南京某电子科技公司业务连续性BCMS的一阶段审核

BCMS是好几个全过程的结合，它将机构管理体系中的重要环节联系并统一起來，为鉴别的风险性制订适合的风险性对策和风险性方案，而且为机构制订一套合理的业务连续性方案演习和测量方案。BCMS普遍适用网络信息安全、现代信息技术服务项目、公共文化服务、社会团体等社会发展服务业，另外还适用各种各样经营规模的商业服务、金融行业、机械制造业等风险性级別较高的机构。

（1）业务连续性管理是一个综合性的计划，不仅仅是业务部门的事，也不仅仅是科技部门的事，它需要从高级管理层到基层员工一起重视且参与。商业银行需要将构建业务连续性管理体系提升至公司治理层面，要将业务连续性管理体系融入到到企业文化建设中。

“业务流程危害深入分析”（通称BIA）是BCMS的关键全过程之一，它利用评诂机构的商品或服务项目主题活动产生终断时需造成的危害水平，来明确商品或服务项目的优先、修复次序和指标值。BIA包含经营范围定义和数据收集深入分析、业务流程必要性深入分析、資源深入分析、明确优先和修复次序等好多个流程。

案例背景

认证领域：业务连续性管理体系（BCMS）

受审核组织：四川某数字公司

认证范围：与计算机系统集成设计、开发、安装及服务；建筑智能化软硬件的运维及服务；电子产品、机电设备、电力设备的销售相关的业务连续性管理

认证标准：GB/T 30146-2013 idt ISO 22301: 2012

审核类别：一阶段审核

认证审核情况

该企业的经营范围：电子技术研发；计算机软硬件研发、技术咨询、技术服务、技术转让；计算机信息系统集成服务；废旧物资回收；建筑智能化工程、环境工程、电力工程、电子工程、机电工程、安防工程设计、施工；计算机软硬件及辅助设备、网络设备、办公设备、电脑耗材、机械设备、通信设备、汽车配件、建筑智能化设备、安防设备、电子产品、机电设备、电力设备的销售。

体系人数为30人左右，公司最高管理者指定了管理责任人，全面负责组织业务连续性管理体系运行情况，并定期向最高管理者报告；同时为了保证BCMS 有效运行，提供了必要资源，包括人员、安全设备、信息技术（数据备份）等，基本满足组织的BCMS 运行需求。

针对公司的信息化处理设备、网络安全管理都设置专人管理，并建立有较为专业的机房，设备维护良好；机房和办公区防火设施正常。

为了保证组织的业务连续性管理体系有效的运行，各个部门设置了管理员，由部门领导担任，由管理员和总经理成立应急策略委员会。

审核综述

通过现场审核确认，公司提供了实现BCMS 保障运行的资源：公司提供了所需的硬件设备冗余和网络安全设备防范风险；体系运行以来人员入离职基本平衡，关键核心人员没有变化；

公司的办公环境安全防范措施持续有效；各个信息系统的数据备份管理措施持续有效，公司领导积极组织业务连续性相关的培训，来实现提高全员的业务连续性意识和对业务连续性方针、目标的理解；

综上所述公司的BCMS 运行基本有效，但也存在不足之处，参见审核的不符合项清单，希望组织持续改进业务连续性管理体系运行的有效性。