业务连续性/灾难恢复咨询

业务连续性/灾难恢复咨询

概述

度过危机并确保可持续运营是企业的关键战略目标,也是任何组织的基本要求。

在紧急情况下管理负责人员需要依靠经过验证的解决方案。在最近的自然灾害,流行病和恐怖袭击等破坏性事件中的经验表明,一些组织没有、适当的业务连续性计划以及灾难恢复能力,在紧急情况下无法恢复和维持关键业务活动。

董事会和其他利益相关者,包括监管机构,越来越关注这个问题,并要求管理层解决这个在存在于大多数组织中且附有重大风险的关键问题。未能计划、培训和测试服务中断可能性的准备可能通过人身伤害灾难性的商业失败导致轻微烦恼。

BCP和DR计划不充分,测试不良或未维护的后果可能会导致以下情况并严重影响组织:

  • 企业声誉受损;
  • 破坏财产和设施;
  • 民事诉讼;
  • 监管或立法处罚;
  • 市场份额下降;
  • 信息披露。

服务提供

A-GRC具有独特的优势,可为您提供协助,因为其不仅可以开发并实施业务连续性和灾难恢复计划,还可以为其他客户实施,并使用BS ISO 22313指导实施。与其它不同,我们可“付诸行动”并证明这一点

A-GRC基于ISO 22301开发了自己的方法,其中包含业务连续性管理政策以及根据戴明周期开发业务连续性管理系统(BCMS)所需的所有流程、程序和计划:

  • 计划;
  • 执行;
  • 检查;
  • 行为;

所有主要的管理系统标准均已采用。

您定义、实施和持续改进的业务连续性计划类型(BCP)将取决于您的组织要求、结构、文化和特定需求。

A-GRC可以为您提供帮助的具体领域是:

  • 风险和漏洞评估 – 了解与您的业务相关的风险和影响。不了解风险意味着所有后续计划几乎肯定附有缺陷,从而导致不必要的成本,及在需要时BCP可能不合适。我们可以帮助您识别,量化和处理这些风险,并在需要时提高您的恢复能力;
  • 定义范围 –  必须确定业务连续性计划的范围,以便确定项目的边界,确定并同意范围内的资产,以便确定和处理对其的风险。如果您想获得ISO 22301注册证书,我们还会依据您的证书使用范围说明向您提供建议。
  • 差距评估 – 根据ISO 22301或您现有的BCMS要求,对您实施的解决方案进行差距评估;
  • 业务影响分析和策略 – 与您的员工合作,确定对于持续的组织可行性至关重要的业务流程。这将产生一系列中断可能对您的业务产生的各种影响的“视图”,并将确定真正需要的业务流程及资源,以实现业务连续性并满足客户对您的产品或服务的要求;
  • 制定战略 – 根据业务影响评估的结果,与您的员工一起调查并制定恢复业务运营和流程的战略,按时完成所需的服务水平。通常,在做出最终决定之前,需要充分探索许多不同的恢复选项。然后可以制定、采用和实施适当的战略,以确保实现强大和可重复的业务恢复;
  • 业务连续性计划 – 在商定、制定和实施了适当的战略后,便可制作具有支持性的BCP。我们的顾问与您的员工合作,确保计划的可行性和可靠性。然后,根据需要,在您的组织内以可访问的形式和格式提供这些内容,然后对其进行清晰记录和审核。计划将包含及时恢复所需的所有相关信息的详细信息,通常包括但不限于:
  • 行动清单;
  • 激活标准;
  • 通话清单(联系树);
  • 明确的升级线;
  • 沟通计划;
  • 资源需求(现场和非现场);
  • 其他重要信息。
  • 记录程序 以及BCP,必须定义和开发支持BCMS操作的所有其他程序。这些将由A-GRC团队开发,或者使用现有文档作为基础,或者创建新文档。无论使用哪种流程,新程序均与您的员工共同制定,以最大限度地“购买”并确保它们准确反映您的工作实践。
  • 实施和意识培训 开发了BCP后,则需要适当地向相关员工介绍。这意味着需要专业培训,我们的顾问可以协助为所有员工制定和提供培训和意识计划。成功实施BCP对整个BCM流程至关重要。在BCP中具有特定职务和职责的员工需要了解如果调用BCP,则对其有何种期望,并进行相应的培训。必须在整个组织中对计划有更广泛的认识,因为如果发生中断,所有员工都需要知道哪些计划可以保护他们和组织。
  • 测试和演练 仅持有BCP是不够的,没有BCP也不可,培训人员如何使用BCP。培训后,必须为在任何调用期间担任角色和职责的所有管理团队进行BCP测试计划,以确保他们了解BCP并且确保BCP’ 适合目的’。可以进行六种不同类型的BCP测试:
  • 清单 – 计划的副本将发送给不同的部门经理和业务部门经理进行审核。这是一个简单的测试,应该与其他测试一起使用;
  • 结构化演练 BCP团队成员和负责恢复的其他人员一步一步地完成计划,以确定错误并验证假设;
  • 模拟 实际紧急情况的模拟。响应团队成员的行为方式与真正的紧急情况相同;
  • 并行运行 这类似于模拟测试,但主站点不受影响,关键系统在备用站点和主站点并行运行并进行结果比较;
  • 部分实施 BCP的一个元素单独进行测试,而不是完全调用BCP;
  • 完全调用 此测试涉及完全调用BCP以响应紧急情况。它模仿真正的灾难,执行所有步骤来测试计划。系统在主站点关闭,所有人员均须参与紧急情况实战演习,包括员工和任何外部第三方供应商,都将参与测试。该测试是最详细、最耗时且最昂贵的。因此,不经常执行。
  • 应急响应计划 在发现任何可能影响您正常运营能力的事件时,以及在通知BCP和最高管理层决策者之前立即采取的行动。A-GRC可以帮助您制定应急响应计划,确保向可能面临需要紧急响应的情况的所有员工提供清晰简明的公司指令。这些可包括但不限于:
  • 炸弹或设备搜索;
  • 残疾人疏散;
  • 紧急装配点;
  • 疏散计划;
  • 消防培训;
  • 急救训练;
  • 现场监督员计划;
  • 通知联系树;
  • 危机与沟通规划 我们可以帮助您建立危机管理团队并制定计划,通过明确的指挥链指导您在企业范围内对事件的响应,并确定内部和外部通信要求。
  • 审查和维护 BCP和其他程序是活文件,因此需要定期审查和维护,以确保信息的正确性和最新性。通常,审核在测试、审核、固定时间频率或影响变化之后进行。
  • 协助获得ISO 22301注册证书  我们可以帮助您获得ISO 22301注册证书。我们使用标准的4步骤流程,这是一个成熟且获得管理标准认证的可靠方法。
    在BCM领域提供帮助的其他部分标准是:
  • PD ISO / TS 22318:2015(社会安全。业务连续性管理系统。供应链连续性指南);
  • BS ISO / IEC ISO 27031(信息技术 – 安全技术 – 业务连续性的信息和通信技术准备指南)
  • ISO / IEC ISO 24762(信息技术 – 安全技术 – 信息和通信技术灾难恢复服务指南)

