业务连续性管理体系认证咨询
一、ISO证书样本:
二、ISO认证流程:
ISO认证申请需要准备资料清单:
1)ISO申请书;2)营业执照;3)开户银行许可证;
4)其它资质证书(如有)
ISO认证联系人:刘老师18908478836;李老师13135310898;0731-88804638;QQ:2993542366
业务连续性介绍
自9·11事件以来,如何应对自然灾害、恐怖袭击、人为破坏、外部服务中断、信息技术故障、国际国内政策危机等突发事件所引发的业务中断危机,保持组织的业务连续性,越来越被企业所重视。然而,也有许多企业缺乏应对业务中断危机的措施,处理突发事故的规划不充分,恢复并重新开始业务正常活动的能力较差,一旦出现突发事件,不能及时恢复运营,影响相关方的业务连续性,导致企业的利益、声誉、品牌等受损,严重时,一次危机可以导致企业倒闭……
一、如何应对中断危机:
1、典型的业务中断事件
¾信息技术故障(信息系统技术故障、配套设施故障):2006年12月27日台湾7.2级地震导致14条海底光缆中断,大陆通往台湾、北美、欧洲、东南亚等方向的互联网大面积瘫痪,全部修复需2至3周。¾外部服务中断,第三方无法合作或提供服务带来的中断事件:2000年3月,雷击导致飞利浦公司第22号芯片厂火灾,该工厂40%的RFC芯片供应给诺基亚和爱立信生产手机,火灾后,数周才能恢复生产,RFC芯片供货中断,诺基亚及时关注到了变化,并及时采取了应对措施,甚至重新设计芯片以便其他生产厂生产,但是爱立信却反应迟钝,芯片供应不上,引发危机,“爱立信”卖掉手机业务,之后,SONY和“爱立信”合资生产“索爱”手机。
¾人为破坏:黑客攻击、恐怖袭击等带来的中断事件,“9.11”
事件中,一般以上的没有做备份的公司完全垮掉,但是摩根士丹利银行
第二天宣布全线营业,德意志银行当天完成3000亿美元以上巨额交易。
¾自然灾害(火灾、雷击、海啸、地震、重大疫情):2012年桑
迪飓风席卷美国东海岸,纽约水灾,一地下保险库约面值700亿的不记
名债券湿透并处于损坏边缘;大面积停电引发通信中断,纽交所连续两
2天关闭交易。其他如汶川地震、南方雪灾、印度洋海啸等
2、业务中断危机的风险成因
¾人员风险:人员的蓄意行为或者失误。
¾系统和流程风险:系统和流程存在的固有问题带来的风险。
¾外部事件:外部环境带来的风险,如政策、自然灾害。
¾累积衍生风险:由上述小的风险累积或衍生而来的风险。
¾随机事件:完全无法预测的事件。
3、应对措施:建立业务连续性管理体系某项重要业务活动发生中断之后,组织最希望了解也最需要了解的是,多长时间之后业务可以恢复,可接受的恢复水平,以及需要什么样的资源水平达到上述目标。ISO 22301《业务连续性管理体系要求》就是用来协助企业完成这个过程的。ISO 22301规定了策划、建立、实施、运行、监视、评审、保持和持续改进企业业务连续性的具体要求,用来引导企业识别公司关键业务功能的潜在威胁,并建立有效的流程和资源,从而减轻突发事件造成的
影响,以保障利益相关方的利益。
4、如何实施业务连续性管理
1)分析与规划:了解业务连续性管理现状,进行标杆分析。
2)业务影响分析和风险评估:识别和评估业务运营中断随时间推移所造成的影响,确定重要业务恢复优先顺序和恢复指标,确定资源的风险敞口。
3)制定恢复策略:主要包括关键资源恢复、业务替代手段、数据追捕和恢复有限级别等。
4)业务连续性计划与资源建设:建立结构化的业务连续性计划,贯穿企业各个层级。包括业务连续性计划、总体应急预案、专项应急预案和业务连续性管理办法等。
5)演练与测试:检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性。
二、业务连续性管理体系的收益
