类资源从容应对,确保其关键业务和组织运营持续不中断,有效履行其社会职责,使企业高管到基层员工整体BCM意识水平得到提升。展望未来,中金咨询认为BCM体系的落地实施将继续向其他行业和组织进行扩展,尤其是政府、电力和电信等国家重要职能管理部门以及涉及国家重要基础设施和提供基本社会公共服务的单位和组织,让我们拭目以待!

回顾整个ISO22301从规划、起草、制定、完善到正式颁布的过程,延续着ISO标准“普适、严谨和创新”的风格,所谓普适,是给各个国家和行业管理者提供了良好的适应性,所谓严谨,ISO22301严格遵循了ISO组织中关于“标准制定的标准”,章节设计、行文措辞极其严谨,使之保持和其他ISO标准的统一风格和要求。所谓创新,是指其在归纳总结前人经验实践的基础上融入了未来的发展趋势和先进理念,其中特别突出的是将原来一贯强调的“管理层责任”转换为了“领导力”,明确管理者应该以一种积极主动的态度对待BCM,而不是被动的承担责任。ISO TC223还在积极制定其指导实施的Guidance—ISO22313,相信其会在不远的将来与ISO22301一起更好地指引BCM在全球的推广和应用。