还有其他国家特定标准未在上面列出,但通常包括提供进一步指导的相同材料和若干已发布文件(PD)。

方法

使用ISO 22301A-GRC方法包括:

  • 定义组织的背景;
  • 了解相关方的业务,驱动因素,需求和期望; 
  • 确定BCMS的范围;
  • 建立BCMS;
  • 在整个组织内建立管理承诺;
  • 在业务中嵌入业务连续性管理(BCM);
  • 规划BCMS,包括确定业务连续性目标以及如何实现这些目标;
  • 确保建立适当的支持流程和程序;
  • 实施和运营BCMS;
  • 执行业务影响分析(BIA)和风险评估;
  • 定义BCM策略并选择合适的策略;
  • 实施支持BCM程序;
  • 开发和测试BCP;
  • 监测,测量和审查BCMS;
  • BCMS的管理评审;
  • 持续改进BCMS。

A-GRC在为客户实施业务连续性计划和BCMS方面拥有丰富经验,并将其中一部分用于获得注册证书(认证)。

益处

A-GRC方法通过以下方式建立运营弹性:

  • 允许您进行合同投标,如果您未获得认证,您可能会被排除在外;
  • 确保管理层和客户的信息安全水平到位;
  • 证明符合ISO 22301标准,由第三方一致性评估机构验证;
  • 授权员工按照BCP行事;
  • 确保员工安全;
  • 确保实物资产的安全;
  • 确保关键员工接受培训;
  • 确保记录和测试恢复过程和程序;
  • 促进按关键程度恢复业务流程;
  • 进一步提升组织内的BCM意识;
  • 提高客户对您的产品和服务的信心;
  • 公开声明您已经解决了BCM问题;
  • 管理和处理重大风险,根据风险偏好将风险降低到可接受的水平。