1、增强运营中断事件的掌控和应对能力
1)识别和管理组织面对着的潜在威胁;
2)提前预防以降低突发事件的影响;
3)在危机时刻使组织的核心业务正常运作;
4)在事件发生后在短的时间内恢复正常运行;
5)向您的客户、供应商展示组织对突发事件的应变力和恢复力。
2、完善企业日常管理
3越来越多的企业走专业化发展道路,将非核心业务进行外包,导致外包风险日益突出,比如IT外包,OEM。同时,各行业上下游企业依赖程度很高,应商或物流运输渠道过度集中,有较高的集中风险。加强对相关方业务连续性管理,是保障自身业务持续运营的关键点之一。
三、业务连续性管理实操——管理供应链持续性
传统上,供应链专业人士着重关注供应的财务方面,如给予某一供应商的支出平。业务持续倾向于关注中断所致影响的时间,因为即使是(从财务角度看)一个小供应商也能迅速对整体运营造成很大影响。
此类供应商包括:
公用事业——电力、煤气、石油、电讯;
原料——用于制造;
办公用品——标准和特殊的文具用品;
服务安保、运输、维修。
1、一般原则
从业务持续角度出发,组织仍应对外包责任负责,因为利益相关方希望组织在给予合同前详细评审供应商。因此,供应商受中断影响可能导致组织在财务和声誉方面受损。供应中断通常由下级直接的供应商引起,因此组织的每个供应商也应保证在其业务持续管理方案中考虑其自身的供应链持续性问题。组织应在其自己的业务持续管理方案中考虑供应链失灵的后果,并且可以引用业务持续方针。应在业务影响分析(BIA)流程中确定各项活动对供应商的依赖性。对众多活动通用的供应商,如电力和通讯,通常在战术层面予以解决,但其他许多供应商则是由负责部门在活动层面予以管理。
2、流程
管理供应链持续性的过程应该包括如下步骤:
1)识别每项活动的供应商(所有/绝大部分活动通用的供应商除外);
4
2)将这些供应商与恰当活动所需恢复时间进行匹配;
3)在这一时间框架内选择适当的恢复策略;
4)检查紧迫供应商或那些有较长交付周期的供应商的业务连续性计划
(BCP)。
3、方法和技巧
确定供应商和供应链的优先顺序应首先考虑以下项:
一段时间内供应中断造成的财务影响;
一段时间内中断造成的声誉影响;
中断所导致的不合监管规定的情况。
可采取的规避策略:
两个或多个供应渠道(确保至少二级供应商能有所不同);
评估供应商的业务持续管理方案;
约定罚金(尽管这些约定可能无效);
有所储备;
使用替代供应;
找到并授权备用供应商。
选择用于保护供应链的策略可能考虑:
备用供应商的可用性;
备用供应商实现交付所需时间;
供应商所在地点;
供应产品/服务的性质;
与其他供应商的相关度;
备用策略的成本。
为评估供应商的业务持续管理方案,应从供应商获取以下信息:
用于监控其方案的程序;
适用于满足你(客户)的要求而不是他们(供应商)要求的绩效指标;
有关如何实现业务持续方针和目标的信息;
他们在产品和服务以及其他客户之间如何定义优先权的信息;
符合公认标准的证据;
管理事件出现问题或取得成功的过往证据。
为增强对供应商的信心,可能还会用到以下方法:
直接参与测试和演练;
参加评审问题和关注点的管理层会议;
正式的绩效评估;
赋予服务水平协议灵活性,便于在出现大规模灾难时能遵守;
合法地获取有关前一个事件的记录和报告
1、一般原则
从业务持续角度出发,组织仍应对外包责任负责,因为利益相关方希望组织在给予合同前详细评审供应商。因此,供应商受中断影响可能导致组织在财务和声誉方面受损。供应中断通常由下级直接的供应商引起,因此组织的每个供应商也应保证在其业务持续管理方案中考虑其自身的供应链持续性问题。组织应在其自己的业务持续管理方案中考虑供应链失灵的后果,并且可以引用业务持续方针。
