翰纬IT管理研究咨询中心[保密]助您实现卓越的IT运营。翰纬IT管理研究咨询中心业务连续性管理BCM简介ITILv3研究翰纬IT管理研究咨询中心地址:上海市浦东新区蓝村路新都花园2号楼10层电话:02158732485/3041传真:02158730948邮编:200127电邮:info@sinoserviceone.com网址:版权声明和保密须知本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海翰纬信息管理咨询有限公司所有,受到有关产权及版权法保护。任何单位和个人未经上海翰纬信息管理咨询有限公司的书面授权许可,不得复制或引用本文件的任何片断,无论通过电子形式或非电子形式。Copyright©2007上海翰纬信息管理咨询有限公司版权所有ITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com2文档信息项目名称:业务连续性管理BCM简介项目编号:项目经理:项目阶段:文档名称:ITILv3研究文档编号:文档起草人:叶晶起草日期:2007-11-13当前版本编号:V1.0版本日期:2008-1-4相关文档:分发名单来自From日期电话/传真/Email给To行动*截止日期电话/传真/Email*:行动类别:批准,复审,通知,存档,修改,其它(请指明)版本记录版本号版本日期修改者说明文件名ITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com3前言本文档用于个人2008年研究计划(参见文档“2008研究计划v1.0(Final)_YJ.doc”)阶段性成果汇报。目的在于围绕调查产品线,梳理ITIL调查产品可能用到的核心模型或评估方法。简介的编排结构如下:X.1书籍定位指出该模型或方法在ITILv2或ITILv3核心书籍中出现的位置;X.2理论起源及定义追溯该模型或方法产生的根源,进一步理解模型或方法的抽象定义;X.3评估模型及指标具体说明该模型或方法与调查产品的结合点,并归纳评价指标;X.4实施方法及应用实例简要说明该模型或方法如何实施,并给出重点调查行业(金融、电信、政府、制造等)应用的案例;X.5参考文献列举引用的参考文献和重要的参考网站。3.BCM/BS259993.1书籍定位GlossaryServiceStrategy(P235),ServiceDesign(P292),ContinualServiceImprovement(P193)ServiceStrategy(P36)3.1.5.3Continuity(3.1.5Communicatingwarranty)ServiceDesign4.5ITSERVICECONTINUITYMANAGEMENT(P125)6.4.8ITServiceContinuityManager(P195)AppendixF:SampleSLAandOLAServiceContinuityManagement(P254)ServiceOperation(P77)4.6.8ITServiceContinuityManagementContinualServiceImprovement(P122)5.6.3ITServiceContinuityManagementITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com43.2理论起源及定义3.2.1BCM定义ITILv3中的定义OGC官方发行的ITILv3中把业务连续性管理(BCM,BusinessContinuityManagement)定义为:负责管理可能严重影响业务的风险的业务流程。BCM保障主要利益相关者的权益、声誉、品牌和创造价值的活动。BCM流程涉及到的风险降低到可以接受的程度,并为业务可能发生的中断的业务流程做规划。BCM为IT服务连续性管理设定目标、范围和要求。(服务设计)[1]BS25999中的定义BCM英国标准即BS25999把BCM定义为:BCM识别组织潜在威胁和运营这些威胁所产生影响的整体管理流程。如果潜在威胁变成现实,则可能导致损失,BCM提供构建组织恢复的框架。这个框架具备有效应答能力而维护关键利益相关者利益、名誉、品牌和创造价值的活动。[2]GDS网站上的定义万国数据(GDS,GlobalDataSolutions)官方网站上对BCM的解释是:BCM是对企业的潜在风险加以评估分析,确定其可能造成的威胁,并建立一个完善的管理机制来防止或减少灾难事件给企业带来的损失。业务连续性管理是一项综合管理流程,它使组织机构认识到潜在的危机和相关影响,制定响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范与抗击打能力,以有效地减少业务破坏并降低不良影响,保障企业的业务得以持续运行。业务连续性规划(BCP)是实现BCM的基础环节和重要保障。[3]3.2.2BS25999简史(1)PAS56PAS是“PubliclyAvailableSpecification”的简称,是通常使用在正式标准发布前的标准。PAS56是BS25999的前身,于2003年3月份由英国标准协会(BSI,BritishStandardsInstitution)发布,官方名称为“业务连续性管理指南”。PAS56文档在BS25999正式发布后撤销。[4]PAS56这份指南建立了BCM的流程、原理和术语。具体地说,PAS56描述了建立业务连续性管理流程过程中以及产出结果的活动,并提供了一系列最佳实践的建议。