2009年11月23日,万国数据服务有限公司(简称GDS)正式通过了英标管理体系认证有限公司(BSI)审核员与台湾技术专家最后一天的现场审核,获得了中国第一张BS25999业务持续管理体系认证证书。这张证书的获得,使GDS在业务连续管理领域持续领先,同时也让GDS成为中国首家同时拥有ISO9001质量管理体系、ISO27001信息安全管理体系、ISO20000IT安全管理体系、BS25999业务持续管理体系四张管理证书的企业。
项目背景
GDS作为中国第一家专业从事灾难恢复咨询与外包服务的企业,目前已成长中国灾难恢复与IT外包服务领域的领军企业,同时也是中国高可用性IT服务的倡导者。
为向客户提供更系统、更专业的高可用性IT外包服务,GDS非常重视国际先进经验的导入,并在服务、管理与技术方面进行不断地创新。经过多年的努力,目前GDS已获得了许多的业界第一,包括:第一家符合国际标准的商业化灾难备份和恢复中心,第一个银行业灾难恢复外包案例,第一个保险行业灾难恢复外包案例,第一个政府机构灾备咨询服务案例,第一张由公安部和人民银行颁发的灾难备份服务资质证书,国内第一份灾难恢复类信息安全服务资质等。
在管理体系建设方面,GDS也获得了许多业界第一,包括:在2005年作为第一家IT外包服务商通过了BS7799(ISO27001的前身)与ISO9001的认证,为GDS的数据中心管理奠定了“质量”与“信息安全”两个重要的基础;在2008年通过了ISO20000认证,使GDS成为中国第一家同时通过ISO20000认证、ISO9000认证与ISO27001三大管理体系认证的IT外包服务商,从“服务”的角度将GDS的管理水平提升到一个新的台阶。
随着客户群的增多、业务范围的扩展与数据中心设施的增加,一个重要问题进入到GDS管理层的议事日程当中:作为灾难恢复咨询与外包服务的领军企业,GDS已成为众多企业的最后一道防线。如何能将这道防线修筑成“铜墙铁壁”,践行GDS对客户的承诺,这不仅关系到客户自身的业务、也会影响整个社会对灾备行业价值的判断。因此,GDS需要引入一套管理体系去进一步提升自身业务连续性管理的能力,同时也需要通过第三方的认证以验证该能力的存在。
BSI所制定的BS25999标准恰恰可以帮助企业建立起一种快速恢复的能力,确保企业由于潜在威胁发生后对企业业务造成中断的影响时,可以最大限度地保护利益相关方的权益、企业的声誉、品牌。经过两家公司高层的协商,GDS决定由BSI公司提供BS25999认证服务,共同打造国内第一张BCMS(业务连续管理体系)认证证书。
项目历程
自2009年6月份两家公司召开了隆重的认证合同签约仪式后,BSI的专家就与GDS的管理团队开始了为期3个月的体系建设过程。
项目实施策略的制定
由于BS25999的部分要求与GDS已运行将近4年的ISO27001与ISO20000中的要求比较类似,加上GDS自身的业务又恰恰是为客户提供业务连续性管理的咨询与外包服务,无论是在员工意识、管理文档还是演练记录部分相对比较成熟。经过与BSI专家的沟通,GDS制定了“通过自身的力量,在现有管理体系的基础上整合BS25999的管理要求”的项目实施策略。
差异分析与标准导入
根据前面的实施策略,GDS项目组与BSI的专家一起对GDS原有的管理进行仔细的差异分析,找出GDS目前管理上与BCMS中规范要求的差距,并以此制定项目计划。
同时,GDS还邀请BSI专家为GDS项目组与相关同事针组织了多场BS25999标准的培训。通过这些培训,让项目组成员与管理体系相关的同事能更好地理解组织即将导入的新标准的要求。
风险分析、业务影响分析与业务连续性管理策略的制定
GDS项目组成员结合了标准的要求,在充分考虑GDS业务特点的基础上,创造性地开发了一套针对数据中心服务的业务影响分析方法,并将原用于ISMS(信息安全管理体系)的风险分析方法与BS25999中要求的风险分析进行了融合,最终确定了GDS的关键业务、可能面临的风险,与相对应的业务连续性策略。
设计与实施业务连续管理的响应
在前面的业务连续性管理策略的指导下,GDS项目组对GDS原有的应急响应计划、业务连续计划、预案演练机制与形式等进行了重新的评估,并根据BS25999中相应的要求对之进行了重新的设计与开发。此外,GDS项目组人员还通过对BS25999与GDS现有三套管理标准的分析,将BCMS方面的要求整合到原来的整合管理体系当中。
业务连续管理相关计划的演练与评估
为确保这些调整过的预案、计划能符合标准与GDS的运营实际,GDS还通过对这些新文档、预案的演练与培训,让体系内的相关人员可以亲身参与并验证相关的计划,同时也加深了大家对BS25999的理解。
管理体系工作的设计、运行与检验
由于BS25999强调的是一个管理体系的建设,除了上面提到的事件管理计划、业务连续计划与恢复计划的演练外,GDS项目组与体系内相关同事通过项目实施期间的文件管理、管理评审、内审等工作去体验BS25999为GDS原管理体系所带来的变化。
管理体系的预审
考虑到GDS是作为中国第一家企业去申请BS25999认证,为确保项目组成员对标准的理解与BCMS建设的实践能符合认证机构的要求,GDS请到了BSI的专家对GDS所建设的BCMS的设计与执行情况进行全面的审核。通过这次预审,GDS所建设的BCMS得到了BSI专家的认同,并开始进行正式审核的准备与申请。
管理体系的正式审核
此阶段,BSI邀请了包括台湾CBCP在内的业内专家对GDS进行了全方位的审核,包括:风险分析、业务影响分析的方法论的合理性;业务连续性策略制定的合理性;BCMS体系文件设计的合规性;BCMS体系运行的真实性等。通过这项工作,一方面可以从中立与专业的角度去评估GDS在业务连续性管理方面的能力,另一方面也可以通过这种审核形式让GDS了解国际标准的要求与业界的最佳实践。
项目收获
BS25999认证的通过,不仅意味着GDS在业务连续管理能力方面已经上了一个新的台阶,同时也标志着GDS在数据中心管理创新方面迈出了具有深远意义的一步,为GDS全面推出“高可用性IT服务”奠定了一个坚实的基础。
BS25999认证通过前,经常会有客户提出这样的疑问:“GDS是为客户提供灾备服务的,那么当GDS面临灾难时,你们会如何保证向客户提供服务呢?”通过这次认证,可以证明GDS具有这种快速恢复的能力,当灾难事件来临时,GDS可以利用这种能力最大可能地保护包括客户、员工在内的利益相关者的权益。
BS25999认证通过后,GDS更清楚自身的关键服务、关键活动与可能的风险,为后续的技术手段与日常管理提出了更为明确的方向。这些输出又成为GDS现有信息安全管理、IT服务管理与质量管理等日常管理工作的输入。最终,GDS利用“质量”、“信息安全”、“IT服务”与“业务连续”四个支点将整体服务水平提升到更高的层次。
此外,通过此次BS25999的认证,让GDS原用于协助客户实现业务连续性管理目标的最佳实践“EAM(企业可用性管理方法论)与国际上关于业务连续管理的最佳理论体系BS25999产生了良好的化学反应,形成了一套兼顾国际标准与最佳实践的业务连续性管理实施方法论。GDS可以利用此次项目所提炼的方法,更好地服务于客户,与业界一起共同提升中国政府、企业的业务连续管理水平。