应在业务影响分析(BIA)流程中确定各项活动对供应商的依赖性。对众多活动通用的供应商,如电力和通讯,通常在战术层面予以解决,但其他许多供应商则是由负责部门在活动层面予以管理。
2、流程
管理供应链持续性的过程应该包括如下步骤:
1)识别每项活动的供应商(所有/绝大部分活动通用的供应商除外);
4
2)将这些供应商与恰当活动所需恢复时间进行匹配;
3)在这一时间框架内选择适当的恢复策略;
4)检查紧迫供应商或那些有较长交付周期的供应商的业务连续性计划
(BCP)。
3、方法和技巧
确定供应商和供应链的优先顺序应首先考虑以下项:
一段时间内供应中断造成的财务影响;
一段时间内中断造成的声誉影响;
中断所导致的不合监管规定的情况。
可采取的规避策略:
两个或多个供应渠道(确保至少二级供应商能有所不同);
评估供应商的业务持续管理方案;
约定罚金(尽管这些约定可能无效);
有所储备;
使用替代供应;
找到并授权备用供应商。
选择用于保护供应链的策略可能考虑:
备用供应商的可用性;
备用供应商实现交付所需时间;
供应商所在地点;
供应产品/服务的性质;
与其他供应商的相关度;
备用策略的成本。
为评估供应商的业务持续管理方案,应从供应商获取以下信息:
用于监控其方案的程序;
适用于满足你(客户)的要求而不是他们(供应商)要求的绩效指标;
有关如何实现业务持续方针和目标的信息;
他们在产品和服务以及其他客户之间如何定义优先权的信息;
符合公认标准的证据;
管理事件出现问题或取得成功的过往证据。
为增强对供应商的信心,可能还会用到以下方法:
直接参与测试和演练;
参加评审问题和关注点的管理层会议;
正式的绩效评估;
赋予服务水平协议灵活性,便于在出现大规模灾难时能遵守;
合法地获取有关前一个事件的记录和报告。
4、成果和评审
供应链管理应交付一个安全的供应链,能管理任何供应中断,并且不会出现组织和服务交付接受的中断。
当组织出现重大变化,以及重要合同招标、签约和续约时,应评审供应链管理安排。
1)ISO申请书;2)营业执照;3)开户银行许可证;
4)其它资质证书(如有)
ISO认证联系人:刘老师18908478836;李老师13135310898;0731-88804638;QQ:2993542366
业务连续性介绍
自9·11事件以来,如何应对自然灾害、恐怖袭击、人为破坏、外部服务中断、信息技术故障、国际国内政策危机等突发事件所引发的业务中断危机,保持组织的业务连续性,越来越被企业所重视。然而,也有许多企业缺乏应对业务中断危机的措施,处理突发事故的规划不充分,恢复并重新开始业务正常活动的能力较差,一旦出现突发事件,不能及时恢复运营,影响相关方的业务连续性,导致企业的利益、声誉、品牌等受损,严重时,一次危机可以导致企业倒闭……
一、如何应对中断危机:
1、典型的业务中断事件
¾信息技术故障(信息系统技术故障、配套设施故障):2006年12月27日台湾7.2级地震导致14条海底光缆中断,大陆通往台湾、北美、欧洲、东南亚等方向的互联网大面积瘫痪,全部修复需2至3周。¾外部服务中断,第三方无法合作或提供服务带来的中断事件:2000年3月,雷击导致飞利浦公司第22号芯片厂火灾,该工厂40%的RFC芯片供应给诺基亚和爱立信生产手机,火灾后,数周才能恢复生产,RFC芯片供货中断,诺基亚及时关注到了变化,并及时采取了应对措施,甚至重新设计芯片以便其他生产厂生产,但是爱立信却反应迟钝,芯片供应不上,引发危机,“爱立信”卖掉手机业务,之后,SONY和“爱立信”合资生产“索爱”手机。
¾人为破坏:黑客攻击、恐怖袭击等带来的中断事件,“9.11”
事件中,一般以上的没有做备份的公司完全垮掉,但是摩根士丹利银行
第二天宣布全线营业,德意志银行当天完成3000亿美元以上巨额交易。
¾自然灾害(火灾、雷击、海啸、地震、重大疫情):2012年桑