PAS56为事件的预期和响应提供了一个整体性的管理框架,同时也描述评价方法和标准。[5]PAS56通过下面这种组织方式大致描述了BCM组件的关系,如图3-1所示[12]。ITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com5危机管理规划业务连续性管理共同管理站点恢复规划技术恢复规划业务连续性规划工作区恢复规划人力资源规划管理危机抢救和重建站点照常营业搬迁工作人员关键的工作人员图3-1PAS56对BCM的组织(2)BS25999-12006年11月,BSI发布了一套官方标准用来替代PAS56,这就是BS25999-1。它通过BSI(附属委员会BCM/1/-/2)产生,由来自多个组织和行业实体的代表组成,其他群体则在开发过程中提供附加参考。[5]BS25999-1实质上是建立业务连续性管理原则、术语和流程的指南。它覆盖了适用于建立连续性管理流程的活动和交付物,也提供推荐的最佳实践步骤。它适用于所有组织,不管组织的大小,不管是工业还是商业部门,它都会为任何负责管理业务连续性进程的人提供协助。[7](3)BS25999-22007年11月,BS25999第二部分由相同的附属委员会发布[5]。BS25999-2是指“业务连续性管理规范”,被内部和外部(包括认证机构)用于评估组织满足客户和常规需求的能力[7]。BS25999-2标准是由全球BCM领域专家,就其学术面、技术面、实务经验和专门技术等方面,所发展而成的管理系统标准及要求,适用于各种规模的工业、商业、政府公务部门和非营利组织。3.2.3BS25999体系BS25999体系实际包括两个部分:BS25999-1和BS25999-2。(1)BS25999-1:2006Codeofpracticeforbusinesscontinuitymanagement业务连续性管理作业要点,这个部分替代了PAS56,很大程度上基于PAS56的内容[5]。这部分主要作为参考文件,提供广泛性的营运持续作业要点,作为现行营运持续的最佳作业方法指南,但不作为评鉴与验证标准[6]。BS25999-1由10部分组成,总共跨度43页。主要的部分如下[5]:范围术语和定义业务连续性管理概述ITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com6业务连续性管理原则规划管理理解组织决定业务连续性(BC)计划开发/执行BCM响应行使、维护和审核工作安排在组织文化中植入业务连续性管理(2)BS25999-2:2007Specificationforbusinesscontinuitymanagementsystem业务连续性管理系统规范,这部分针对最终可获得哪种认证[5]。这部分提供BCMS建立实施与书面化的具体要求,包括建置组织BCMS所需要的PDCA管理架构及广泛的营运持续措施,同时作为验证标准[6]。BS25999-2由7部分组成,跨度18页。主要内容如下[5]:范围规范性参考术语和定义规划业务连续性管理系统(BCMS)实施和运营BCMS监控和审查BCMS维护和改进BCMS(3)BS25999ToolkitBS25999工具包是用来帮助确保标准不仅被理解,而且确保它能够更加容易地在组织中应用。通过包含大量基础的连续性构建模块,它能帮助启动BS25999与业务连续性机制联合。工具包的内容由公认的业务连续性专家和行业代表创造。为了方便灵活和剪裁,绝大多数资料以MS-Word格式提供。工具包中包括以下资料[11]:标准的两个部分:BS25999-1和BS25999-2(PDF格式)一套IT紧急事件审计问卷一份依赖分析文档,用来帮助识别关键依赖一份BCM和BS25999标准指南一份业务影响度分析问卷一份审计业务连续性计划本身的问卷一个业务连续性计划框架和清单基于桌面风险分析系统的EzRisk(ezrisk.com)文本一份标准和他们好处的介绍陈述:介绍业务连续性管理ITILv3研究Copyright©2007翰纬IT管理研究咨询中心版权所有Web:@sinoserviceone.com73.3评估模型及指标3.3.1SunGuardBS25999自测工具SunGard推出了一款免费的基于调查的自测工具,它能告诉用户他们已有的业务连续性管理流程和计划是否符合最近发布的业务连续性管理标准——BS25999。这一调查可以让用户从一些细节方面思考自己所在公司的业务连续性管理活动,从而找出被忽略的一些不足的方面。BSI提出的业务连续性管理的新标准,BS25999,允许组织加强自身面对业务中断的弹性。运用这一标准需要对所包含的问题有基本的理解,以便组织能够对“如何实施”制定计划。提问集中在标准的五个主要领域:业务连续性管理政策和程序管理;理解组织;制定业务连续性管理战略;开发和实施业务连续性管理的响应;演练、维护和审查。所提的问题是标准各个不同方面的一系列简单陈述,你只需选择:是;否;不知道;部分符合。是,说明你认为你所在组织的业务连续性活动已经完全做到了。否,说明你认为你所在组织的业务连续性活动没有做到。不知道,说明你不能够判断你所在组织的业务连续性活动是否已经做到。部分符合,说明你所在组织已经开始但是没有完全做到,或者说只有部分业务做到了。一旦您提交答案,你将能够与BS25999比较绘图测量你的回答——分数越高,越符合BS25999标准。注释:D-不知道;N-否;P-部分符合;Y-是。BCM政策与程序管理Q01有定义好的符合记录原则的BCM政策来设立和管理业务连续性(BC)。Q02政策反映了业务的类型、规模、复杂度、地理特性以及关键程度。Q03政策考