四川某數字公司業務連續性的二階段審核

BCMS是好幾個全過程的結合，它將機構管理體系中的重要環節聯系并統一起來，為鑒別的風險性制訂適合的風險性對策和風險性方案，而且為機構制訂一套合理的業務連續性方案演習和測量方案。BCMS普遍適用網絡信息安全、現代信息技術服務項目、公共文化服務、社會團體等社會發展服務業，另外還適用各種各樣經營規模的商業服務、金融行業、機械制造業等風險性級別較高的機構。

業務連續性管理是一個綜合性的計劃，不僅僅是業務部門的事，也不僅僅是科技部門的事，它需要從高級管理層到基層員工一起重視且參與。商業銀行需要將構建業務連續性管理體系提升至公司治理層面，要將業務連續性管理體系融入到到企業文化建設中。

“業務流程危害深入分析”（通稱BIA）是BCMS的關鍵全過程之一，它利用評詁機構的商品或服務項目主題活動產生終斷時需造成的危害水平，來明確商品或服務項目的優先、修復次序和指標值。BIA包含經營范圍定義和數據收集深入分析、業務流程必要性深入分析、資源深入分析、明確優先和修復次序等好多個流程。

案例背景

認證領域：業務連續性管理體系（BCMS）

受審核組織：四川某數字公司

認證范圍：計算機應用軟件開發、計算機系統集成、信息系統運維服務及安全運維服務相關的業務連續性管理

認證標準：GB/T 30146-2013 idt ISO 22301: 2012

審核類別：二階段審核

認證審核情況

該企業的經營范圍：研發、銷售軟件、電子產品并提供技術服務；計算機系統集成與技術服務；建筑智能化工程、環保工程設計、施工（憑資質證書經營）；安全防范設施系統設計、安裝及維護（國家有專項規定的除外）。

體系人數為50人左右，公司最高管理者指定了管理責任人，全面負責組織業務連續性管理體系運行情況，并定期向最高管理者報告；同時為了保證BCMS 有效運行，提供了必要資源，包括人員、安全設備、信息技術（數據備份）等，基本滿足組織的BCMS 運行需求。

針對公司的信息化處理設備、網絡安全管理都設置專人管理，并建立有較為專業的機房，設備維護良好；機房和辦公區防火設施正常。

為了保證組織的業務連續性管理體系有效的運行，各個部門設置了管理員，由部門領導擔任，由管理員和總經理成立應急策略委員會。

審核綜述

本次審核基本符合標準要求，存在部分輕微不符合，受審核方制定糾正、糾正措施/計劃，經自行驗證合格后，將實施效果及證實材料。

通過現場審核確認，公司提供了實現BCMS 保障運行的資源：公司提供了所需的硬件設備冗余和網絡安全設備防范風險；體系運行以來人員入離職基本平衡，關鍵核心人員沒有變化；公司的辦公環境安全防范措施持續有效；各個信息系統的數據備份管理措施持續有效，公司領導積極組織業務連續性相關的培訓，來實現提高全員的業務連續性意識和對業務連續性方針、目標的理解；綜上所述公司的BCMS 運行基本有效，但也存在不足之處，參見審核的不符合項清單，希望組織持續改進業務連續性管理體系運行的有效性。