迪飓风席卷美国东海岸,纽约水灾,一地下保险库约面值700亿的不记
名债券湿透并处于损坏边缘;大面积停电引发通信中断,纽交所连续两
2天关闭交易。其他如汶川地震、南方雪灾、印度洋海啸等
2、业务中断危机的风险成因
¾人员风险:人员的蓄意行为或者失误。
¾系统和流程风险:系统和流程存在的固有问题带来的风险。
¾外部事件:外部环境带来的风险,如政策、自然灾害。
¾累积衍生风险:由上述小的风险累积或衍生而来的风险。
¾随机事件:完全无法预测的事件。
3、应对措施:建立业务连续性管理体系某项重要业务活动发生中断之后,组织最希望了解也最需要了解的是,多长时间之后业务可以恢复,可接受的恢复水平,以及需要什么样的资源水平达到上述目标。ISO 22301《业务连续性管理体系要求》就是用来协助企业完成这个过程的。ISO 22301规定了策划、建立、实施、运行、监视、评审、保持和持续改进企业业务连续性的具体要求,用来引导企业识别公司关键业务功能的潜在威胁,并建立有效的流程和资源,从而减轻突发事件造成的
影响,以保障利益相关方的利益。
4、如何实施业务连续性管理
1)分析与规划:了解业务连续性管理现状,进行标杆分析。
2)业务影响分析和风险评估:识别和评估业务运营中断随时间推移所造成的影响,确定重要业务恢复优先顺序和恢复指标,确定资源的风险敞口。
3)制定恢复策略:主要包括关键资源恢复、业务替代手段、数据追捕和恢复有限级别等。
4)业务连续性计划与资源建设:建立结构化的业务连续性计划,贯穿企业各个层级。包括业务连续性计划、总体应急预案、专项应急预案和业务连续性管理办法等。
5)演练与测试:检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性。
二、业务连续性管理体系的收益
1、增强运营中断事件的掌控和应对能力
1)识别和管理组织面对着的潜在威胁;
2)提前预防以降低突发事件的影响;
3)在危机时刻使组织的核心业务正常运作;
4)在事件发生后在短的时间内恢复正常运行;
5)向您的客户、供应商展示组织对突发事件的应变力和恢复力。
2、完善企业日常管理
3越来越多的企业走专业化发展道路,将非核心业务进行外包,导致外包风险日益突出,比如IT外包,OEM。同时,各行业上下游企业依赖程度很高,应商或物流运输渠道过度集中,有较高的集中风险。加强对相关方业务连续性管理,是保障自身业务持续运营的关键点之一。
三、业务连续性管理实操——管理供应链持续性
传统上,供应链专业人士着重关注供应的财务方面,如给予某一供应商的支出平。业务持续倾向于关注中断所致影响的时间,因为即使是(从财务角度看)一个小供应商也能迅速对整体运营造成很大影响。
此类供应商包括:
公用事业——电力、煤气、石油、电讯;
原料——用于制造;
办公用品——标准和特殊的文具用品;
服务安保、运输、维修。
1、一般原则
从业务持续角度出发,组织仍应对外包责任负责,因为利益相关方希望组织在给予合同前详细评审供应商。因此,供应商受中断影响可能导致组织在财务和声誉方面受损。供应中断通常由下级直接的供应商引起,因此组织的每个供应商也应保证在其业务持续管理方案中考虑其自身的供应链持续性问题。组织应在其自己的业务持续管理方案中考虑供应链失灵的后果,并且可以引用业务持续方针。应在业务影响分析(BIA)流程中确定各项活动对供应商的依赖性。对众多活动通用的供应商,如电力和通讯,通常在战术层面予以解决,但其他许多供应商则是由负责部门在活动层面予以管理。
2、流程
管理供应链持续性的过程应该包括如下步骤:
1)识别每项活动的供应商(所有/绝大部分活动通用的供应商除外);
4
2)将这些供应商与恰当活动所需恢复时间进行匹配;
3)在这一时间框架内选择适当的恢复策略;
4)检查紧迫供应商或那些有较长交付周期的供应商的业务连续性计划
(BCP)。
3、方法和技巧
确定供应商和供应链的优先顺序应首先考虑以下项:
一段时间内供应中断造成的财务影响;
一段时间内中断造成的声誉影响;
中断所导致的不合监管规定的情况。
可采取的规避策略:
两个或多个供应渠道(确保至少二级供应商能有所不同);
评估供应商的业务持续管理方案;
约定罚金(尽管这些约定可能无效);
有所储备;
使用替代供应;
找到并授权备用供应商。
选择用于保护供应链的策略可能考虑:
备用供应商的可用性;
备用供应商实现交付所需时间;
供应商所在地点;
供应产品/服务的性质;
与其他供应商的相关度;
备用策略的成本。
为评估供应商的业务持续管理方案,应从供应商获取以下信息:
用于监控其方案的程序;
适用于满足你(客户)的要求而不是他们(供应商)要求的绩效指标;
有关如何实现业务持续方针和目标的信息;
他们在产品和服务以及其他客户之间如何定义优先权的信息;
符合公认标准的证据;
管理事件出现问题或取得成功的过往证据。
为增强对供应商的信心,可能还会用到以下方法:
直接参与测试和演练;
参加评审问题和关注点的管理层会议;
正式的绩效评估;
赋予服务水平协议灵活性,便于在出现大规模灾难时能遵守;
合法地获取有关前一个事件的记录和报告
1、一般原则
从业务持续角度出发,组织仍应对外包责任负责,因为利益相关方希望组织在给予合同前详细评审供应商。因此,供应商受中断影响可能导致组织在财务和声誉方面受损。供应中断通常由下级直接的供应商引起,因此组织的每个供应商也应保证在其业务持续管理方案中考虑其自身的供应链持续性问题。组织应在其自己的业务持续管理方案中考虑供应链失灵的后果,并且可以引用业务持续方针。
应在业务影响分析(BIA)流程中确定各项活动对供应商的依赖性。对众多活动通用的供应商,如电力和通讯,通常在战术层面予以解决,但其他许多供应商则是由负责部门在活动层面予以管理。
2、流程
管理供应链持续性的过程应该包括如下步骤:
1)识别每项活动的供应商(所有/绝大部分活动通用的供应商除外);
4
2)将这些供应商与恰当活动所需恢复时间进行匹配;
3)在这一时间框架内选择适当的恢复策略;
4)检查紧迫供应商或那些有较长交付周期的供应商的业务连续性计划
(BCP)。
3、方法和技巧
确定供应商和供应链的优先顺序应首先考虑以下项:
一段时间内供应中断造成的财务影响;
一段时间内中断造成的声誉影响;
中断所导致的不合监管规定的情况。
可采取的规避策略:
两个或多个供应渠道(确保至少二级供应商能有所不同);
评估供应商的业务持续管理方案;
约定罚金(尽管这些约定可能无效);
有所储备;
使用替代供应;
找到并授权备用供应商。
选择用于保护供应链的策略可能考虑:
备用供应商的可用性;
备用供应商实现交付所需时间;
供应商所在地点;
供应产品/服务的性质;
与其他供应商的相关度;
备用策略的成本。
为评估供应商的业务持续管理方案,应从供应商获取以下信息:
用于监控其方案的程序;
适用于满足你(客户)的要求而不是他们(供应商)要求的绩效指标;
有关如何实现业务持续方针和目标的信息;
他们在产品和服务以及其他客户之间如何定义优先权的信息;
符合公认标准的证据;
管理事件出现问题或取得成功的过往证据。
为增强对供应商的信心,可能还会用到以下方法:
直接参与测试和演练;
参加评审问题和关注点的管理层会议;
正式的绩效评估;
赋予服务水平协议灵活性,便于在出现大规模灾难时能遵守;
合法地获取有关前一个事件的记录和报告。
4、成果和评审
供应链管理应交付一个安全的供应链,能管理任何供应中断,并且不会出现组织和服务交付接受的中断。
当组织出现重大变化,以及重要合同招标、签约和续约时,应评审供应链管理安排。
